note Note générale

Gestion des risques : FabMob Qc mise sur la prévention et la proactivité

Mobiliser les acteurs de l’écosystème québécois pour expérimenter et atténuer les risques relatifs aux approches et aux solutions de mobilité durable est la vocation de la Fabrique des Mobilités Québec, une OBNL fondée en 2018. Cette organisation agit également pour la mise en œuvre  de communs  technologiques en mobilité durable. FabMob Qc s'implique activement dans la valorisation des données en lien avec la mobilité, notamment à Montréal. L’organisation agit dans la planification de stationnements, de panneaux de signalisation géolocalisés et dans la gouvernance des bordures. En outre, cette organisation reconnue comme un centre d’excellence québécois en mobilité durable a également lancé le développement d’une application open source collectant des données sur la mobilité, soit l’application Ma Mobilité.

L’équipe de la FabMob QC a alors fait face à de nouveaux enjeux et à de nouvelles problématiques dans la gouvernance des données liées à cette application mobile. Ce retour d’expérience de l’accompagnement ciblé avec Nord Ouvert détaille les réflexions, outils et processus qui ont mené à une amélioration de la gouvernance des données pour l’application Ma Mobilité

La gestion des données et de la sécurité constitue une priorité pour FabMob Qc, qui s’engage fortement à protéger les utilisateurs de l’application. Durant l’accompagnement, l’objectif de FabMob Qc était d’optimiser sa gouvernance des données pour garantir la sécurité des données et des utilisateurs de l’application.

Faites-vous face à des défis similaires au sein de votre propre organisation ?

Explorez les réflexions et les expérimentations de FabMOB dans le cadre de son accompagnement ciblé.

Application en mobilité et gestion des risques

Pendant l’accompagnement ciblé, l’équipe de FabMob Qc s’est interrogée sur les risques liés à l’utilisation de l’application mobile par les utilisateurs. Voici les interrogations-clés qui ont été au cœur de cet accompagnement :

  • Identification des risques - Quelles sont les failles de sécurité, les vulnérabilités et les faiblesses techniques présentes dans le code ?

  • Évaluation des risques - Quel est le niveau de risque associé en termes de probabilité et de sévérité ?

  • Gestion des risques - Quels éléments doivent être priorisés ? Quelle approche adopter pour gérer les risques efficacement ?

  • Conformité avec la Loi 25 - Est-ce que toutes les démarches ont été correctement effectuées afin de se conformer aux normes légales et aux dispositions mises en place par le gouvernement du Québec pour protéger la vie privée des Québécois ?

Inventaire des risques

La première étape de l’équipe de FabMob Qc a consisté à tenter de dresser la liste exhaustive  des risques auxquels ils faisaient face. Cet exercice a très rapidement montré ses limites, car il était difficile pour l’équipe de se baser uniquement sur les risques perçus par l’équipe. Rapidement, une recherche documentaire a permis de compléter ces premiers efforts. La liste a été bonifiée ainsi.

La prise de connaissance de la matrice de contrôles de sécurité critique du Center for Internet Security (CIS) a été un tournant dans l’accompagnement. Le document présentait l’avantage de fournir une liste reconnue et normalisée de vulnérabilités qui dépassent la dimension technique. Toutefois, ce document n’était pas adapté, en l’état, à l’application Ma Mobilité.

Ainsi, lors d’une troisième étape, FabMob Qc a adapté cette matrice à leur situation pour évaluer précisément les risques liés à leur application. Les risques identifiés ont été classés selon le type d’actif (appareils, applications, données, réseaux, ou utilisateurs), la dimension (juridique, organisationnelle, ou technologique), la fonction de sécurité (détecter, identifier, protéger, réagir, récupérer), le niveau de risque et les solutions de réduction des risques. L’évaluation du niveau de risque a été effectuée en utilisant une matrice des risques, une pratique courante dans de nombreux domaines. Cette matrice attribue un niveau de risque en fonction de la sévérité et de la probabilité de chaque évènement.

Aperçu d’une première version de travail de l’adaptation de la matrice du CIS (Février 2023)

À la fin de l’accompagnement, FabMob Qc a pu élaborer un premier jet d’une feuille de route afin de parfaire et de répéter efficacement l’exercice.

  • Créer une liste de risques et les classer par degré d’importance ;
  • Définir les priorités d’action selon le degré d’importances des potentielles vulnérabilités ;
  • Mesurer les efforts nécessaires pour pouvoir réduire chacune des vulnérabilités ;
  • Faire ressortir les risques de la non-application de certaines mesures (bonnes pratiques) identifiées dans le tableau ;
  • Création d’un document qui liste les bonnes pratiques, leur catégorie, leur importance et leur état d’application au sein du projet.

Apprentissages de FabMob Qc lors de son accompagnement avec Nord Ouvert

  1. Mettre en place des bonnes pratiques est plus simple qu’identifier les risques

    Il s’est avéré plus simple de commencer par définir des bonnes pratiques et des contrôles, puis de les utiliser comme point de départ pour identifier les risques. Cette approche de « rétro-ingénierie» nous a permis de concevoir des actions liées à la gouvernance des données telles que la gestion du stockage et de l’accès aux données, la mise en place de procédures d’archivage par exemple. Cela a permis de garantir une gouvernance des données complète et efficace.

  2. La mise en place d'une gouvernance des données ne peut pas se faire en vase clos

    La gouvernance des données requiert une planification à l’échelle organisationnelle, impliquant un engagement continu allant au-delà des projets individuels. La priorisation des rôles et des responsabilités est cruciale dans cette démarche. Une compréhension approfondie du fonctionnement de l’organisation est essentielle pour une intégration efficace de la gouvernance des données. Une flexibilité est également nécessaire afin d’adapter les pratiques organisationnelles aux bonnes pratiques en matière de gouvernance des données.

  3. La gestion des risques liés à la gouvernance des données s’étend au-delà des données elles-mêmes

    Assurer la cybersécurité doit également englober des éléments tels que les appareils, les serveurs et les utilisateurs. Cette approche intègre diverses stratégies telles que la communication, la formation, la définition, la mise en œuvre de procédures et l’utilisation d’outils de sécurité. Cela souligne que l’application de bonnes pratiques peut être holistique pour garantir une gouvernance des données efficace.

  4. La mise en place de mesures préventives pour un renforcement de la sécurité des données

Dans le cadre de la sécurité et de la gouvernance des données d’une application, mettre en évidence les avantages des mesures préventives revêt une importance cruciale. Bien que la gestion des risques puisse ne pas se traduire immédiatement par des résultats tangibles, l’accent doit être mis sur la prévention des problèmes. La mise en œuvre d’une gouvernance des données adéquate demeure incontestablement cruciale pour les organisations, et ce, même si les retombées concrètes de la prévention peuvent être difficiles à mesurer. Cependant, les conséquences d’une faille de sécurité peuvent être considérables pour une organisation. Ces conséquences peuvent comprendre la perte de confiance des utilisateurs ou clients, des fuites d'informations sensibles, des sanctions légales et des répercussions financières.

En somme, les retombées de l’apprentissage ciblé sont nombreuses:

  • Une mobilisation effective de l’équipe sur le sujet. Il est impératif d’y consacrer du temps et des ressources ;
  • Une identification de l’ensemble des risques (pas juste techniques) ;
  • La production de la liste de contrôle ;
  • L’identification claire de ce qu’on peut faire et ce qu’on doit faire pour minimiser les risques ;
  • Une communication étayée à l’organisation sur ce qu’il faudrait faire et les convaincre d’y travailler.

Intégration de la gouvernance des données dans la culture de l’organisation

Au fur et à mesure de ses progrès en matière de gouvernance des données, FabMob Qc a réalisé que cette démarche ne se limite pas à un projet spécifique. Elle exige une vision globale. Lors des réflexions dans le cadre du projet Ma Mobilité, l’organisation a compris que la gestion des risques implique l’exploration de nombreux aspects, allant du code source à la structure de l'équipe. Il est donc nécessaire de penser au-delà de projets individuels.

« L'accompagnement par Nord Ouvert a aidé à établir une communication éclairée à travers toute l’organisation, aidant ainsi à convaincre les autres membres de l’équipe de s'engager dans le processus d’amélioration de la gouvernance des données. » Témoignage de Raouf Sadeddine, conseiller stratégique en mobilité. 

L’aide-mémoire du guide de l’accompagnement ciblé nous a permis de constater de bonnes pratiques en sécurité de l’information et de valider une certaine catégorisation des risques

Il n’est pas trop tard pour que vous aussi vous repensiez votre gouvernance des données! Consultez nos autres retours d’expériences pour des trucs et astuces sur la gouvernance des données.

À propos du Chantier de la gouvernance des données de Montréal en commun

Nord Ouvert, en tant que porteur du Chantier de la gouvernance des données de Montréal en commun, propose un parcours de gouvernance des données à la communauté d’innovation afin de progressivement opérationnaliser les principes de la Charte de données numériques de la Ville de Montréal. Le programme mise explicitement sur la collecte, le partage et la valorisation des données pour éclairer la prise de décisions collectives et individuelles.

Montréal en commun rassemble une communauté d’innovation pilotée par la Ville de Montréal dont les partenaires expérimentent avec des solutions en accès à l’alimentation, en mobilité et en données et règlementation municipale dans un désir de repenser la métropole. Les projets sont mis en œuvre grâce au prix de 50 M$ octroyé à la Ville par le Gouvernement du Canada dans le cadre du Défi des villes intelligentes.

Cet article a piqué votre curiosité et vous aimeriez en savoir plus sur la gouvernance des données ? Vous ne savez pas par où commencer ? Trouvez d’autres ressources, des formations gratuites et plus encore sur notre site : https://opennorth.ca/fr/ 

Auteur : Nord Ouvert
Contributions à la recherche et la rédaction : Jérémy Diaz, Judith François-Langevin et Raouf Sadeddine (FabMob Qc)
Remerciements à l’ensemble de nos collègues et clients de Nord Ouvert qui contribuent sans cesse à approfondir et faire évoluer notre compréhension de la gouvernance des données et de ses bonnes pratiques. 

share Copier le lien

padding Carnet(s) relié(s)

file_copy 25 notes
Le Chantier de la gouvernance des données de Montréal en commun
file_copy 25 notes
person
Intégré par Nord Ouvert, le 20 mars 2024 16:11

Auteur·trice(s) de note

Fabrique Des Mobilités Québec
Nord Ouvert
forumContacter les auteur·trice(s)

Communauté liée

Montréal en commun

Profil En commun

Communauté Passerelles

Carnets Praxis

forumDiscuter de la note

Publication

20 mars 2024

Modification

25 mars 2024 15:26

Historique des modifications

Visibilité

lock_open public