Vérification de la gestion des technologies de l’information

Rapport final
19 décembre 2014

[ * ] Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'Information et de la Loi sur la protection des renseignements personnels.

[PDF 143 Ko]

Table des matières

  1. Acronymes utilisés dans le présent rapport
  2. 1.0 Introduction
    1. 1.1 Autorisation
    2. 1.2 Objectif
    3. 1.3 Étendue
    4. 1.4 Contexte
    5. 1.5 Approche et méthodologie
    6. 1.6 Énoncé de conformité
  3. 2.0 Conclusion de la vérification
  4. 3.0 Constatations de vérification et recommandations
    1. 3.1 Gestion des TI
    2. 3.2 Sécurité des TI
    3. 3.3 Services de TI, soutien et processus de prestation
  5. 4.0 Réponse de la direction
  6. 5.0 Plan d'action de la direction
  7. Annexe A - Cadre des programmes des services de TI
  8. Annexe B - Critères de vérification et sources

Acronymes utilisés dans le présent rapport

ASM Agent de sécurité ministériel
SDBS Système de demande de billet source-ouvert
BCP Bureau du Conseil privé
DIST Division de l’information et des services techniques
DPI Dirigeant principal de l’information
SMA Sous-ministre adjoint
SPC Services partagés Canada
TI Technologies de l’information

1.0 Introduction

1.1 Autorisation

La vérification de la gestion des technologies de l’information (TI) a été approuvée par le greffier du Conseil privé dans le cadre du Plan de vérification fondé sur les risques 2013-2016.

1.2 Objectif

L’objectif de la vérification est de garantir que le BCP met en œuvre et gère un cadre de contrôle de la gestion des TI efficace qui répond aux besoins opérationnels de l’organisme et qui permet de coordonner les exigences en matière de TI de concert avec Services partagés Canada (SPC).

1.3 Étendue

L’étendue de la vérification porte sur le cadre de contrôle de la gestion des TI en place entre le 1er avril 2012 et le 1er septembre 2013, ainsi que sur les contrôles internes adoptés par le BCP en matière de gestion des TI et de coordination des exigences avec SPC. Le cadre de gestion utilisé par SPC pour fournir des services de TI au BCP n’est pas visé par la vérification.

Pour les besoins de la vérification, la gestion des TI est définie comme suit : les processus en place pour gérer les TI, fournir des services et offrir du soutien. Cette définition est conforme au Cadre des programmes des services de TI faisant partie du Profil des services de la TI du gouvernement du Canada (voir Annexe A – Figure 1).

1.4 Contexte

Dans son 20e rapport annuel au Premier ministre, le greffier met l’accent sur la transformation de la manière dont la fonction publique mène ses activités, et les TI en sont un aspect important. La gestion des TI est assurée par la Division de l’information et des services techniques (DIST) du BCP, qui offre du soutien, des services et des solutions en matière de TI au Cabinet du Premier ministre, au BCP, aux commissions d’enquête et aux cabinets des ministres faisant partie du portefeuille du Premier ministre. La DIST aide le BCP à remplir son mandat en offrant des services professionnels en informatique, des services de gestion et de sécurité, des conseils, des directives et des produits destinés à l’ensemble de l’organisme.

La DIST a connu d’importants changements. En août 2011, le gouvernement a créé SPC et lui a donné pour mandat d’offrir à 43 ministères et organismes fédéraux, y compris le BCP, des services de courrier électronique, de centres de données et de télécommunications. SPC réunit des personnes, des ressources technologiques et du matériel dans le but d’améliorer l’efficacité, la fiabilité et la sécurité de l’infrastructure de TI du gouvernement et de transformer la manière dont le gouvernement la gère. La réorganisation de la DIST a en outre entraîné certains changements au BCP en ce qui touche les rôles, les responsabilités et les processus liés à la gestion des TI et à la prestation de services et de soutien.

1.5 Approche et méthodologie

Lors de la planification de la vérification, nous avons relevé et évalué les risques touchant la gestion des TI au BCP. Compte tenu de cette évaluation, nous avons axé la vérification sur les processus de gestion des programmes de TI et sur deux secteurs de risque, notamment la sécurité des TI et le service de dépannage du BCP. Les vérificateurs ont dressé un plan en s’inspirant des politiques, des directives et des lignes directrices du Conseil du Trésor (voir Annexe B), puis ont fait approuver les critères retenus par la direction.

La vérification couvre les processus suivants : planification et organisation des investissements en TI; mise en œuvre de nouveaux projets; coordination des exigences avec les tiers; surveillance et évaluation des résultats. La sécurité des TI nécessite désormais une coordination considérable de la part de la Division des opérations de la sécurité du BCP, de la DIST et de SPC. Nous avons examiné le programme de sécurité du BCP, y compris les processus de détection, de coordination et de communication des risques. Le service de dépannage, qui est à l’avant-plan du programme de gestion des TI du BCP, offre des services de soutien et coordonne la prestation des services en TI.

À l’étape de l’examen, nous avons évalué les processus de gouvernance, de gestion du risque et de contrôle mis en place pour appuyer l’administration des TI au BCP. L’équipe de vérification a notamment rencontré les gestionnaires, le personnel et les intervenants; examiné les documents sur les projets, les contrôles et les processus de documentation; effectué une revue générale du système d’enregistrement des demandes de service (système de demande de billet source-ouvert) et du processus 2013-2014 de planification des investissements en TI; vérifié les contrôles applicables au soutien des services. Elle a évalué deux projets d’investissement en TI pour 2013-2014. À partir des 25 601 demandes de service reçues par le service de dépannage pendant la période visée, l’équipe a constitué un échantillon de 41 demandes (priorité élevée ou très élevée). Elle a mis l’accent sur les demandes de services prioritaires et complexes susceptibles de toucher la sécurité des TI et de faire intervenir SPC. Enfin, elle a vérifié les contrôles en place pour ce qui est de communiquer les exigences, de répondre aux demandes, de compiler les résultats et de confirmer la résolution des demandes.

Les résultats de la vérification ont fait l’objet de discussions avec la direction. Le dirigeant principal de la vérification a préparé un rapport préliminaire et l’a par la suite envoyé au sous-ministre adjoint (SMA), Direction des services ministériels (DSM), en vue de la préparation d’une réponse et d’un plan d’action donnant suite aux recommandations (voir 4.0 et 5.0). Les rapports de vérification préliminaires et les plans d’action de la direction sont déposés aux fins d’examen au Comité de vérification du BCP avant que l’on recommande leur approbation au greffier du Conseil privé.

1.6 Énoncé de conformité

Selon mon opinion professionnelle et en ma qualité de dirigeant principal de la vérification, je suis d’avis que la présente vérification est conforme aux Normes relatives à la vérification interne au gouvernement du Canada, comme le prouvent les résultats du programme d’assurance et d’amélioration de la qualité du BCP.

Original signé par:

Dirigeant principal de la vérification
Jim Hamer

2.0 Conclusion de la vérification

Au BCP, le cadre de contrôle de la gestion des TI s’articule autour d’éléments formels et informels, dont les contrôles internes de la gestion des TI, les mesures provisoires régissant les relations du BCP avec SPC, et les contrôles qui facilitent la gestion des exigences opérationnelles des deux organismes. Certaines parties du cadre doivent être mises à jour ou régularisées. Celui-ci est toutefois généralement efficace pour ce qui est de répondre aux besoins opérationnels quotidiens du BCP en matière de TI et de coordonner les exigences avec SPC. Il y aurait lieu de renforcer les contrôles internes relatifs à la coordination, la communication, la sécurité, la mesure du rendement, la surveillance et la reddition de comptes.

3.0 Constatations de vérification et recommandations

3.1 Gestion des TI

Le cadre de gouvernance des TI répond aux besoins opérationnels quotidiens du BCP, mais il n’a pas été mis à jour pour s’harmoniser avec les processus actuels de gestion, de soutien et de prestation des services de TI.

Nous avons examiné les processus de gouvernance mis en œuvre pour veiller à ce que les activités de gestion, les priorités et les ressources liées aux TI répondent aux besoins de l’organisme. Nous avons évalué les contrôles visant à détecter, à surveiller et à évaluer les risques touchant la gestion des TI, ainsi que les contrôles servant à exécuter, à surveiller et à signaler les projets de TI. Nous nous sommes penchés sur les processus en place pour coordonner la prise de décisions et pour résoudre les problèmes avec SPC. Enfin, nous avons évalué la présentation de rapports sur le rendement des TI à la direction.

La structure de gouvernance et de gestion de la DIST a été transformée par une restructuration interne et par le transfert à l’externe de services et de responsabilités à SPC. Pour que les activités de gestion et les ressources répondent aux besoins opérationnels, les processus de gouvernance doivent absolument être efficaces. Le cadre de gouvernance des TI devrait permettre la mise en place des structures et des processus nécessaires à l’établissement de l’orientation stratégique. Quant aux mesures du rendement, elles devraient pour leur part permettre de rendre compte à la direction de l’atteinte des objectifs et de l’efficacité des contrôles internes.

3.1.1 Gouvernance de la gestion des TI

Les rôles et les besoins en information des comités de gouvernance des TI n’ont pas été mis à jour pour tenir compte de la transformation de l’environnement des TI du BCP. En 2012-2013, le BCP comptait trois comités ayant des rôles liés à la gouvernance de la gestion des TI : le Comité exécutif, le Comité consultatif de la gestion ministérielle et le Comité directeur mixte sur les TI et les opérations de la sécurité. Le Comité exécutif est responsable de la gestion générale et de la prise de décisions touchant à l’infrastructure de TI et à la sécurité. Cependant, les décisions relatives à l’infrastructure du réseau des TI devraient désormais être prises de concert avec SPC. Les changements n’ont pas eu d’incidence sur le rôle du Comité consultatif de la gestion ministérielle, qui est d’assurer le leadership et l’orientation stratégiques de la gouvernance des TI et d’appuyer le Comité exécutif. Le Comité directeur mixte sur les TI et les opérations de la sécurité a été établi en 2009 afin d’orienter la sécurité des TI et de favoriser l’échange de renseignements entre le dirigeant principal de l’information (DPI) et l’agent de sécurité ministériel (ASM). Toutefois, ses activités ont été suspendues en 2013-2014.

Le BCP dispose d’un cadre de gouvernance de la gestion des TI qui comprend des processus, des responsabilités et des rôles bien documentés. Cependant, les processus et documents n’ont pas été mis à jour en fonction des changements internes et des changements découlant de la création de SPC. Les employés du BCP, dont au moins 70 % des fonctions étaient liées aux services de courriel, aux centres de données ou aux télécommunications ont été transférés à SPC en 2012. Ainsi, une partie des responsabilités de certains employés transférés à SPC relève toujours du BCP. Dans les situations où les rôles et les responsabilités ont changé sans que les procédures soient mises à jour, il y a un risque possible que les contrôles ne fonctionnent pas comme prévu. Par exemple, le mécanisme exigeant que les techniciens en TI du centre de dépannage ferment les billets créés pour les demandes de service une fois que le problème est résolu n’est plus pertinent pour les employés qui relèvent maintenant de SPC et qui n’utilisent pas le système de suivi du centre de dépannage du BCP. Durant la revue générale du centre de dépannage du système de demande de billet source-ouvert, nous avons remarqué que près de la moitié des demandes en suspens relevaient de SPC. En outre, il y a un autre risque possible que les responsabilités liées aux processus et aux mécanismes de contrôle des TI n’aient pas été clairement communiquées et réattribuées aux employés de la DIST après la création de SPC.

Recommandation :

  1. 1. Le SMA, DSM, devrait examiner les processus de gouvernance, de sécurité, de soutien et de prestation de services en matière de TI et mettre à jour les documents pertinents afin de tenir compte des situations où les rôles et les responsabilités liés aux processus et aux contrôles ont été modifiés, réattribués au sein du BCP, transférés à SPC ou éliminés.

3.1.2 Planification des investissements et des projets de TI

L’orientation des activités de la DIST est établie dans un plan d’investissement en matière de TI clairement défini et communiqué. Cependant, le BCP n’a pas invité SPC à participer à la planification, ce qui a entraîné un manque de clarté quant aux ressources engagées et aux calendriers de mise en œuvre des projets. Lorsqu’il planifie ses investissements, le BCP ne sait pas exactement si des fonds supplémentaires seront nécessaires et si les ressources seront disponibles dans les délais prévus. Le BCP avait terminé de planifier ses investissements en TI au moment où SPC a annoncé ses initiatives de transformation, ce qui l’a contraint à réorganiser ses ressources. Une meilleure coordination et des communications plus opportunes entre le BCP et SPC pendant la planification des investissements permettraient d’améliorer la gestion des ressources et l’établissement des priorités.

La DIST a créé des modèles standard pour consigner de l’information sur les projets de TI, mais le processus n’exige pas la tenue d’une évaluation des risques de sécurité. Une telle évaluation permettrait de recenser les risques, les contrôles et les risques résiduels liés aux projets. L’équipe des TI et le responsable du projet étudieraient cette information en tenant compte de l’ampleur et de la complexité du projet. Nous avons examiné deux dossiers de projet dans le but d’évaluer les contrôles de gestion, mais ni l’un ni l’autre ne confirmait qu’une évaluation des risques de sécurité avait été réalisée ou même envisagée. Sans évaluation des risques sur les projets, il est possible que les risques de sécurité ne soient pas étudiés, gérés, atténués ou acceptés par la direction. Autrement, les dossiers renfermaient l’information pertinente. En ce qui concerne la gestion de projet, les processus nécessaires pour assurer le suivi et rendre compte de l’achèvement du projet sont en place.

Recommandations :

  1. 2. Le SMA, DSM, devrait inclure SPC dans les discussions du BCP sur la planification des investissements en TI, de sorte que les décisions tiennent compte des priorités, des échéanciers et des besoins en ressources de SPC.

  2. 3. Le SMA, DSM, devrait intégrer des exigences de sécurité aux processus de soutien et de prestation de la DIST, notamment en ce qui a trait aux projets de TI.

3.1.3 Services partagés Canada

Le BCP entretient de bonnes relations de travail avec la direction et les responsables des services de TI de SPC. Des processus généralement efficaces sont en place pour coordonner la prise de décisions avec les tiers fournisseurs de services, y compris SPC, et pour favoriser la résolution rapide des problèmes. Aux réunions de travail viennent s’ajouter des réunions régulières du DPI et du chef, Infrastructure, de SPC pour le BCP. Le BCP a accès au bureau de service national de SPC, ce qui permet aux techniciens et gestionnaires du BCP de connaître les progrès accomplis dans la résolution des problèmes acheminés à SPC. Des protocoles et des processus temporaires sont en place pour orienter le BCP pendant la période de transition, alors que SPC élabore une approche pangouvernementale quant à l’engagement des ministères clients. La DIST prépare un protocole plus détaillé.

Le BCP et SPC ont tous deux reconnu que la coordination des secteurs suivants continue de présenter des défis : planification des investissements (voir 3.1.2), sécurité, accès aux immeubles, accès à l’information et besoins en ressources. En vertu des exigences du BCP, tous les employés qui travaillent sur place doivent avoir, au minimum, une cote de sécurité de niveau « secret ». Grâce à SPC, le BCP dispose d’un plus grand bassin de ressources pour l’entretien des réseaux des TI et de télécommunications, mais il a été difficile de coordonner à l’avance l’accès aux immeubles et les exigences de la sécurité et d’accès à l’information, surtout dans les situations prioritaires où des fonctions essentielles étaient touchées. La coordination des exigences d’accès, de sécurité et d’information par le BCP et SPC a entraîné des retards dans l’entretien et les réparations.

Les employés chargés du soutien et de l’entretien du réseau « très secret » ont été transférés à SPC en 2012. Un décret de juin 2012 indique clairement que les réseaux « très secret » étaient exclus du transfert, mais les tâches principales des employés liés à l’entretien des réseaux demeurent tout de même à SPC. Ainsi, les responsabilités du BCP en ce qui a trait au soutien et à l’entretien du réseau « très secret » relèvent maintenant d’employés de SPC dans le cadre d’une entente non officielle. La DIST estime que cette solution n’est pas viable à long terme.

Recommandations :

  1. 4. Le SMA, DSM, devrait clairement communiquer au SPC les protocoles de fonctionnement que le BCP a établi, ainsi que les exigences de notification convenables en ce qui a trait aux cotes de sécurité, à l’accès régulier et d’urgence aux immeubles et à l’échange de renseignements.

  2. 5. Le SMA, DSM, devrait élaborer une stratégie à long terme pour le soutien et l’entretien du réseau « très secret » du BCP.

3.1.4 Surveillance et rapports sur le rendement

La DIST, la DSM et les comités de gouvernance du BCP ne reçoivent pas de rapports réguliers sur le rendement de la gestion des TI, y compris celle de SPC. La DIST a élaboré des mesures du rendement provisoires, mais n’a pas adopté de processus officiel de surveillance du rendement et d’établissement de rapports. Même si des processus de reddition de comptes sur la planification des projets et des investissements sont en place, la majorité de l’information sur la gestion des TI fait l’objet de rapports non officiels (p. ex., rendement du service du centre de dépannage). Les risques pour la prise de décisions sont accrus par le manque d’activités de mesure du rendement et par la présentation limitée de rapports officiels sur la prestation des services en TI. Par exemple, il est presque impossible d’évaluer l’effet des décisions relatives au ressourcement sur le rendement du service du centre de dépannage, car le temps de réponse n’est pas assujetti à un suivi et à des rapports réguliers (voir 3.3.3). Les billets du centre de dépannage qui ont fait l’objet d’un examen indiquent un temps de réponse pour la moitié des demandes de service seulement, et le délai n’a été respecté que dans 60 % des cas.

Au fur et à mesure que les modes et processus de communication de SPC changent, il est possible que le BCP ne soit pas bien informé du rendement des contrôles relatifs au réseau, à la sécurité et à l’infrastructure. Le BCP se fie à SPC pour assurer l’exécution des services essentiels, tels que la sécurité et l’entretien des réseaux, ainsi que les copies de sauvegarde de l’information. Il est important qu’un processus officiel soit mis en place pour informer le BCP de toute défaillance des contrôles ou des services.

Recommandation :

  1. 6. Le SMA, DSM, devrait mettre en œuvre un programme de surveillance des TI et de reddition de comptes sur le rendement qui prévoirait la présentation de rapports réguliers sur le rendement de la DIST et de SPC au directeur, DIST (ayant aussi le rôle de DPI), ainsi que de rapports de rendement périodiques au SMA, DSM, et au Comité exécutif.

3.2 Sécurité des TI

Des contrôles et des processus pour la sécurité des TI ne sont pas efficacement intégrés aux processus de soutien et de prestation des TI.

Nous avons examiné les politiques, les procédures, les rôles, les responsabilités et les obligations relatives à la sécurité des TI. Nous avons évalué les contrôles en place pour surveiller la sécurité des TI ainsi que pour recenser les risques, les classer par ordre de priorité et les signaler. Nous avons déterminé la mesure dans laquelle des processus de sécurité ont été intégrés aux processus de soutien et de prestation des TI.

Les politiques et procédures de sécurité des TI protègent l’information, les programmes et les ressources de l’organisme des menaces internes et externes. Il est essentiel que les rôles et les responsabilités soient clairement établis de sorte que les pouvoirs, les tâches et les exigences de la reddition des comptes soient bien répartis entre la DIST, les Opérations de la sécurité et SPC. La prévention, la détermination et la détection des vulnérabilités reposent sur des processus de sécurité réguliers, y compris l’évaluation des menaces et des risques, les activités de certification et d’accréditation, la surveillance des systèmes et des réseaux, l’authentification et les mesures de contrôle de l’accès. La sécurité est un volet essentiel de tout programme de gestion des TI, et elle doit être intégrée aux procédures de soutien et de prestation des services, afin de gérer les nouveaux risques dans l’environnement de TI en pleine évolution.

3.2.1 Politiques et procédures

Le BCP dispose d’un cadre de politiques en matière de sécurité qui établit les responsabilités et les exigences générales. Toutefois, les procédures d’exécution de ces exigences de sécurité ne sont pas clairement définies, ni communiquées. Certains processus liés à la sécurité des TI ont été documentés, mais il ne s’agit que d’ébauches qui n’ont pas été diffusées aux employés (p. ex., les Lignes directrices sur la certification et l’accréditation de la sécurité des TI et de la gestion du risque – ébauche 2007; le Plan de gestion sur les incidents des TI – ébauche 2011, tous deux du BCP).

D’autres contrôles de la sécurité des opérations sont en place, mais ne figurent pas dans les documents sur les processus. Le BCP a mis en œuvre un programme de sensibilisation à la sécurité des TI pour éduquer les utilisateurs, programme qui s’ajoute aux procédures du centre de dépannage visant à rappeler aux utilisateurs les exigences du BCP en matière de TI (p. ex., seuls les appareils fournis par le BCP peuvent être branchés au réseau). Il existe des processus pour coordonner les correctifs de sécurité et les mises à jour avec SPC, et des évaluations de sécurité sont réalisées avant que les utilisateurs ne soient autorisés à accéder aux réseaux des TI.

L’absence d’un programme officiel et global de sécurité des TI a créé des lacunes sur le plan de l’information. De plus, les exigences de sécurité ne sont pas efficacement intégrées aux processus de soutien et de prestation des TI. Par exemple, même si le BCP et SPC ont adopté des procédures de continuité et des processus de reprise après sinistre exhaustifs pour les TI, nous n’avons trouvé aucun plan documenté officiel de reprise. Un tel plan est essentiel pour efficacement rétablir les services de TI essentiels en situation d’urgence et pour bien communiquer les exigences en matière de reprise du BCP aux employés responsables des TI (tant au BCP qu’à SPC), puisqu’il n’est pas garanti que tous les employés clés seront disponibles en cas d’urgence.

Voir les recommandations 1 et 3.

3.2.2 Rôles et responsabilités

La communication et la coopération sont à la base de la sécurité des TI. Au BCP, les responsabilités de la sécurité des TI sont réparties entre la DIST, les Opérations de la sécurité et SPC (p. ex., la gestion de la continuité des TI et la reprise après sinistre). Les rôles et les responsabilités de la sécurité des TI ont connu d’importants changements en raison du transfert vers SPC, des examens stratégiques et de la suspension des activités du Comité directeur sur les TI et les opérations de la sécurité. Le BCP a récemment pourvu le nouveau poste de coordonnateur de la sécurité des systèmes d’information qui travaille avec SPC à détecter et à éliminer les risques pour la sécurité des TI. Il exerce des responsabilités en matière de surveillance de la sécurité et d’établissement de rapports à l’égard de l’ASM et du DPI du BCP. Les changements apportés aux rôles et aux responsabilités, en plus du caractère non officiel des processus de sécurité, ont engendré des lacunes sur le plan des contrôles. Pendant cinq mois (d’avril à août 2013), entre la fin des activités du Comité directeur mixte sur les TI et les opérations de la sécurité et la nomination du nouveau coordonnateur de la sécurité des systèmes d’information, il n’existait pas de processus officiel de coordination des exigences de sécurité entre le DPI et l’ASM.

Voir la recommandation 1.

3.2.3 Surveillance de la sécurité et contrôles internes et externes

Le BCP s’en remet à la surveillance externe de la sécurité des TI assurée par SPC et par le Centre de la sécurité des télécommunications du Canada. Ces organismes surveillent les réseaux du BCP, détectent les risques, cernent les menaces et présentent des rapports de surveillance externe au coordonnateur de la sécurité des systèmes d’information du BCP. Ce dernier prend les mesures qui s’imposent, puis présente les résultats de la surveillance externe et de la résolution au DPI et à l’ASM.

Le BCP ne dispose pas de processus internes réguliers visant à détecter les vulnérabilités et à les porter à l’attention du coordonnateur de la sécurité des systèmes d’information et du DPI. [*] De plus, le rôle du centre de dépannage n’est pas bien établi pour ce qui est de signaler les incidents liés à la sécurité des TI (voir 3.3.2). La DIST doit signaler certains incidents à l’ASM, mais on ne sait pas exactement lesquels.

Recommandation :

  1. 7. Le SMA, DSM, devrait demander au DPI d’élaborer et de diffuser, en coordination avec l’ASM et le coordonnateur de la sécurité des systèmes d’information, des lignes directrices et des procédures opérationnelles normalisées pour les activités de détection et de communication, les mesures d’intervention et de reprise, ainsi que la reddition de comptes en ce qui a trait aux incidents internes touchant la sécurité des TI.

3.3 Services de TI, soutien et processus de prestation

La prestation de services de soutien opérationnel aux clients et la résolution des problèmes de TI reposent sur des processus efficaces. Toutefois, les mesures de contrôle officielles sont limitées pour ce qui est de détecter et de gérer les incidents de TI, d’en rendre compte et d’assurer la surveillance du service de dépannage du BCP.

Nous avons évalué la mesure dans laquelle les responsabilités du centre de dépannage du BCP sont bien établies et communiquées. Nous avons déterminé si des voies de communication et de reddition de comptes efficaces étaient en place. En ce qui concerne la gestion des incidents et des problèmes au BCP, nous avons examiné l’efficacité des processus et des contrôles existants. Pour ce qui est des processus du centre de dépannage, nous avons vérifié le bon fonctionnement des contrôles liés à la surveillance, à la supervision et aux rapports. Les principaux contrôles opérationnels liés aux processus du Centre sont les suivants : identifier le service ou le soutien requis; communiquer la bonne information à la bonne personne; répondre aux demandes en respectant les normes de service de la DIST; consigner par écrit les mesures prises pour répondre à la demande; confirmer la résolution de la demande; inscrire que la demande a été résolue.

Les services de soutien sont gérés par le centre de dépannage du BCP, qui fait partie de la DIST. Le service de dépannage offre du soutien de première ligne au Cabinet du Premier ministre, à toutes les directions du BCP, aux cabinets des ministres faisant partie du portefeuille du Premier ministre et aux commissions d’enquête. Les utilisateurs demandent des services ou signalent des problèmes par téléphone, par courriel ou en personne. Le service de dépannage joue un rôle clé en voyant au bon fonctionnement du réseau d’informatique du BCP et en assurant les communications avec les tiers (p. ex., avec SPC pour résoudre les problèmes touchant le réseau), en répondant aux demandes de service et de soutien, en trouvant des solutions aux problèmes et en signalant les incidents de TI. Pendant la période visée par la vérification (d’avril 2012 à septembre 2013), plus de 25 000 demandes ont été consignées dans le système de demande de billet source-ouvert du centre de dépannage.

3.3.1 Gestion du centre de dépannage et services de soutien aux clients

Le service de dépannage dispose de mécanismes de contrôle efficaces pour ce qui est d’offrir du soutien et des services à ses clients. Les processus opérationnels applicables aux demandes de service et aux problèmes fréquents figurent dans un document qui a été mis à jour, mais qui ne tient pas compte des nouveaux processus du BCP et du transfert vers SPC. Une certaine forme d’orientation existe en ce qui a trait aux responsabilités, aux niveaux de service et aux priorités de SPC, à l’interne comme à l’externe. Le système de demande de billet source-ouvert assure la clarté et l’efficacité de la communication et de la reddition de comptes pour les services de soutien en TI. De manière générale, les demandes de service ont été traitées rapidement et envoyées à la personne concernée aux fins de résolution. Dans tous les cas examinés, sauf un, les demandes ont été acheminées à SPC si nécessaire. La majorité des demandes de services ont été traitées la journée même.

3.3.2 Gestion des incidents et des problèmes de TI

La gestion des incidents vise à rétablir le service normal le plus rapidement possible afin de minimiser les effets négatifs sur les opérations. La gestion des problèmes vise à régler la cause de l’incident et, par le fait même, à minimiser les effets négatifs sur les opérations1.

Le centre de dépannage de la DIST dispose des mécanismes de contrôle nécessaires pour la gestion des problèmes et la résolution des incidents. Lorsqu’une demande de service est présentée, elle est enregistrée dans le système de demande de billet source-ouvert au moment où est reçue au centre de dépannage, et elle y demeure jusqu’à ce que le problème soit résolu par un technicien. Des liens peuvent être établis entre les demandes du service de dépannage afin de faire ressortir des tendances. Parmi les 41 demandes examinées, 38 avaient été résolues et fermées dans le système au moment de l’examen de la vérification. Des renseignements pertinents sur le traitement de la demande avaient été versés au dossier pour 34 de ces demandes.

Les processus de signalement des incidents de sécurité par le centre de dépannage ne sont pas clairs. Les incidents à signaler concernent tout événement susceptible de toucher la confidentialité, l’intégrité ou la disponibilité d’un système d’information, y compris ses composantes, ou un événement ou une série d’événements qui peut enfreindre les politiques relatives aux systèmes d’information2. Par exemple, en application de la politique du BCP, un client qui égare un appareil de TI doit le signaler au coordonnateur de la sécurité des TI. Si le client signale la perte au centre de dépannage et demande un nouvel appareil, le centre de dépannage doit consigner la demande, mais il n’est pas tenu de confirmer auprès du coordonnateur que la perte de l’appareil a été signalée à titre d’incident de sécurité. Ainsi, il y a un risque que les incidents internes touchant la sécurité des TI signalés à la DIST ne soient pas tous communiqués aux Opérations de la sécurité.

Une demande de service examinée portait sur un incident de sécurité où de l’information avait été perdue en raison de l’échec de la procédure de sauvegarde. À l’époque, SPC, qui est responsable de la sauvegarde de l’information, n’avait pas encore établi de processus de signalement régulier des incidents de TI pour le BCP. Depuis, l’organisme a adopté des procédures détaillées afin de signaler les incidents à la DIST. D’après les données consignées dans le système de demande de billet source-ouvert, il est difficile de déterminer si l’incident en question a été signalé à l’interne.

Voir la recommandation 7.

3.3.3 Surveillance et suivi

La direction du service de dépannage n’assure pas le suivi régulier des demandes de service ouvertes afin de s’assurer que les problèmes ont été réglés, que les niveaux de service sont respectés, que les solutions sont consignées et que les demandes sont fermées. Un temps de réponse pour services a été établi pour le système de demande de billet source-ouvert, mais il n’est pas utilisé régulièrement pour la création des demandes. Des critères de mesure du rendement ont été établis, mais ils ne sont pas utilisés pour évaluer le rendement et en rendre compte à la direction de la DIST. Les gestionnaires se fient aux rapports des utilisateurs et des techniciens pour vérifier si les services répondent aux attentes des clients. Les techniciens des TI n’indiquent pas toujours l’état final des demandes de service : parmi les 41 demandes examinées (priorité élevée ou très élevée), 3 demandes demeuraient en suspens en décembre 2013. Le système de demande de billet source-ouvert du BCP n’est pas utilisé pour mesurer l’efficacité du rendement et de la reddition des comptes.

Voir la recommandation 6.

4.0 Réponse de la direction

La direction accepte ce rapport et supervisera la mise en œuvre des recommandations.

5.0 Plan d'action de la direction

Vérification de la gestion des TI

Recommandation Réponse et mesures prévues Responsabilités Date d’échéance
1. Le SMA, DSM, devrait examiner les processus de gouvernance, de sécurité, de soutien et de prestation de services en matière de TI et mettre à jour les documents pertinents afin de tenir compte des situations où les rôles et les responsabilités liés aux processus et aux contrôles ont été modifiés, réattribués au sein du BCP, transférés à SPC ou éliminés. La direction accepte cette recommandation. Le BCP mettra en place la gouvernance nécessaire avec SPC et mettra à jour les politiques et les procédures connexes.* DPI Gouvernance – terminé

Analyse des politiques – terminé

Mise en œuvre des politiques et des processus – mars 2017*
2. Le SMA, DSM, devrait inclure SPC dans les discussions du BCP sur la planification des investissements en TI, de sorte que les décisions tiennent compte des priorités, des échéanciers et des besoins en ressources de SPC. La direction accepte cette recommandation. Elle élaborera et mettra en œuvre les plans stratégiques et la gouvernance nécessaires conformément aux processus du SCT et de SPC. DPI Terminé
3. Le SMA, DSM, devrait intégrer des exigences de sécurité aux processus de soutien et de prestation de la DIST, notamment en ce qui a trait aux projets de TI. La direction accepte cette recommandation. Le BCP actualisera le Cadre de gestion de projet, créera un profil de sécurité ministérielle et mettra en place les mesures de contrôle s’y rattachant.* DPI Cadre de gestion de projet – terminé

Profil de sécurité – décembre 2015

Mesures de contrôle de sécurité – mars 2017*
4. Le SMA, DSM, devrait clairement communiquer au SPC les protocoles de fonctionnement que le BCP a établi, ainsi que les exigences de notification convenables en ce qui a trait aux cotes de sécurité, à l’accès régulier et d’urgence aux immeubles et à l’échange de renseignements. La direction accepte cette recommandation. Le BCP et SPC élaboreront des procédures opérationnelles normalisées régies par un protocole d’entente. DPI, ASM Énoncé des besoins – décembre 2015

Procédures opérationnelles normalisées – mars 2016

Protocole d’entente – avril 2016
5. Le SMA, DSM, devrait élaborer une stratégie à long terme pour le soutien et l’entretien du réseau « très secret » du BCP. La direction accepte cette recommandation et travaillera avec le CSTC, dans le cadre d’une relation contractuelle, à une analyse du contexte actuel et à une approche stratégique recommandée.* DPI Analyse de l’option et recommandation – décembre 2015

Mise en œuvre – à déterminer*
6. Le SMA, DSM, devrait mettre en œuvre un programme de surveillance des TI et de reddition de comptes sur le rendement qui prévoirait la présentation de rapports réguliers sur le rendement de la DIST et de SPC au directeur, DIST (ayant aussi le rôle de DPI), ainsi que de rapports de rendement périodiques au SMA, DSM, et au Comité exécutif. La direction accepte cette recommandation. Le BCP élaborera une pratique de surveillance et de reddition de compte en matière de TI.* DPI Gouvernance en matière de surveillance et de reddition de comptes -- terminé

Modèle de surveillance et reddition de comptes – décembre 2016*

Plan de mise en œuvre de l’outil de surveillance – à déterminer; tirera parti de l’approche globale de SPC 
7. Le SMA, DSM, devrait demander au DPI d’élaborer et de diffuser, en coordination avec l’ASM et le coordonnateur de la sécurité des systèmes d’information, des lignes directrices et des procédures opérationnelles normalisées pour les activités de détection et de communication, les mesures d’intervention et de reprise, ainsi que la reddition de comptes en ce qui a trait aux incidents internes touchant la sécurité des TI. La direction accepte cette recommandation et la mettra en œuvre grâce à l’élaboration d’un plan de gestion des incidents ainsi que des procédures et processus opérationnels s’y rattachant.* DPI Plan de gestion des incidents – décembre 2015

Mise à jour des procédures et des processus opérationnels normalisés – mars 2017*

*Le rythme de mise en œuvre est subordonnée à la disponibilité des fonds

Annexe A - Cadre des programmes des services de TI

Figure 1 - Modèle de procédés pour le cadre des programmes des services de TI du gouvernement du Canada3

Figure 1 - Modèle de procédés pour le cadre des programmes des services de TI du gouvernement du Canada
Version texte

Annexe B - Critères de vérification et sources

Critères de vérification

Secteur d’intérêt 1 : Un cadre de gouvernance des TI efficace est en place pour que la gestion, le soutien et la prestation des services de TI répondent aux besoins opérationnels.

Critères de vérification

Un cadre de gouvernance des TI est en place, lequel prévoit des structures, des processus, des fonctions de leadership, des rôles et des responsabilités.

Le BCP dispose d’un plan des TI qui a été bien établi et communiqué afin d’assurer la conformité des activités, des priorités et des ressources de TI au mandat de l’organisme.

Le BCP a mis en place des mécanismes de contrôle visant à détecter, à surveiller et à évaluer les risques touchant le soutien des TI et la prestation des services.

Des processus existent pour coordonner la prise de décisions avec les tiers fournisseurs de services et pour favoriser la résolution rapide des problèmes.

La haute direction reçoit régulièrement des rapports sur le rendement de la gestion des TI.

Secteur d’intérêt 2 : Des processus et des contrôles efficaces sont en place pour assurer la sécurité des TI.

Critères de vérification

Un cadre de sécurité des TI a été créé, mis en œuvre et harmonisé avec le cadre de gouvernance et l’environnement de contrôle des TI.

Il existe un plan global de sécurité qui tient compte de l’infrastructure des TI et de la culture de sécurité du BCP. Les procédures de sécurité cadrent bien avec les politiques et les procédures.

Les rôles, les responsabilités et les obligations liés à la sécurité des TI sont établis et communiqués.

L’environnement de contrôle de la sécurité des TI est sous surveillance constante. Les vulnérabilités associées à l’infrastructure des TI, aux renseignements de nature délicate et aux employés des TI sont détectées, classées par ordre de priorité et gérées; les résultats font l’objet de rapports à la haute direction.

Les exigences de sécurité liées aux TI ont été intégrées aux processus de soutien et de prestation des TI.

Secteur d’intérêt 3 : Des processus et des contrôles efficaces sont en place pour offrir des services de soutien aux clients, régler les problèmes et gérer les incidents.

Critères de vérification

Les responsabilités, les obligations et les pouvoirs relatifs aux services de soutien à la clientèle en matière de TI sont établis et communiqués.

La structure organisationnelle prévoit des voies de communication claires et efficaces, ainsi qu’une reddition de comptes qui facilitent le soutien des TI.

Des fonctions de suivi, de surveillance et de reddition de comptes sont en place pour les services de soutien des TI.

Des processus et des contrôles sont en place afin d’assurer une gestion efficace des problèmes et des incidents.

Sources des critères

Les critères d’évaluation utilisés dans le cadre de la vérification ont été élaborés à l’aide des sources suivantes : 

  • Secrétariat du Conseil du Trésor
    • Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes
    • Politique sur la sécurité du gouvernement
    • Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information
    • Politique sur la gestion des technologies de l’information
    • Directive sur la gestion des technologies de l’information
    • Directive sur les services de soutien internes
  • Objectifs de contrôle des technologies de l’information

Autres documents ayant servi à établir le contexte :

  • Secrétariat du Conseil du Trésor
    • Cadre amélioré pour la gestion des projets de technologie de l’information
    • Profil des services de la technologie de l’information du gouvernement du Canada

Notes de bas de page

  1. Bibliothèque de l’infrastructure de la technologie de l’information – Définitions pour la gestion des problèmes et la gestion des incidents.
  2. Plan de gestion des incidents de la TI du gouvernement du Canada.
  3. Profil des services de la technologie de l’information du gouvernement du Canada