stratégie relative à la gestion des informations de la dsna · 2019-10-04 · de la dsna aas open...

Direction Générale de l’Aviation Civile

Ministère de la Transition écologique et solidaire

Stratégie relative à la gestion

des informations de la DSNA

CT DSNA – 15 octobre 2019



Contexte L’ouverture des données publiques



EVOLUTIONS DU DROIT D’ACCÈS

Loi de « la liberté d’accès aux documents

administratifs »

1978 2015 2016 2018

Droit d’accès aux documents administratifs

Gratuité de la réutilisation des informations publiques

Publication spontanée + Extension codes sources, données, BDD

Secret des affaires

Loi sur la « réutilisation des

informations publiques »

Loi « pour une République

Numérique » (dite loi Lemaire)

Loi « secret des affaires »

Précision PM suite référé CC

03/2019



L’ADMINISTRATION DOIT CLASSER SES INFOS Patrimoine immatériel

Marques

Brevets

Savoir-faire

Réputation Licences logicielles (MS Office)

Non communicable ou non-public Communicable

Communicable seulement à l’intéressé

Documents administratifs (≈ Informations détenues par l’administration)

Dossiers Rapports

Etudes CR et PV

Statistiques Instructions

Circulaires

Courriers Avis Prévisions

Décisions Notes et réponses ministérielles

Codes sources

Données Bases de données



OBJECTIFS

Constitution d’une stratégie de gestion des informations de la DSNA Principaux axes : • connaissance détaillée et la maîtrise des informations

• conformité vis-à-vis de la loi (ouverture des informations publiques et

protection des informations sensibles)

• amélioration du service public de la navigation aérienne (innovation ouverte et partenariale, construction du Ciel Unique, pilotage de la performance du service de la navigation aérienne)

• renforcement du modèle économique de service public de la navigation aérienne (valorisation au meilleur coût du patrimoine immatériel de l’Etat, contexte Airspace Architecture Study)



Travaux en cours à la DSNA (GT GPI)



Structurer l’approche data de la DSNA

Digitalisation de l’Etat

Digitalisation de la DSNA AAS

Open source

Virtualisation

Cloud

Data Open Data

Etat plateforme

SWIM

AIM

Services

Intelligence Artificielle

Machine Learning

Business Intelligence

Stratégie DSNA

Valorisation du patrimoine

étatique

Optimisation

Innovation partenariale

Obligations réglementaires

Opportunités

Services à valeur

ajoutée

Deux volets

Transformation : - Consolidation

stratégique - Mise en conformité

réglementaire - Forte transversalité - Investissements

(dont certains déjà en cours)

- Métiers - Etablissement des

canaux de diffusion

Gouvernance : - A construire - Respect des secrets - Chief Data Officer - Rationalisation des

canaux (géoportail, data.gouv, api.gouv, datastore, etc.)

- Coordinations (CGDD, CNIL, SGDSN, DINSIC, etc.)

Programme ? SOA



PGI : 3 NIVEAUX DE DOCUMENTS

Niveau Stratégique

Niveau Tactique

Niveau Opérationnel

Document de travail : Stratégie_Gestion_Informations_DSNA_V0.7.6.docx Exemples : PSSI niveau 1, modèle de PRO DSNA, benchmarks

Documents de travail : PGPI_DSNA_V0.1.docx, ce PPT Exemples : PSSI niveau 2, modèle de PRO DSNA, benchmarks

Document de travail : NIL, documents issus des TF 2 et 3 Exemples : PSSI niveau 3, modèle de MET DSNA, benchmarks



COMMENT ? Se

cre

ts a

bso

lus

Sécurité des systèmes

Sécurité publique, des personnes

Défense nationale, sûreté Etat

Secret des affaires

Vie privée, Secret médical, Jugement de valeur, Information Comportementale

MSQS

SDPS / DP

MSQS

RSSI

DPO DGAC

Garant interne

1 2 3 4

Couleur « finale » de la donnée : la plus haute de toutes

Secr

ets

rela

tifs

Criticité

invocable

Politique (extérieure, exécutif) SDPS ?

Procédure juridique / infractions SDPS ?

0

1 2 3 0

1 2 3 4 0

1 2 3 4 0

1 2 3 0

1 2 3 0

1 2 3 0

Garant externe

SGDSN

?

CGDD

ANSSI

CNIL

CGDD

?



ECHELLE DE CLASSIFICATION DE L’INFORMATION

C3 | Critique

C1 | Importante

C0 | Sans enjeu

No

n c

om

mu

nic

able

C

om

mu

nic

able

Ouverture Uti

lisat

ion

, tra

item

ent,

dif

fusi

on

ou

sto

ckag

e

Logique d’extension

du secret aux

partenaires adaptés

C2 | Essentielle

C4 | Très critique

Périmètre et précaution de diffusion

Partie de la DSNA + partenaires de confiance absolue

La DSNA + partenaires de confiance

La DSNA + partenaires spécifiques

La DSNA + partenaires

+/- étatiques -> ex. : ANSSI, CNOA, SGDSN, …

Cercle ATM -> ex. : NM, ANSP Frontaliers, …

Cercle aéronautique -> ex. : Exploitants aéroportuaires, opérateurs aériens, …

Cercle large -> ex. : Industriels divers, …

Mesures proportionnées de protection et d’exploitation : une approche par maîtrise des risques

Enga

gem

ent

con

trac

tuel

Maîtrise

Au

dit

?

Co

nfi

ance

?

Co

nfi

ance

Att

énu

atio

n

100 % ouvert

100 % protégé



ECHELLE DE CLASSIFICATION DE L’INFORMATION

C3 | Critique

C1 | Importante

C0 | Sans enjeu

No

n c

om

mu

nic

able

C

om

mu

nic

able

Ouverture Uti

lisat

ion

, tra

item

ent,

dif

fusi

on

ou

sto

ckag

e

Logique d’extension

du secret aux

partenaires adaptés

C2 | Essentielle

C4 | Très critique

Périmètre et précaution de diffusion

Partie de la DSNA + partenaires de confiance absolue

La DSNA + partenaires de confiance

La DSNA + partenaires spécifiques

La DSNA + partenaires

+/- étatiques -> ex. : ANSSI, CNOA, SGDSN, …

Cercle ATM -> ex. : NM, ANSP Frontaliers, …

Cercle aéronautique -> ex. : Exploitants aéroportuaires, opérateurs aériens, …

Cercle large -> ex. : Industriels divers, …

Mesures proportionnées de protection et d’exploitation : une approche par maîtrise des risques

Enga

gem

ent

con

trac

tuel

Maîtrise

Au

dit

?

Co

nfi

ance

?

Co

nfi

ance

Att

énu

atio

n

100 % ouvert

100 % protégé

Application de techniques (filtrage, anonymisation, pseudonymisation, sécurisation du canal)

proportionnées au risque lié à la classe d’information



Mesures proportionnées appliquées aux Contrats et aux Clouds (indicatif)

C3 | Critique

C1 | Importante

C0 | Sans enjeu

No

n c

om

mu

nic

able

C

om

mu

nic

able

C2 | Essentielle

C4 | Très critique

• Idem C1

• Cloud interne • Cloud externe : contrat de service résiliable

avec réversibilité, certification requise (SecNumCloud ou équivalent)

• U/T/D/S dans l’UE obligatoire

• Options ci-dessus +

• Cloud externe avec contrat de service résiliable avec réversibilité, respectant les bonnes pratiques de sécurité (par exemple : Norme C5)

• U/T/D/S dans l’UE obligatoire en C2 et souhaitable en C1

Uti

lisat

ion

, Tra

ite

me

nt,

Dif

fusi

on

ou

Sto

ckag

e

(U/T

/D/S

)

100 % ouvert

100 % protégé

Contrats & relations

partenaires Cloud

• U/T/D/S: Respect du droit des tiers en amont, marquage de la donnée, mesures appropriées spécifiques

• U/D: après vérification des identités et autorisation des ressources avec le soin requis (trust assurance level – PKI, tokens)

• D: business case requis, conformité aux standards, emploi de termes et conditions standards DSNA, auditabilité

• S: Pas de stockage autorisé pour les tiers sauf exception

• U: libre , encouragée • T : libre, pas de termes et conditions • D : business case requis (le coût de

diffusion doit être maîtrisé) - licence ouverte requise

• S : libre, pas de termes et conditions

• U/T/D/S: Respect du droit des tiers en amont

• Diffusion : business case requis, conformité aux standards, emploi de termes et conditions standards DSNA pour l’aval



MÉCANISME DE TRAITEMENT DE L’INFORMATION POUR OBTENIR UNE CLASSIFICATION (ATTÉNUATION)

Evaluation de l’information

C3

Evaluation de l’information transformée pour l’intérêt du BC

C2

Business Case

Nouveau besoin de partage

Partenaire auquel ce niveau de secret s’étend

N itérations possibles (tant qu’on peut transformer les informations pour en créer de nouvelles de classification atténuées)

Le coût de cette transformation est inclus dans le business case



LES RÔLES

DSNA Extérieur ou DSNA

Responsable de l’information

Utilisateur de l’information

Créateur de l’information

Fonction de directeur « Gestion de l’Information » (CDO)

Fournisseur de moyens de traitement

Outils • Business Case de fourniture de service • Formulaire d’évaluation de la criticité de l’information



Programmes « métiers »

Activité transverse « Gouvernance de l’information »

Board “Gouvernance de l’information”

Modèle cible : Gouvernance de l’information DSNA

Roadmap services &

API

Contrats & relations

partenaires

Protection et valorisation

Conformité règlementaire

Relation avec Gouvernances

Europe

Architecture sécurisée &

orientée services

Business Cases (données,

services, codes sources)

Classification information

DP CDM

DP Coflight

DP SYSAT

DP 4F

DP Datalink

DP NSA

CODIR Gouvernance de l’Information

Fonction

de CDO +

Garants

Projets

Projets

(4Me, ATM2, SALTO, CAP, BigSky, SWIMet,

SWIM infra, Bolt, C4UP…)

Formations

Référentiel Architecture d’entreprise

Cloud

Portails Registre DSNA, api.gouv.fr

IPR, Secret des affaires Temps réel, Post-OPS, Prédictif

NewPENS, SWIM, 3SA

Business Cases, Classification, Architecture

AIM, Open Data, SWIM (PCP) Capitalisation DSNA

des modèles, produits et pratiques

Données, Codes Sources, Services

Souveraineté

Activités émergentes (parfois déjà en cours)

Points d’attention

Prgm Innovation

Prgm SESAR

UA3P

Tactique

Stratégique

Opérationnel



Enjeux de l’ouverture des données publiques pour DSNA



IMPLICATIONS POUR LA DSNA Cas général → Au même titre que le reste de la DGAC et les autres administrations Cas particulier de l’information aéronautique → 2 contentieux en cours sur les données du SIA

• Association activiste : o Manuel de phraséologie, Une carte 250k, XML SIA (données statiques SIA)

• Particulier créateur de service : o Données SIA transformées

→ Ouverture envisagée (rapidement XML SIA)

• Interactions entre la ligne de défense et la ligne stratégique • Problèmes :

o Équité (relevés de données géographiques) o droits de tiers (contributeurs privés à l’AIP) o transferts de responsabilité (vers l’homologation d’une licence AIM ?)



IMPLICATIONS POUR LA DSNA

Cas particulier de l’information sur les trajectoires → Transparence et information des riverains sur les questions d’environnement

(mission environnement de la DSNA)

→ Notion de « propriété de la trajectoire » • Propriété DSNA : caractère public non remis en cause par le financement par

redevances pour services rendus • Mais devoir de protection de la DSNA vis-à-vis du secret des affaires de

l’opérateur

→ Précautions à prendre dans le contexte d’exploitation des données de masse :

• Information en apparence anodine mais qui peut dévoiler un secret couvert par la loi (application d’un « principe de précaution numérique »)



IMPLICATIONS POUR LA DSNA : L’EXEMPLE DE LA CRÉATION DE NOUVEAUX SERVICES

Service à valeur ajoutée

Flux de données - En général publiques

- Souvent non communicables (= secrètes) - Tout de même gratuites

Construction du canal - Coût identifiable

par business case - Coût facturable

Maintenance et supervision du canal - Coût identifiable par business case - Intégration dans l’assiette de coût

→ Collaborations et partenariats, positionnement vis-à-vis de l’Airspace Architecture Study (ADSP), développement de services à valeur ajoutée (dont SWIM), exploitation des données de masse (big data, intelligence artificielle)