Jérôme Quinten (Ponant) : « l’analyse des risques amène à définir le budget SSI »

Pouvez-vous nous présenter Ponant Explorations Group ?

Le groupe provient de la Compagnie du Ponant qui est devenue Ponant Explorations. Nous avons également acquis Paul Gauguin Cruises et, plus récemment, Aqua Expéditions. Toute notre activité est autour de l’organisation de croisières très haut de gamme : essentiellement polaires avec Ponant Explorations, en Polynésie avec Paul Gauguin Cruises et fluviales et aux Galapagos pour Aqua Expéditions.

Nous réalisons environ 500 millions d’euros de chiffre d’affaires avec 850 collaborateurs à terre et 3500 dans les équipages.

Nous possédons nos navires et nous les opérons. Nous commercialisons en B2C, bien sûr, en vente directe dans nos agences de Paris, Marseille, New York, Sidney… en centre d’appels et en e-commerce. Mais, en ligne, on peut réserver son voyage mais nous proposons aussi l’accompagnement pré/post-croisière avec une personnalisation complète du voyage. Nous faisons beaucoup de sur-mesure. Plus de la moitié des voyageurs d’une croisière ont déjà voyagé avec nous : nous avons une très forte fidélité. Et il n’est pas rare que, à bord, des passagers réservent leur croisière suivante alors que celle en cours n’est pas terminée !

Nous commercialisons aussi en B2B pour des séminaires ou des événements d’entreprises ou bien pour des tours-operators qui commercialisent et opèrent par eux-mêmes. Enfin, nous commercialisons en B2B2C via des agences de voyage.

Comment est organisée votre IT et à qui êtes-vous rattaché ?

La sécurité des systèmes d’information était intégrée à la DSI. Depuis mon arrivée en mai 2023, la cybersécurité est rattachée à la direction générale et au management des risques.

Si je tiens à cette organisation, ce n’est pas à cause d’un conflit d’intérêt entre celui qui fait et celui qui sécurise mais pour des approches budgétaires qui doivent être différentes entre la DSI et la cybersécurité. En SSI, l’analyse des risques amène à définir le budget en fonction des risques que l’on traite ou dont le traitement est sciemment différé. C’est l’analyse des risques qui amène à décider ce que l’on réalise.

Le DSI a bien compris que j’étais son allié pour obtenir des moyens. Nous n’avons aucune rivalité et, au contraire, nous travaillons en parfaite harmonie.

Quelle est l’architecture de votre système d’information ?

Aqua Expéditions, qui est une acquisition récente, est encore séparée. Ponant Explorations et Paul Gauguin Cruises sont par contre sur la même architecture.

Comme tout le monde, nous avons un CRM Salesforce, un ERP Oracle Netsuite…

Notre originalité réside bien sûr dans nos bateaux qui constituent notre aspect « industriel ». Il faut gérer les navires en tant que navires (navigation, carburant, entretien…). Mais nos bateaux sont aussi des hôtels et des restaurants gastronomiques. Nous organisons des excursions. Chacune de ces fonctions suppose des applicatifs métiers, à 80 % achetés sur étagères. De plus en plus souvent, les outils sont en SaaS. Et les navires proposent un Wi-Fi passagers.

Or un navire n’est bien sûr pas relié à Internet par de la fibre optique jusqu’à la côte. Nous utilisons donc des réseaux satellitaires. Jusqu’en 2024, nous utilisions du VSAT avec des satellites géostationnaires équatoriaux, ce qui pouvait limiter les performances réseau quand on approchait des pôles et cela provoquait de nombreuses coupures. Depuis 2024, nous utilisons Starlink. Il s’agit d’une constellation de satellites en basse altitude et il y a donc, partout sur Terre, toujours plusieurs satellites accessibles.

Nous sommes actuellement en train de moderniser l’IT de nos navires pour tenir compte de la possibilité de se connecter en permanence. La cloudification des solutions est désormais possible et nous allons pouvoir (et devoir) sécuriser nos navires comme les agences à terre. Pour l’instant, nous avons à bord un datacenter et un IT manager.

Selon les partenaires, nous connectons nos systèmes avec eux soit par EDI soit par API. Fin octobre, nous allons déployer un nouveau système de réservation. Ce nouveau système sera beaucoup plus souple (notamment pour gérer les groupes) et se connectera seulement par API. Nous avons, de ce fait, à sécuriser les API avec les outils adéquats. Parmi les difficultés, nous avons l’obligation de connaître l’identité de chaque passager, même en cas de vente indirecte.

Quels sont vos enjeux spécifiques ?

Nous avons une stratégie « swap to zero ». Nous voulons que notre activité soit zéro carbone. A bord des navires, nous avons plusieurs moyens de production d’énergie.

Nous avons surtout un programme « Smart Ship » de jumeaux numériques et de navires connectés en permanence. Grâce à des calculs opérés à terre, nous pourrons optimiser les routes, les régimes moteurs, etc. avec des simulations sur le jumeau numérique. Nous réalisons actuellement des tests de cette approche sur le Commandant Charcot. Nous réussissons déjà à économiser entre 15 et 20 % d’énergie.

Mais les données des bateaux (position, régime moteur…) sont remontées dans le Cloud et, dans l’autre sens, les instructions sont redescendues vers les navires. Nous devons absolument protéger ces flux de données. Un piratage pourrait bloquer un navire voire provoquer un naufrage.

Quels sont vos autres défis ?

Nous devons intégrer les SI des activités issues des opérations de croissance externe comme, récemment, Aqua Expéditions. Cela implique notamment de les mettre au niveau du standard du groupe, y compris le Secure by Design.

De la même façon, je dois accompagner la modernisation des navires. Et, comme beaucoup de confrères, je dois aussi sécuriser les usages de l’IAG.