Liens de la barre de menu commune
Vérification de l’infrastructure de la technologie de l’information : Contrôles généraux
Rapport de vérification interne
Octobre 2008
Table des matières
- Sommaire
- Introduction
- Opinion de la vérification
- Constatations, recommandations et plan d’action de la direction
- Annexe A : Critères de vérification
- Annexe B : Liste des sigles
Sommaire
Contexte
L’Agence des services frontaliers du Canada (ASFC) obtient des services et du soutien touchant l’infrastructure de la technologie de l’information (TI) de deux autres organismes fédéraux. L’étendue de ces services et de ce soutien afférents à l’infrastructure de la TI définie dans les protocoles d’entente officiels conclus entre l’ASFC et ces deux organismes englobe les principales composantes de technologie de l’infrastructure et la plus grande partie des systèmes administratifs utilisés à l’ASFC.
L’ASFC gère et contrôle les milieux suivants dans lesquels s’inscrit l’infrastructure de la TI à l’Administration centrale de l’ASFC qui ne sont pas visés par les ententes de services conclues avec ces deux organismes :
- ordinateurs de bureau de l’Administration centrale et milieux dans lesquels s’inscrivent l’infrastructure de la TI et les réseaux connexes;
- recherche, mise au point d’applications et milieux de mise à l’essai pour des services scientifiques et de laboratoire, des applications opérationnelles et des applications organisationnelles;
- milieux spécialisés touchant la publication, les communications, la sécurité, intranet/Internet, la formation et les enquêtes.
Il s’agit de la deuxième des deux vérifications décrites dans le Plan de vérification pluriannuel axé sur les risques 2007-2010 de la Direction de la vérification interne de l’ASFC qui a été approuvé par le Comité de vérification en octobre 2007. L’ASFC a déterminé qu’il était nécessaire de mener deux vérifications afin que l’Agence obtienne le niveau optimal de services de TI, lequel crée des conditions de fonctionnement entièrement sécuritaires et répond aux besoins opérationnels actuels et futurs.
La première vérification a été achevée en février 2008 et portait sur les arrangements en matière de gouvernance touchant la prestation de services de TI à l’ASFC par les fournisseurs de services des organismes fédéraux. Cette deuxième vérification portait sur le caractère adéquat et l’efficacité du cadre de contrôle prévu pour l’infrastructure de la TI sous la gestion et le contrôle de l’ASFC.
Cette vérification a été menée conjointement par Interis Conseils et par la Direction de la vérification interne de l’ASFC. La planification de la vérification s’est déroulée d’octobre 2007 à mars 2008 et la vérification a été effectuée à l’Administration centrale entre mars et juillet 2008.
Objectif et étendue
Cette vérification avait pour objectif de donner l’assurance à la haute direction du caractère adéquat des contrôles afin de veiller à ce que l’infrastructure de la TI soit planifiée, gérée et tenue de manière à soutenir des opérations efficientes.
L’étendue de la vérification portait sur l’examen de l’infrastructure de la TI gérée et contrôlée par l’ASFC et comportait :
- la planification de l’infrastructure de la TI de l’ASFC, la gestion des investissements, les normes techniques, la gouvernance, les rôles et responsabilités et les processus et pratiques afférents à l’atteinte des objectifs stratégiques et opérationnels de l’ASFC, à ses priorités ou exigences;
- les contrôles généraux associés à la gestion du cycle de vie des biens;
- les activités de gestion en vigueur de l’ASFC (pratiques de contrôle, méthodes et procédures internes) ayant pour but d’éviter des problèmes qui pourraient avoir des incidences sur les activités ou des incidents liés aux changements associés à l’élaboration, à la mise en œuvre ou aux changements apportés à l’infrastructure de la TI.
Les applications de gestion, les logiciels de bureautique et la gestion des données n’étaient pas inclus dans la définition de l’infrastructure de la TI et ne relevaient donc pas de l’étendue de cette vérification. L’infrastructure de la TI non reliée au réseau, notamment les milieux spécialisés touchant la sécurité et les publications, a également été exclue de l’étendue de la vérification.
Une vérification séparée du caractère adéquat et de l’efficacité des plans de continuité des activités de l’ASFC est prévue pour 2008-2009.
Énoncé d’assurance
Cette vérification a été planifiée et menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.
Opinion de la vérification
La vérification a permis de constater que les contrôles mis en place pour planifier, gérer et maintenir l’infrastructure de la TI relevant de la responsabilité de l’ASFC étaient en grande partie satisfaisants, favorisaient l’atteinte des objectifs stratégiques et opérationnels de l’ASFC, permettaient de satisfaire à ses exigences et de donner suite à ses priorités. La vérification a toutefois permis de mettre en lumière des possibilités d’amélioration des processus opérationnels.
Principales observations
La vérification a révélé que des normes de technologie étaient en vigueur et bel et bien suivies et que des processus étaient en place pour mettre à jour les normes.
Les rôles et responsabilités en matière de mise au point de l’infrastructure de la TI et des fonctions de maintenance étaient revus et mis à jour.
Des dispositifs de protection adéquats avaient été mis en place afin d’éviter d’éventuelles incidences opérationnelles ou des incidents liés à la mise au point, à la mise en œuvre ou aux changements apportés à l’infrastructure de la technologie de l’information.
Des travaux étaient en cours en vue de dresser un plan stratégique de la TI, d’élaborer une politique de gestion des biens d’infrastructure de la TI et d’apporter la touche finale au modèle de gouvernance d’architecture de la TI ainsi qu’aux processus connexes. Ces activités auront pour effet d’améliorer la planification de l’infrastructure de la TI, la gestion du cycle de vie des biens de TI ainsi que la gouvernance en matière d’architecture de la TI.
Réponse de la direction
La Direction générale de l’innovation, des sciences et de la technologie est d’accord avec les recommandations de ce rapport.
Introduction
Aux fins de la présente vérification, l’infrastructure de la technologie de l’information s’entend de l’ensemble des composantes utilisées pour les systèmes d’application de traitement qui permettent aux utilisateurs finals d’interagir avec ces systèmes. Ces composantes comprennent les ordinateurs, les supports de données, les réseaux de télécommunications, les dispositifs de stockage des données, les dispositifs périphériques, les systèmes d’exploitation, le logiciel du système de gestion des bases de données, le système de sécurité ainsi que le cadre matériel utilisé pour loger et soutenir ces composantes.
Contexte
L’Agence des services frontaliers du Canada (ASFC) obtient des services et du soutien touchant l’infrastructure de la technologie de l’information (TI) de deux autres organismes fédéraux. L’ASFC gère et contrôle également les éléments d’infrastructure de la TI non visés par les ententes de services conclues avec ces deux organismes. Les ententes de service conclues avec l’un des deux organismes assurent aux utilisateurs de l’ASFC un accès aux systèmes d’exécution des opérations, dont le fonctionnement repose sur les composantes d’infrastructure possédées et contrôlées par cet organisme, ainsi qu’un soutien face à l’utilisation de ces systèmes. L’autre organisme gère et contrôle une infrastructure de la TI commune avec l’ASFC. L’étendue des services et du soutien liés à l’infrastructure de la TI est définie dans les protocoles d’entente (PE) officiels conclus entre l’ASFC et les fournisseurs de services des autres organismes et englobe les composantes de technologie principales de l’infrastructure et leur connectivité à certains systèmes opérationnels utilisés à l’ASFC.
L’ASFC gère et contrôle les milieux suivants dans lesquels s’inscrit l’infrastructure de la TI à l’Administration centrale de l’ASFC :
- ordinateurs de bureau de l’Administration centrale et milieux dans lesquels s’inscrivent l’infrastructure de la TI et les réseaux connexes;
- recherche, mise au point d’applications et milieux de mise à l’essai pour des services scientifiques et de laboratoire, des applications opérationnelles et des applications organisationnelles;
- milieux spécialisés touchant la publication, les communications, la sécurité, intranet/Internet, la formation et les enquêtes.
Il s’agit de la deuxième des deux vérifications décrites dans le Plan de vérification pluriannuel axé sur les risques 2007-2010 de la Direction de la vérification interne de l’ASFC qui a été approuvé par le Comité de vérification en octobre 2007. L’ASFC a déterminé qu’il était nécessaire de mener deux vérifications afin d’assurer que l’ASFC obtienne le niveau optimal de services de TI, lequel crée des conditions de fonctionnement entièrement sécuritaires et répond aux besoins opérationnels, actuels et futurs.
La première vérification a été achevée en février 2008 et portait sur les arrangements en matière de gouvernance touchant la prestation de services de TI à l’ASFC par les fournisseurs de services qu’étaient les autres organismes. La vérification avait permis de constater que les attentes en matière de services et la prestation des services par l’ASFC faisaient l’objet d’une surveillance en fonction des protocoles d’entente et des documents connexes (accords sur les niveaux de service, accords sur la prestation des services et cadres de gestion). Ces accords faisaient l’objet d’examens cycliques et des contrôles étaient en vigueur afin de gérer les risques opérationnels associés aux accords sur la prestation des services. On avait alors déterminé qu’il était possible de mieux définir les services et les niveaux de service, d’harmoniser les orientations opérationnelles et stratégiques de TI et d’améliorer les pratiques en matière de gestion du risque.
Cette deuxième vérification était axée sur le caractère adéquat et l’efficacité du cadre de contrôle prévu pour l’infrastructure de la TI et dont la gestion et le contrôle incombent à l’ASFC. À cette fin, ce rapport renvoie strictement à la relation avec le fournisseur de services (autre organisme), lequel gère l’infrastructure commune avec l’ASFC.
En outre, la présente vérification a examiné le rapport 2007 octobre – Rapport de la vérificatrice générale du Canada. Dans ce rapport, la vérificatrice générale a constaté que bien que des « investissements de TI aient été consentis en fonction des plans d’activité et des priorités gouvernementales, ces projets de TI n’avaient pas été guidés par un plan stratégique pour la technologie de l’information ou la gestion de l’information ». L’Agence a entamé le travail d’élaboration d’un plan stratégique de la TI.
Évaluation des risques
Lors de la phase de planification de la vérification, on a évalué les risques afin de déterminer les secteurs éventuels de vérification. Parmi les risques clés inhérents à la mise au point, à la maintenance et à la protection de l’infrastructure de la TI gérés par l’ASFC, mentionnons :
- l’élaboration d’un plan stratégique de la TI qui doit être accepté et compris par la communauté des utilisateurs et par la Direction générale de l’innovation, des sciences et de la technologie (DGIST) pour assurer la conformité des investissements d’infrastructure de la TI et des affectations de ressources à l’orientation stratégique et aux priorités opérationnelles de l’Agence;
- des rôles et responsabilités en matière de gestion des biens d’infrastructure de TI qui doivent être définis, à jour et communiqués pour faciliter la planification et la gestion des coûts d’infrastructure et la réalisation d’avantages;
- le besoin pour l’ASFC de disposer d’un équipement et de services d’infrastructure de la TI particuliers qui doivent être approuvés en toute connaissance de cause et d’une nouvelle technologie dont la capacité de répondre aux besoins opérationnels doit être certifiée;
- les changements apportés à l’infrastructure de la TI qui doivent être bien gérés afin de maximiser la disponibilité de l’infrastructure et de satisfaire à ses exigences opérationnelles en tant qu’agence de protection de la frontière;
- les plans de continuité des activités et de la TI qui sont nécessaires pour veiller à ce que les opérations critiques se poursuivent même pendant une période de perturbations.
Objectif et étendue de la vérification
Cette vérification avait pour objectif de donner à la haute direction l’assurance du caractère adéquat des contrôles afin de veiller à ce que l’infrastructure de la TI soit planifiée, gérée et maintenue de manière à soutenir des opérations efficientes.
L’étendue de la vérification portait sur l’infrastructure de la TI gérée et contrôlée par l’ASFC et comportait :
- la planification de l’infrastructure de la TI de l’ASFC, la gestion des investissements, les normes techniques, la gouvernance, les rôles et responsabilités et les processus et pratiques afférents à l’atteinte des objectifs stratégiques et opérationnels de l’ASFC, à ses priorités ou exigences;
- les contrôles généraux associés à la gestion du cycle de vie des biens;
- les activités de gestion de l’ASFC (pratiques de contrôle, méthodes et procédures internes) mises en œuvre dans le but d’éviter toutes répercussions possibles sur les activités ou des incidents liés aux changements associés à l’élaboration et à la mise en place de l’infrastructure de la TI ou aux changements apportés à celle-ci.
Les applications de gestion, les logiciels de bureautique et la gestion des données n’étaient pas compris dans la définition de l’infrastructure de la TI et ne relevaient donc pas de l’étendue de la vérification. L’infrastructure de la TI non reliée au réseau, notamment les milieux spécialisés touchant la sécurité et les publications, a également été exclue de l’étendue de la vérification.
Comme une vérification séparée du caractère adéquat et de l’efficacité des plans de continuité des activités de l’ASFC est prévue pour 2008-2009, la planification de la continuité de la TI, les essais et les contrôles de surveillance ne faisaient pas partie de l’étendue de cette vérification.
Cette vérification a été menée conjointement par Interis Conseils et la Direction de la vérification interne de l’ASFC. La planification de la vérification a eu lieu entre octobre 2007 et mars 2008 et la vérification a été effectuée à l’Administration centrale entre mars et juillet 2008.
Stratégie et méthodes
Les méthodes utilisées pour mener cette vérification comportait :
- un examen des documents visant à vérifier le caractère adéquat et l’efficacité du cadre de contrôle de gestion touchant l’infrastructure de la TI;
- l’examen d’un échantillon d’approvisionnements en matière d’infrastructure de la TI réalisés en 2007-2008 afin d’évaluer la planification, la gestion de la conformité par rapport aux normes de technologie et les contrôles. La vérification sur place des biens par rapport aux registres de stock de biens de TI pour un bureau situé à Ottawa a été achevée;
- l’évaluation des rôles et responsabilités en matière de gouvernance de l’architecture de la TI; et l’étendue des questions traités relativement à l’architecture de la TI;
- un examen des rôles et responsabilités pour la gestion des versions, la gestion des changements, les correctifs d’urgence et la gouvernance de projet.
Critères de vérification
À la lumière des résultats d’une évaluation des risques de la gestion de l’infrastructure de la TI, on a élaboré des critères TI en utilisant le cadre des objectifs de contrôle dans le domaine de l’information et des technologies connexes (CobiT) publié par l’IT Gouvernance Institute.
Les critères de vérification utilisés pour évaluer les pratiques opérationnelles globales, les contrôles généraux et les processus de gouvernance de l’ASFC touchant la prestation des services d’infrastructure de la TI ont été regroupés selon sept catégories :
- Planification de l’infrastructure de la TI
- Gouvernance touchant l’architecture de la TI
- Normes de technologie
- Gestion du cycle de vie des biens d’infrastructure de la TI
- Gestion des investissements dans l’infrastructure de la TI
- Rôles et responsabilités
- Gestion des changements apportés à l’infrastructure de la TI
Des critères plus précis sont décrits à l’annexe A.
Énoncé d’assurance
Cette mission de vérification a été planifiée et menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.
Opinion de la vérification
La vérification a permis de constater que les contrôles mis en place pour planifier, gérer et maintenir l’infrastructure de la TI relevant de la responsabilité de l’ASFC étaient en grande partie satisfaisants, favorisaient l’atteinte des objectifs stratégiques et opérationnels de l’Agence, permettaient de satisfaire à ses exigences et de donner suite à ses priorités. La vérification a toutefois permis de mettre en lumière des possibilités d’amélioration des processus opérationnels.
Constatations, recommandations et plan d’action de la direction
La vérification a révélé que des normes de technologie approuvées étaient suivies et que des processus étaient en place pour mettre à jour les normes. Les rôles et responsabilités en matière de mise au point de l’infrastructure de la TI et des fonctions de maintenance étaient revus et mis à jour. Des dispositifs de protection adéquats avaient été mis en place afin d’éviter d’éventuelles incidences opérationnelles ou des incidents liés à la mise au point, à la mise en œuvre ou aux changements apportés à l’infrastructure de la TI.
Des travaux étaient en cours en vue de dresser un plan stratégique de la TI, d’élaborer une politique de gestion des biens d’infrastructure de la TI et d’apporter la touche finale au modèle de gouvernance d’architecture de la TI ainsi qu’aux processus connexes. Ces activités auront pour effet d’améliorer la planification de l’infrastructure de la TI, la gestion du cycle de vie des biens de TI ainsi que la gouvernance en matière d’architecture de la TI.
Planification de l’infrastructure de la TI
Il n’y avait pas de plan stratégique de la TI à l’ASFC pour guider l’élaboration des plans d’infrastructure pour l’infrastructure commune et pour les projets individuels.
Un plan stratégique de la TI définit une orientation globale pour l’acquisition, la mise en œuvre et la maintenance des composantes de l’infrastructure de la TI. Le plan permettrait de documenter la vision de TI, les stratégies de TI ainsi que les principes suivis pour satisfaire aux exigences opérationnelles actuelles de l’ASFC et donner suite à ses priorités à plus long terme. De façon caractéristique, ce plan comporterait une liste de projets de TI parmi lesquels un ordre de priorité serait établi en fonction des plans et priorités. On y trouverait également des recommandations touchant les diverses composantes d’architecture (p. ex. infrastructure de technologie, données, applications), une stratégie de migration de haut niveau et une description des coûts connexes. Le plan serait une composante clé d’une structure de gouvernance de TI favorisant la gestion efficace de l’information et de la technologie.
La vérification a permis de constater qu’en l’absence de plan stratégique de la TI, l’ASFC avait procédé à des acquisitions d’infrastructure de la TI afin de répondre à ses priorités opérationnelles. En faisaient partie des remplacements d’immobilisations, des commandes de travail et des demandes de changements afin de répondre à de nouvelles exigences. L’ASFC a procédé à des analyses de projets afin de déterminer les besoins en infrastructure et elle a travaillé avec le fournisseur de services afin de définir les exigences ou les changements. On a en outre cerné les besoins d’infrastructure destinés à appuyer plus d’un projet de l’ASFC.
Aucun élément de preuve ne tend à montrer que l’infrastructure de la TI ne soutient pas les applications opérationnelles. L’orientation de l’architecture de technologie définie dans le protocole d’entente avec le fournisseur de services servait de guide pour l’acquisition, la mise en œuvre et la maintenance des composantes d’infrastructure. En l’absence d’un plan stratégique de la TI à l’échelle de l’Agence, il y avait toutefois risque que l’Agence ne tire pas parti de certaines possibilités d’optimiser le rendement, les coûts et l’utilisation de nouvelles technologies pour donner suite à ses priorités stratégiques.
La vérification a permis d’observer que la DGIST avait commencé à élaborer un plan stratégique de la TI de l’ASFC. L’étendue du plan comportait l’établissement et l’élaboration continus d’une stratégie de TI qui définisse l’état de la technologie visée de l’ASFC d’ici cinq ans et qui offre une feuille de route quant aux modalités de mise en œuvre de ces changements.
Recommandation :
1. La vice-présidente de la Direction générale de l’innovation, des sciences et de la technologie devrait poursuivre l’élaboration du plan stratégique de la TI et le faire approuver.
| Plan d’action de la direction | Date d’achèvement |
|---|---|
L’ébauche initiale du plan stratégique de la TI de l’ASFC avait été remise au Secrétariat du Conseil du Trésor du Canada (SCT) au chapitre de la Ronde 5 du Cadre de responsabilisation de gestion (CRG). Des mesures ont déjà été prises afin de répondre à la rétroaction du SCT et pour les besoins de finaliser le plan. |
|
La Direction générale de l’innovation, des sciences et de la technologie s’engage à finaliser et à faire approuver le plan stratégique de la TI. |
juin 2009 |
Gouvernance en matière d’architecture de la TI
Une structure de gouvernance touchant l’architecture de la TI était en place. Le Conseil d’examen de l’architecture — une composante clé de la structure de gouvernance de la TI — ne s’était pas réuni depuis novembre 2006, ce qui a eu des incidences sur l’atteinte des objectifs de gouvernance qui consistaient à faciliter l’apport des intervenants et la communication des décisions touchant l’architecture de la TI.
La gouvernance en matière d’architecture de la TI représente un mécanisme de vérification de la conformité de l’infrastructure de la TI aux normes et lignes directrices de l’ASFC. En font partie la structure organisationnelle et les processus mis en place afin d’examiner et d’approuver les décisions en matière d’infrastructure de la TI et la disponibilité de lignes directrices en matière de technologie par rapport auxquelles la conformité peut être évaluée.
L’ASFC avait défini une structure de gouvernance de l’architecture afin de guider l’examen et l’approbation des normes, des lignes directrices et des principes d’architecture ainsi que pour approuver l’architecture propre à un projet donné. L’étendue des décisions en matière d’architecture englobait la technologie de même que d’autres composantes d’architecture de la TI, telles que les données et l’architecture de l’application.
La vérification a permis de constater que quatre organismes de supervision de l’ASFC, comptant des représentants de la DGIST, participaient au processus de gouvernance :
- Le Comité d’architecture d’entreprise examine et approuve tous les résultats attendus en matière d’architecture pour la Direction de la planification stratégique et intégration avant que les résultats attendus n’en soient aux étapes suivantes du processus de gouvernance;
- Le Comité d’examen technique examine et approuve la documentation afférente à la technologie du projet de l’ASFC afin de s’assurer de la conformité aux normes d’architecture; il examine et approuve les stratégies de TI, met à jour les documents afin qu’ils s’alignent avec les normes de technologie et demande des écarts touchant l’architecture de la technologie; et il achemine les décisions d’approbation au Conseil d’examen de l’architecture;
- Le Comité d’examen de l’architecture examine et approuve les normes et lignes directrices, les écarts touchant l’architecture de la technologie, les projets d’architecture; il examine et approuve les stratégies, principes et questions entourant l’architecture reliés aux grands projets et initiatives; et il transmet les approbations au Forum d’examen des directeurs généraux pour approbation;
- Le Forum d’examen des directeurs généraux étudie et approuve les demandes de changements et les documents afférents aux processus, stratégies et concepts.
La vérification a révélé que la structure de gouvernance de l’architecture de l’ASFC représentait un mécanisme d’examen des orientations touchant l’architecture de la TI; qu’elle assurait l’élaboration et la mise à jour de lignes directrices en matière d’architecture de l’infrastructure; qu’elle favorisait la formulation de recommandations touchant la conception technique afin de répondre aux besoins opérationnels; et qu’elle permettait de vérifier la conformité aux normes d’infrastructure techniques. Les ententes touchant la gouvernance de l’architecture conclues entre l’ASFC et son fournisseur de services ont en outre permis de mettre en place un mécanisme définissant les normes de technologie, de confirmer qu’une conception de l’infrastructure technique proposée était conforme aux normes de la technologie et d’examiner et d’approuver un écart par rapport aux normes.
La vérification a toutefois permis de constater que le Conseil d’examen de l’architecture — l’un des contrôles clés du processus de gouvernance — ne s’était pas réuni depuis novembre 2006. Le Conseil permettait à la direction d’examiner et d’approuver les réalisations attendues pendant les premières étapes d’un projet, ainsi que par la suite au cours du cycle de vie du projet lorsque les recommandations touchant l’architecture passent du concept à la conception détaillée, puis à la mise en œuvre.
Bien qu’un examen d’architecture de rechange et des mécanismes d’approbation aient été en place, la vérification a permis de constater que les rôles et responsabilités en ce qui a trait à l’examen et à l’approbation des décisions touchant l’architecture de la technologie n’étaient pas clairement compris. L’examen des procès-verbaux des réunions a également permis de constater qu’on n’y trouvait pas toujours des indications claires quant aux comptes rendus de décisions touchant les recommandations de conception d’architecture technique.
Lors des entrevues, on a appris que le Conseil d’examen de l’architecture avait cessé de tenir des réunions en partie en raison des changements organisationnels qui s’étaient produits à l’intérieur de la DGIST, lesquels avaient eu des incidences sur la composition du Conseil et la coordination de ses réunions. En l’absence de réunions du Conseil, les décisions en matière d’architecture étaient gérées par le Comité de directeurs de la technologie de l’information (CDTI) de la DGIST et par le Forum sur les projets des directeurs de la DGIST, deux autres comités de la DGIST auxquels siégeaient certains membres du Comité d’examen de l’architecture.
La confirmation des rôles des organismes de supervision de l’ASFC permet de veiller à ce que les décisions touchant la conception technique soient approuvées en pleine connaissance des incidences des recommandations sur le rendement, de la disponibilité ou d’autres aspects techniques et contraintes au moment de la conception de la solution technique. De plus, un examen des produits d’architecture pendant les premières étapes du cycle de vie du projet a permis de déterminer les révisions à apporter à la conception alors qu’il était plus facile de le faire.
La vérification a permis de constater que la DGIST avait indiqué qu’elle prévoyait terminer un examen de la gouvernance de l’architecture de la TI, et qu’elle aurait une structure approuvée en place d’ici décembre 2008.
Recommandation :
2. La vice-présidente de la Direction générale de l’innovation, des sciences et de la technologie devrait finaliser la nouvelle structure de gouvernance de l’architecture de la TI et la mettre en œuvre.
| Plan d’action de la direction | Date d’achèvement |
|---|---|
La Direction générale de l’innovation, des sciences et de la technologie a repris ses travaux avec le Conseil d’examen de l’architecture relativement au processus de gouvernance et elle s’engage à finaliser et à assurer la mise en oeuvre intégrale du processus de gouvernance d’architecture de la TI approuvé |
|
Finaliser le modèle de gouvernance d’architecture de la TI. La structure de gouvernance d’architecture de la TI sera présenté pour approbation au Comité de gestion de la haute direction (CGHD). |
décembre 2008 |
Assurer la mise en œuvre intégrale du processus de gouvernance d’architecture de la TI approuvé. |
mars 2009 |
Normes de technologie
Des normes de technologie étaient en vigueur et observées.
Les normes de technologie assurent la normalisation de l’information et de la TI. Les objectifs de normalisation comprennent des milieux de matériel et de logiciels simplifiés et la sélection des logiciels, l’octroi limité de licences de logiciels et des coûts de soutien moindres, une plus grande latitude pour tirer parti de technologies nouvelles et une harmonisation plus étroite des activités et de la TI.
La vérification a permis de constater que des normes de technologie avaient été élaborées et qu’elles étaient respectées au sein de l’Agence. Ces normes avaient été principalement élaborées par le fournisseur de services et avaient été adoptées par l’ASFC. La Perspective pour l’architecture de technologie, élaborée chaque année à la lumière des commentaires de l’ASFC, a fourni une orientation de haut niveau touchant l’architecture de technologie. On a utilisé la Liste des produits certifiés (LPC) pour les types d’équipements certifiés, qui est tenue par le fournisseur de services, et elle a été utilisée pour vérifier la conformité de la nouvelle infrastructure aux normes de technologie.
Des processus de mise à jour des normes étaient en vigueur, y compris un examen et une évaluation par l’ASFC de solutions technologiques visant à répondre à l’évolution des besoins opérationnels de l’Agence, de même que des initiatives menées conjointement avec le fournisseur de services en vue apporter des changements à l’infrastructure de la TI commune. On a par conséquent déterminé quelles étaient les normes de technologie révisées aptes à répondre aux nouvelles exigences.
Gestion du cycle de vie des biens d’infrastructure de la TI
Les investissements en matière d’infrastructure étaient justifiés et des budgets touchant l’investissement dans l’infrastructure de la TI étaient dressés et gérés. Il n’y avait toutefois aucun inventaire unifié des éléments d’infrastructure TI gérés et contrôlés par l’ASFC qui aurait pu donner une idée claire des stocks de biens de TI aux fins de la planification et de la budgétisation du remplacement des biens.
La gestion des stocks de biens de l’infrastruture de la TI au moyen d’une méthode du cycle de vie répond à la nécessité de remplacer et de mettre à niveau des biens (renouvellement continu), d’y apporter des changements et de répondre aux besoins de nouvelles initiatives. Les systèmes d’information de gestion des ressources permettent de recueillir et de produire de l’information complète et exacte sur l’utilisation des stocks de biens de l’infrastructure de la TI et facilitent ainsi l’élaboration d’un plan et d’un budget de remplacement des biens.
La vérification a permis de constater que l’inventaire des biens d’infrastructure de la TI gérés par l’ASFC étaient tenu et validé au moyen de systèmes et processus multiples. La DGIST gérait les ordinateurs de bureau, les ordinateurs portatifs et les données d’inventaire des imprimantes pour 12 bureaux situés dans la région de la capitale nationale (RCN) de l’Administration centrale et elle était en train d’ajouter des stocks de biens pour d’autres bureaux situés à l’intérieur de la RCN. Certaines données touchant l’inventaire de l’infrastructure de la TI étaient tenues par des organismes individuels, indépendamment du système de la DGIST.
Les différents systèmes de tenue des registres d’inventaire rendent compte du fait que les responsabilités pour l’inventaire de la gestion des stocks de biens de TI étaient dispersées à l’intérieur de l’ASFC. Cette situation est attribuable en partie à l’absence de cadre de gestion du matériel de l’Agence qui définisse l’information touchant les stocks de biens à consigner, dont il faut rendre compte dans l’inventaire, et la façon dont ces renseignements doivent être validés.
Lors de deux vérifications précédentes, on avait souligné la nécessité de se doter d’un cadre de gestion du matériel : la Vérification de la gestion de la flotte de véhicules et la Vérification de la gestion des immobilisations – Équipement : technologie de détection. En réponse à ces vérifications, la Direction générale du contrôle a amorcé l’élaboration d’un cadre de gestion centralisée de l’actif total, en définissant notamment des responsabilités pour la gestion des biens, les rôles et responsabilités. Ce cadre sera rédigé d’ici décembre 2008. La DGIST a en outre élaboré une politique de gestion des biens de TI. Cette politique a pour objectif d’assurer la gestion efficace des stocks des utilisateurs finals de TI de l’ASFC tout en maintenant les dépenses et les stocks à un niveau minimal.
En l’absence d’un inventaire unifié, il y a risque que l’Agence ne prenne pas les décisions les plus éclairées touchant les investissements en immobilisations, parce qu’elle ne dispose pas d’une idée globale des coûts totaux pour le remplacement des biens de TI.
La vérification a permis de constater qu’une justification des investissements en infrastructure avait été fournie afin d’étayer la décision d’approuver un investissement. Pour de nouveaux projets qui comportent une composante d’infrastructure ou des changements importants, des analyses de rentabilisation avaient été élaborées et approuvées. Le renouvellement continu des composantes d’infrastructure se fondait sur l’obsolescence des biens, le retrait du soutien du fournisseur et la fin de vie utile d’un bien. Les demandes d’approvisionnement par les gestionnaires des centres de coûts se fondaient sur des besoins qui avaient été consignés et communiqués par le gestionnaire.
Une ébauche de politique sur l’acquisition de matériel et de logiciel de technologie de l’information a été rédigée par la DGIST. Cette politique aura pour objectif de gérer de manière centrale l’approvisionnement en TI, de façon à permettre à l’ASFC de tirer parti de son pouvoir d’achat et d’atténuer les risques afférents à la passation des marchés tout en permettant que ces biens de TI soient déterminés et gérés par les autorités fonctionnelles.
Des budgets afférents aux investissements dans l’infrastructure de la TI étaient dressés et gérés. Lorsque les biens faisaient partie d’un nouveau projet, la détermination du budget et les processus d’approbation suivaient le cycle de vie du projet. Le budget de remplacement des biens des utilisateurs finals de l’ASFC, tels qu’ordinateurs portatifs, ordinateurs de bureau ou imprimantes, étaient inclus soit dans le plan annuel de remplacement des immobilisations soit dans le budget des utilisateurs finals. Les utilisateurs finals budgétaient en outre pour l’achat de biens supplémentaires qui n’avaient pas été déterminés comme faisant partie d’une nouvelle initiative.
Un examen du plan de remplacement des immobilisations a permis de remarquer que celui-ci ne comportait pas les biens remplacés et financés par certaines des organisations d’utilisateurs qui tenaient leur propre inventaire (p. ex. le laboratoire situé sur l’avenue Bentley). De plus, l’étendue des biens visés par le plan n’était pas conforme à la définition de biens donnée dans la politique de gestion des biens de TI.
Recommandation :
3. La vice-présidente de la Direction générale de l’innovation, des sciences et de la technologie, en collaboration avec la Direction générale du contrôle, devrait finaliser la Politique de gestion des biens de TI conformément au cadre global de gestion du matériel.
| Plan d’action de la direction | Date d’achèvement |
|---|---|
La Direction générale de l’innovation, des sciences et de la technologie collaborera avec la Direction générale du contrôle aux fins de finaliser la politique de gestion des biens de TI. |
|
Mettre au point l’ébauche de la politique de sorte qu’elle soit conforme à la Politique sur la gestion du matériel du Conseil du Trésor et à celle touchant la gestion centralisée de l’actif total de la Direction générale du contrôle. Les politiques sur les acquisitions TI et la gestion des biens TI seront combinées. |
septembre 2008 |
Poursuivre la phase de consultation et la terminer. |
octobre 2008 |
Obtenir l’approbation de la politique finale et la mettre en application. |
décembre 2008 |
Rôles et responsabilités
Les rôles et responsabilités touchant les fonctions d’élaboration et de maintenance de l’infrastructure de la TI ont été revus et mis à jour.
Les contrôles en place pour atteindre les objectifs en matière d’élaboration et de maintenance de l’infrastructure de la TI comportent la définition et la communication des rôles et des responsabilités, la détermination des compétences et de l’expérience nécessaires pour assumer de telles responsabilités, et la prestation de la formation aux employés afin de faciliter le transfert de leurs responsabilités.
La vérification a permis de constater que bon nombre des rôles et responsabilités touchant la mise au point et la maintenance de l’infrastructure étaient documentés. En faisaient notamment partie la sécurité de la TI, la gestion des versions, la gestion des projets de TI, l’approvisionnement en TI, les correctifs d’urgence, la gestion du changement, et les rôles et responsabilités partagés avec le fournisseur de services en vue d’évaluer la conformité des recommandations en matière de conception de technologie aux normes de technologie et d’approuver les écarts par rapport à ces normes.
Au moment de la vérification, d’autres rôles et responsabilités en étaient à diverses étapes d’élaboration. À titre d’exemple, la DGIST élaborait et mettait à jour les rôles et responsabilités touchant la gestion des biens de TI et la gouvernance d’architecture de la TI. On avait prévu amorcer des travaux sur la définition des rôles et des responsabilités touchant la reprise après sinistre et la poursuite des activités de TI une fois que l’approbation finale du financement aurait été obtenue.
La DGIST mène actuellement plusieurs initiatives visant à déterminer les compétences, l’expérience et les besoins en formation et à mettre au point et gérer la formation du personnel. À titre d’exemple, une nouvelle section du perfectionnement du personnel a été mise sur pied à l’intérieur de la DGIST afin de dresser des plans de recrutement, de maintien en poste et de relève pour les personnes travaillant dans des secteurs fonctionnels réputés représenter un risque critique. Cette initiative s’inscrit dans le cadre du renouvellement de la fonction publique du gouvernement du Canada.
Le Comité de gestion de la direction générale (DGIST) avait approuvé un examen de l’évaluation de l’état de préparation organisationnelle afin d’appuyer l’analyse des descriptions de travail génériques utilisées de la Direction générale. L’examen fournira une analyse concordance-écart de l’actuel modèle organisationnel de la DGIST par rapport à l’organisation recommandée de la DGIST, selon des volets de travail génériques. Dans le cadre de l’analyse des descriptions de travail génériques, on a utilisé un modèle de certification pour déterminer les besoins en formation du personnel de la DGIST. Cette évaluation devait se faire entre août et septembre 2008.
Les rôles et responsabilités n’ont pas été définies aussi rapidement que les responsabilités au sein de la DGIST étaient restructurées. En l’absence de rôles et de responsabilités clairement définis, il y a risque que des fonctions soient exécutées en double, que l’on s’en remette de plus en plus aux connaissances du personnel de l’organisation quant à savoir quelles fonctions sont exécutées et qu’en conséquence, il faille consacrer plus de temps et d’efforts à la formation du nouveau personnel.
Gestion du changement de l’infrastructure de la TI
Des contrôles en matière d’approvisionnement avaient été définis et ils étaient suivis. Les processus et responsabilités en matière de gestion du changement avaient été définis et des révisions y étaient apportées afin de renforcer ces processus.
Des contrôles touchant la gestion des changements pour l’approvisionnement et la mise à niveau des éléments d’infrastructure de la TI avaient été conçus afin de veiller à ce que les initiatives de changement soient mises en œuvre correctement, de réduire au minimum les problèmes de production et d’assurer la plus grande disponibilité possible du système.
La vérification a permis de constater que des contrôles avaient été prévus au sein du processus d’approvisionnement afin d’assurer :
- la conformité aux normes de technologie;
- l’utilisation des stocks en mains pour répondre aux nouveaux besoins avant de procéder à de nouveaux achats;
- la justification des approbations d’achat;
- la disponibilité des ressources budgétées afin de financer ces achats.
Des contrôles touchant la gestion des changements apportés aux éléments d’infrastructure de la TI étaient en place et suivis. Les processus de gestion des versions étaient bien documentés et les versions étaient périodiquement revues par la direction de la DGIST. Les processus afférents aux correctifs d’urgence avaient été documentés et des mises à jour étaient effectuées afin de décourager les personnes d’utiliser ces processus de correctifs d’urgence pour contourner les processus normaux de changements et de versions. De plus, un processus de gestion des changements révisés était en cours afin de rendre plus rigoureux le processus de demande de changements et les étapes d’analyse de l’impact du processus.
Annexe A : Critères de vérification
| Secteurs d’intérêt | Critères de vérification |
|---|---|
| Planification de l’infrastructure de la TI |
|
| Gouvernance de l’architecture de la TI |
|
| Normes de technologie |
|
| Gestion du cycle de vie des biens d’infrastructure de la TI |
|
| Gestion des investissements dans l’infrastructure de la TI |
|
| Rôles et responsabilités |
|
| Gestion du changement d’infrastructure de la TI |
|
* Control Objectives for Information and related Technology (objectifs de contrôle dans le domaine de l’information et des technologies connexes)
Annexe B : Liste des sigles
| ASFC | Agence des services frontaliers du Canada |
| CobiT | Control Objectives for Information and related Technology (objectifs de contrôle dans le domaine de l’information et des technologies connexes) |
| CRG | Cadre de responsabilisation de gestion |
| CDTI | Comité de directeurs de la technologie de l’information |
| DGIST | Direction générale de l’innovation, des sciences et de la technologie |
| LPC | Liste de produits certifiés |
| RCN | région de la capitale nationale |
| TI | technologie de l’information |
