Archivée - Vérification des opérations de la technologie de linformation : Résumé de la vérification

Décembre 2011

Table des matières

• 1.0 À propos de la vérification
  • 1.1 Survol de la Direction générale de la gestion de l'information et de la technologie de l'information
  • 1.2 Objectif de la vérification
  • 1.3 Portée de la vérification
  • 1.4 Méthode de vérification
  • 1.5 Énoncé d'assurance
• 2.0 Sommaire des conclusions
  • 2.1 Gestion de la disponibilité des services
  • 2.2 Gestion de la capacité des services
  • 2.3 Gestion des niveaux de service
  • 2.4 Gestion des bureaux de service ou de dépannage
  • 2.5 Forces cernées
  • 2.6 Conclusion

1.0 À propos de la vérification

1.1 Survol de la Direction générale de la gestion de l'information et de la technologie de l'information

Le Cadre stratégique sur l'information et la technologie du Conseil du Trésor (CT) fournit le contexte stratégique pour la Politique sur la gestion de l'information du CT ainsi que la Directive sur la gestion des technologies de l'information du CT. Au moment de cette vérification, les services de technologie de l'information de l'Agence canadienne d'inspection des aliments (ACIA ou Agence) étaient assurés par le dirigeant principal de l'information de l'Agence, qui relevait du vice-président de la Direction générale des finances, de l'administration et de la technologie de l'information (DGFATI).

Le Bureau du dirigeant principal de l'information (BDPI) était responsable de la gestion de l'information et de la technologie afin de veiller à l'intégrité, à la disponibilité et à la confidentialité des systèmes d'information de l'Agence. Le BDPI comptait sept principaux groupes ou divisions offrant des services de GI­TI à l'ensemble de l'Agence :

• Services aux clients
• Gestion de systèmes
• Services d'affaires et d'entreprise
• Gestion de l'information
• Opérations de la technologie de l'information
• Élaboration de solutions
• Planification, rapports et gestion intégrée des ressources

L'ACIA a créé la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI) afin que celle-ci assume ces responsabilités à compter du 1^er avril 2011. La DGGITI est donc responsable de la gestion de l'information et de la technologie de l'information, de la planification stratégique en matière de GI­TI, des plans de travail opérationnels et de la prestation de tous les services de GI­TI aux employés de l'Agence. À noter que ce changement organisationnel n'a aucune incidence sur les constatations de cette vérification. Toutefois, le récent transfert de certains composants clés des services de GI­TI à Services partagés Canada (SPC), une nouvelle agence établie le 4 août 2011, a une incidence sur la mise en oeuvre intégrale par l'ACIA des recommandations découlant de la vérification. Ce rapport explique les mesures que l'ACIA a prises ou s'est engagée à prendre. L'ACIA collaborera avec SPC pour donner suite aux constatations au-delà de ce qui a déjà été accompli.

Durant la période de référence, l'ACIA partageait son principal centre de données^{Note de bas de page 1} avec Agriculture et Agroalimentaire Canada (AAC). Les installations de ce centre de données étaient gérées conjointement par deux groupes de gestion du centre de données au sein de l'ACIA et d'AAC. Parmi les services informatiques fournis par l'ACIA et AAC notons l'accès à Internet, le système des Ressources humaines (PeopleSoft) et les systèmes financiers. Les services de télécommunications, aussi fournis par une tierce partie, étaient sous-traités par l'intermédiaire de Travaux publics et Services gouvernementaux Canada.

1.2 Objectif de la vérification

L'objectif préliminaire de cette vérification, approuvé dans le Plan de vérification axée sur les risques 2010-2013, consistait à donner l'assurance au président et à la haute direction que les contrôles opérationnels nécessaires au BDPI pour exercer ses responsabilités sont conformes à la Politique du Conseil du Trésor.

À la lumière des résultats des listes de vérification de l'autoévaluation des contrôles dressées par le BDPI dans le cadre de l'étape de planification de la vérification (voir Portée de la vérification ci­dessous), ainsi que d'une récente vérification interne de la gouvernance de la GI­TI (mai 2010), la Direction de la vérification interne (DVI) a précisé l'objectif préliminaire de la vérification comme suit :

• Donner l'assurance que des contrôles opérationnels de la TI sont en place pour appuyer le DPI de l'ACIA, lequel est chargé de veiller à l'intégrité, à la disponibilité et à la confidentialité des systèmes d'information de l'Agence.

1.3 Portée de la vérification

La DVI a relevé quatre principaux processus de prestation de services de la TI et de soutien qui pourraient être dissociés de la portée de la vérification de la GI­TI précédente, à savoir :

• Gestion de la disponibilité des services
• Gestion de la capacité des services
• Gestion des niveaux de service
• Gestion des bureaux de service ou de dépannage

Pour ces processus, la DVI a dressé une liste détaillée des contrôles opérationnels de la TI dont il fallait tenir compte dans le cadre de cette vérification. Les listes de vérification de l'autoévaluation des contrôles élaborées par la DVI s'appuient sur des normes importantes telles que la Bibliothèque de l'infrastructure de la technologie de l'information (BITI) et les objectifs de contrôle dans les domaines de l'information et des technologies connexes (COBIT).

La direction du BDPI a évalué son organisation en fonction des listes de vérification de l'autoévaluation des contrôles et a indiqué si des contrôles étaient en place. Le programme de vérification portait sur les contrôlés indiqués comme étant entièrement ou partiellement en place. Les contrôles indiqués comme n'étant pas en place n'étaient pas visés par le programme de vérification. Puisque la direction du BDPI a indiqué qu'aucun contrôle n'était en place en ce qui a trait aux accords sur les niveaux de service, ce domaine ne faisait pas partie du programme de vérification. La direction a également indiqué que des contrôles manquaient dans d'autres processus de prestation de service et de soutien. Ces renseignements et les résultats de la vérification pour ces secteurs de service ont été pris en considération afin d'assurer que les observations que renferme le rapport de vérification sont exhaustives. L'examen des contrôles opérationnels de la TI s'est déroulé d'avril 2010 à mars 2011.

1.4 Méthode de vérification

L'approche et la méthode utilisées pour cette vérification sont conformes à la Politique sur la vérification interne du Conseil du Trésor.

Les critères de vérification ont été établis selon les listes de vérification de l'autoévaluation des contrôles dressées par le BDPI, comme il est indiqué ci­dessus.

• entrevues avec le personnel des Opérations de la TI;
• examen des documents pertinents, notamment des politiques, des procédures ainsi que des évaluations et des examens précédents;
• vérification des contrôles opérationnels déterminés de la TI.

La vérification a été menée selon le calendrier suivant :

• Étape de la planification : août 2010 à février 2011
• Étape de la vérification : février 2011 à mars 2011
• Étape de la production du rapport : avril 2011 à juin 2011
• Présentation au Comité de la vérification : octobre 2011

La vérification a été effectuée avec le concours de Deloitte & Touche LLP.

1.5 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeant de la vérification, des procédures de vérification suffisantes et appropriées ont été suivies et des éléments de preuve recueillis pour confirmer l'exactitude de ce rapport.

2.0 Sommaire des conclusions

Cette section contient un sommaire des résultats de la vérification des opérations de la technologie de l'information. Les constatations s'appuient sur les éléments de preuve et les résultats découlant à la fois de l'analyse initiale du risque et de la vérification détaillée.

2.1 Gestion de la disponibilité des services

On entend par gestion de la disponibilité des services la planification, l'organisation, la direction, le contrôle et la déclaration des activités et des processus associés à l'assurance de la disponibilité permanente des services des opérations de la TI qui sont requis pour répondre aux exigences opérationnelles. Un certain nombre de contrôles internes, mis à l'essai durant la vérification, avaient été mis en place pour assurer la disponibilité permanente des opérations de la TI actuelles de l'Agence et permettre la détection et la résolution rapides des incidents et des problèmes. Voici les constatations liées à ces contrôles :

Sécurité physique

On a constaté des faiblesses relatives au contrôle de l'accès et à la sécurité physique du centre de données. Les lacunes ayant une incidence immédiate ont été résolue rapidement par la DGGITI.

Risque et sécurité des opérations de la TI

Le processus de certification et d'accréditation permet de documenter l'efficacité des contrôles de sécurité dans un environnement opérationnel particulier et de recommander de nouveaux contrôles pour éliminer les vulnérabilités du système selon l'autorisation de la direction ainsi que son acceptation des niveaux de risque documentés pour le système au moyen d'une décision officielle en matière d'accréditation de sécurité.

La vérification a permis de constater que des énoncés de sensibilité avaient été élaborés pour la plupart des applications de l'ACIA. Bien qu'il y ait un processus officiel de certification et d'accréditation, il n'avait pas été approuvé ou mis en oeuvre. Depuis la vérification, la DGGITI a mis en place un processus de certification et d'accréditation approuvé ainsi qu'un ensemble complet de documents à l'appui.

Rôles et responsabilités

Les rôles et les responsabilités du personnel du centre de données n'étaient pas officiellement documentés. La vérification a aussi permis de constater qu'un processus de prestation de service avait été élaboré pour les opérations du centre de données, mais n'était pas appliqué à toutes les activités des opérations de la TI. De plus, aucune stratégie de formation pour le personnel du centre de données n'avait été définie. On note que le personnel sera transféré à SPC dans le cadre du regroupement des services communs. Depuis la vérification, les rôles et les responsabilités des opérations de la TI ont été définis officiellement.

Surveillance et journalisation associées à l'infrastructure de la TI

La vérification a indiqué que tous les éléments de l'infrastructure des opérations de la TI étaient consignés et mis à jour. Cependant, l'infrastructure nécessaire aux applications et aux services désignés dans le Plan de continuité des activités comme étant une priorité élevée n'avait pas été identifiée de façon précise. De plus, il y avait une insuffisance de politiques et de procédures officielles pour surveiller l'infrastructure et le matériel de l'ACIA pour l'entretien préventif ainsi que pour suivre l'évolution d'autres problèmes. Depuis la vérification, la DGGITI a cerné les priorités opérationnelles critiques actuelles et élaboré les exigences officielles pour appuyer les éléments critiques de l'infrastructure de la TI. La DGGITI s'emploie actuellement à confirmer les exigences officielles afin d'appuyer le niveau approprié de journalisation et de surveillance, ainsi que les améliorations.

Exigences de sauvegarde et de stockage

La vérification a permis de constater qu'un calendrier de sauvegarde avait été créé, mais que les exigences opérationnelles de sauvegarde et de stockage n'avaient pas été documentées officiellement, ni convenues par la DGGITI et les propriétaires des systèmes opérationnels. Les pratiques de sauvegarde actuelles n'assurent pas la reprise après sinistre comme il est prévu dans le Plan de continuité des activités. La DGGITI a entrepris un Projet de sauvegarde et de rationalisation des données, qui portera sur ces questions. La date d'achèvement prévue de ce projet est mars 2012.

2.2 Gestion de la capacité des services

On entend par gestion de la capacité des services la planification, l'organisation, la direction, le contrôle et la déclaration des activités et des processus visant à assurer que suffisamment d'éléments de la TI et de ressources sont disponibles pour répondre aux exigences opérationnelles de l'ACIA. Les contrôles internes mis à l'essai durant la vérification avaient pour but d'aider à assurer une capacité adéquate des éléments opérationnels de la TI et des ressources de l'Agence et à favoriser l'identification et la résolution rapides des lacunes.

La vérification a permis de constater que l'ACIA assurait le suivi de ses ressources d'infrastructure de la TI et de leur cycle de vie. Cependant, le processus manuel ne permet pas à l'équipe chargée de l'infrastructure de produire des rapports en temps opportun. Depuis la vérification, la DGGITI a trouvé des outils automatisés pour faire le suivi de l'inventaire et la date de mise en oeuvre prévue est mars 2012.

Durant la vérification, on a aussi noté qu'un projet de renouvellement continu de l'infrastructure avait été lancé. Les documents du projet indiquent qu'en raison de l'incapacité d'obtenir les fonds requis dans le cadre de son cycle de vie, l'infrastructure de TI vieillit et est exposée à un risque élevé de défaillance. Depuis la vérification, l'Agence a approuvé le remplacement de l'infrastructure de sauvegarde, lequel devrait avoir lieu d'ici mars 2012.

2.3 Gestion des niveaux de service

On entend par gestion des niveaux de service la définition, la surveillance et la gestion de la qualité du service. Les indicateurs de rendement clés comprennent des données statistiques de haut niveau sur la disponibilité et l'utilisation ainsi que des indicateurs spécifiques du rendement transactionnel. Les contrôles internes connexes n'ont pas été mis à l'essai durant la vérification parce que la direction du BDPI a indiqué qu'il n'y avait pas suffisamment de contrôles en ce qui a trait aux accords sur les niveaux de service.

La vérification a permis de recommander que le BDPI définisse, dans chaque convention de service, les mesures du rendement et les mécanismes permettant de les surveiller auprès des fournisseurs de service. La vérification a aussi permis de recommander que les conventions de service soient examinées régulièrement pour assurer qu'elles sont à jour et conformes aux objectifs opérationnels actuels. Depuis la vérification, la DGGITI s'assure que les vendeurs respectent les conventions de service en examinant les données statistiques et les mesures tous les mois.

2.4 Gestion des bureaux de service ou de dépannage

On entend par gestion des bureaux de service ou de dépannage la planification, l'organisation, la direction, le contrôle et la déclaration des activités et des processus qui sont associés à l'enregistrement, à la priorisation, au suivi, à l'acheminement, à la résolution et à la fermeture d'incidents et de problèmes touchant les utilisateurs ultimes dans le cadre de la prestation de services de la TI afin de répondre aux exigences de l'ACIA. Les contrôles internes mis à l'essai durant la vérification visaient à assurer le fonctionnement efficace du bureau de service et de dépannage de l'Agence et à favoriser la résolution rapide des incidents et des problèmes touchant les utilisateurs ultimes.

La vérification a permis de constater qu'il y a des processus documentés pour le traitement des appels et des courriels et que le personnel du bureau de service a accès à une variété d'outils. Cependant, il n'existe pas de manuel détaillé à l'intention du personnel du bureau de service. On ne ferme pas régulièrement les fiches d'incident ou on n'indique pas comment on a donné suite aux demandes de service. De plus, les normes de service n'ont pas été définies, et il n'y a aucune surveillance des tendances relatives au rendement et aux demandes de service.

La DGGITI indique qu'elle a entrepris un projet qui posera les jalons des normes de service. Dans le cadre de ce projet, les rôles et les responsabilités seront officialisés et un manuel devrait être élaboré. Un processus d'examen officiel pour assurer que les fiches d'incident sont fermées sera mis en oeuvre.

2.5 Forces cernées

Les forces suivantes ont été cernées durant la vérification :

• Les contrôles environnementaux pour les opérations du centre de données sont appropriés, surveillés et vérifiés régulièrement.
• Des énoncés de sensibilité ont été élaborés pour la majorité des applications de l'ACIA et on prévoit procéder à des évaluations de la menace et des risques (EMR) pour celles qui sont jugées comme étant les plus sensibles.
• Le groupe des Opérations de la TI a commencé à officialiser ses procédures et ses processus. À titre d'exemple, il a élaboré les Normes et procédures de l'équipe des serveurs et du matériel de l'environnement de centre de données ainsi que la première phase du Processus de prestation de services.
• Un sondage sur la satisfaction de la clientèle à l'égard du bureau de service a été réalisé au cours du mois de février 2011. Ce sondage a révélé que près de 90 % des personnes interrogées qui ont fait appel au bureau de service étaient satisfaits du service offert.

2.6 Conclusion

Bon nombre des questions soulevées durant la vérification ont été résolues. L'ACIA collaborera avec SPC pour donner suite aux questions qui restent. La DGGITI a récemment élaboré un cheminement stratégique qui cadre avec l'orientation du gouvernement du Canada énoncée dans la suite des politiques du Conseil du Trésor, notamment le Cadre stratégique sur l'information et la technologie.