Analyse de risques

EmilieTournadre · Avril 21, 2021, 9:59

Bonjour,

Dans le rapport Bothorel, il est dit : "Quand des données sont rendues publiques, l’agence [l’Anssi] recommande en effet d’avoir systématiquement une analyse de risque pour vérifier que cette démarche ne conduit pas à faciliter des réutilisations malveillantes. " C’est un exercice que je vais certainement être amenée à réaliser.

Est-ce que vous savez si un référentiel spécifique sur les risques liés à l’ouverture et au partage des données (open data et plus largement) existe ?

Ou est-ce que vous avez mis au point des grilles, des échelles de gravité, adapté les analyses d’impact relative à la protection des données (AIPD) de la CNIL ?

cquest · Avril 21, 2021, 10:21

Oh le beau parapluie que voilà… qui va alimenter les réticences de certains à l’ouverture.

Là encore, on se demande quelle est la base légale sur laquelle ça s’appuie la notion « réutilisations malveillantes ».

Pour mémoire la seule base légale pour ne pas ouvrir est ici:

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000033265181

Ne sont pas communicables :

1° Les avis du Conseil d’Etat et des juridictions administratives, les documents de la Cour des comptes mentionnés à l’article L. 141-3 du code des juridictions financières et les documents des chambres régionales des comptes mentionnés aux articles L. 241-1 et L. 241-4 du même code, les documents élaborés ou détenus par l’Autorité de la concurrence dans le cadre de l’exercice de ses pouvoirs d’enquête, d’instruction et de décision, les documents élaborés ou détenus par la Haute Autorité pour la transparence de la vie publique dans le cadre des missions prévues à l’article 20 de la loi n° 2013-907 du 11 octobre 2013 relative à la transparence de la vie publique, les documents préalables à l’élaboration du rapport d’accréditation des établissements de santé prévu à l’article L. 6113-6 du code de la santé publique, les documents préalables à l’accréditation des personnels de santé prévue à l’article L. 1414-3-3 du code de la santé publique, les rapports d’audit des établissements de santé mentionnés à l’article 40 de la loi n° 2000-1257 du 23 décembre 2000 de financement de la sécurité sociale pour 2001 et les documents réalisés en exécution d’un contrat de prestation de services exécuté pour le compte d’une ou de plusieurs personnes déterminées ;

2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte :

a) Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif ;

b) Au secret de la défense nationale ;

c) A la conduite de la politique extérieure de la France ;

d) A la sûreté de l’Etat, à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d’information des administrations ;

e) A la monnaie et au crédit public ;

f) Au déroulement des procédures engagées devant les juridictions ou d’opérations préliminaires à de telles procédures, sauf autorisation donnée par l’autorité compétente ;

g) A la recherche et à la prévention, par les services compétents, d’infractions de toute nature ;

h) Ou sous réserve de l’article L. 124-4 du code de l’environnement, aux autres secrets protégés par la loi.

Il n’y a rien concernant les « réutilisations malveillantes », terme très vague dans lequel on peut mettre un peu n’importe quoi. Est-ce la rédaction de l’ANSSI ou du rapport Bothorel ?

AgriG33k · Avril 21, 2021, 12:11

Bonjour Emilie,

Ravi de te retrouver ici ! Quelles sont donc les données que les Chambres d’Agriculture ont peur de voir de manière à faciliter des réutilisations malveillantes ?

As-tu contacté l’ANSSI afin de voir s’ils fournissaient des outils pour mettre en œuvre leurs recommandations ? Est-ce que le rapport Bothorel fait mention de la source ANSSI dans laquelle se trouve la recommandation ?

Théo-Paul

EmilieTournadre · Avril 22, 2021, 6:32

Merci Christian pour l’argument ! Je le resservirai tel quel. Par contre, je maintiens ma question pour :

les jeux de données que nous pourrions ouvrir et qui ne seraient pas concernés par l’obligation légale
les jeux de données que nous pourrions partager avec des tiers en dehors de l’open data

Pour les réutilisations « malveillantes », je ne sais pas. La formulation peut venir des deux : rapport ou ANSSI. Il n’y a pas de guillemets comme dans le paragraphe qui suit où le Directeur de l’ANSSI parle. C’est page 35-36

EmilieTournadre · Avril 22, 2021, 6:49

Salut Théo-Paul,

Non je n’ai pas contacté l’ANSSI. Dans le rapport, l’ANSSI parle de la méthode Ebios Risk Management .
Extrait : « Elle se distingue par l’idée que cette analyse de risque doit renoncer à l’exhaustivité et surtout adopter une méthode tournée vers les métiers, c’est-à-dire qu’elle est conçue non pas pour les experts de la cybersécurité mais pour les gens qui ont des responsabilités métiers et qui sont à même d’exprimer eux-mêmes quels sont les risques, quelle est la gradation dans les risques, ce qui est acceptable ou l’est moins. »
On part sur cette piste, notamment sur l’atelier 3 des fiches méthodes ebios, mais il faut rajouter des éléments pour mieux cerner le contexte d’ouverture ou de partage.

Super ce travail sur le schéma d’une parcelle agricole !

cquest · Avril 22, 2021, 7:02

A quoi cela correpond-t-il ?

L’obligation légale c’est l’ouverture et elle est générale sauf pour les cas où elle n’est pas possible sont listés par le L311-5.

Vous semblez être dans le domaine agricole… de quels jeux de données parle-t-on ?

Un petit rappel quand même, l’ANSSI s’occupe de cybersécurité, donc il faut mettre ses recommandations dans ce contexte et ne pas le généraliser en dehors.
Si vos jeux de données ont un lien avec la cybersécurité c’est pertinent, sinon, cela me semble plus tenir de la sur-interprétation qu’autre chose.

EmilieTournadre · Avril 22, 2021, 7:11

En tant que Chambres d’agriculture, nous avons des missions de service public et des jeux de données bénéficiant d’un financement public. Mais cela ne recouvre pas toutes nos activités. Il y a aussi une part de données privées.

Nous sommes en train de mettre en place des procédures de partage de données. Je ne pose pas ces questions avec des données spécifiques en tête. Ces procédures doivent prendre en compte les deux aspects : données publiques/données privées.

cquest · Avril 22, 2021, 7:21

Je comprends le caractère hybride.

Content de voir que ça semble avancer, car je n’ai pas souvenir d’avoir vu grand chose d’ouvert dans ce domaine, malgré l’obligation légale qui date de 2016 (et effective depuis plus de 2 ans).

AgriG33k · Avril 22, 2021, 8:59

Bonjour Emilie,

Je comprends de tes réflexions que vous êtes actuellement sur la mise en place des procédures pour savoir quoi ouvrir / comment / quelles sont les étapes nécessaires / etc… ?
N’hésite pas à partager ici ta feuille de route et/ou des interrogations. Je connais le caractère « prudent », mais il faudra je pense être pragmatique, avec une réflexion à l’échelle du jeu de données

Concernant le schéma « Parcelle », on part sur quelque chose de très simple sur laquelle la majorité des acteurs pourra intégrer, avec des possibilités d’extensions pour répondre à d’autres usages dans le futur. N’hésite pas à y contribuer !