Audit du cadre de GI/TI pour soutenir la transition vers SPC

Mars 2015

7050-66 (CS Ex)

Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements NON CLASSIFIÉS.

Acronymes et abréviations

Sommaire des résultats

Le Sous-ministre adjoint (Gestion de l’information) (SMA(GI)) est l’autorité fonctionnelle de la gestion de l’information et de la technologie de l’information (GI/TI) au ministère de la Défense nationale (MDN). Toutefois, la gestion de la GI/TI au Ministère est répartie entre diverses organisations outre le SMA(GI). Cette approche décentralisée de la prestation des services de GI/TI permet à un ministère de cette envergure et de cette complexité de répondre aux besoins opérationnels spécifiques en GI/TI de façon souple.

Le 4 août 2011, le gouvernement du Canada (GC) a créé un nouveau ministère, appelé Services partagés Canada (SPC), pour offrir une infrastructure et des services communs en GI/TI et pour diminuer les dédoublements entre ministères. Compte tenu du degré d’autonomie dont disposaient des organisations du MDN relativement à leur infrastructure et services de GI/TI, le Ministère a eu des difficultés à faire la transition vers l’infrastructure de GI/TI et les pratiques de gestion des services de TI que SPC tente de mettre en œuvre, et il continue à en avoir. Depuis que SPC a pris le contrôle de l’infrastructure et services ministériels spécifiques de GI/TI, le 1er avril 2012, tout retard dans l’intégration entre le Ministère et SPC pourrait avoir des répercussions sur les opérations courantes du MDN.

Le présent audit a pour objectif d’évaluer si la gouvernance, le contrôle et la gestion des risques au sein du cadre de GI/TI du MDN soutiennent une transition efficace vers SPC.

Constatations et recommandations

Gouvernance liée à la transition des services. Pour l’essentiel, les rôles et les responsabilités liés à la transition des services vers SPC n’étaient pas définis aux niveaux opérationnels du MDN. Le Ministère a travaillé avec SPC pour clarifier son rôle en matière de prestation des services de GI/TI grâce à des mécanismes officiels, comme les accords et les protocoles, ainsi que pour tenter d’harmoniser des aspects de son modèle de gestion des services de TI à ceux de SPC. Bien que le processus de gestion du changement de la GI/TI du MDN comprenne l’intégration à SPC, les rôles et les responsabilités n’ont pas été officialisés, ce qui crée un risque de changements non autorisés ou non documentés. La politique actuelle ne définit pas explicitement les rôles et les responsabilités des organisations décentralisées au sein du MDN pour gérer leurs propres systèmes et services de GI/TI. En l’absence d’une telle instruction politique, ce pourrait être plus difficile pour le MDN et le SMA(GI) de planifier, communiquer, coordonner et mettre en œuvre les objectifs et les initiatives ministériels de GI/TI.

Il est recommandé que le SMA(GI) veille à ce que les rôles et les responsabilités en matière de GI/TI et que les changements organisationnels soient clairement définis, communiqués et que leur mise en œuvre soit surveillée.

Gestion des niveaux de services. En l’absence de normes ministérielles concernant la documentation de renseignements importants sur les services, il y a des incohérences dans la structure et la documentation des services examinés. Cela a créé des difficultés pour harmoniser les services internes à ceux de SPC et mesurer le rendement des services à l’échelle du Ministère. L’on a cependant remarqué que la plupart des sept unités de prestation de services du MDN qui ont été examinées avaient effectué la transition vers des outils du bureau de service visant l’ensemble du MDN pour les demandes services et la gestion des services qui aideraient à simplifier les services, ou alors elles étaient en voie de la faire.

Durant l’étape liée à l’étendue de l’audit, le SMA(GI) a eu du mal à déterminer les exigences en matière de niveaux de service, les cibles liées aux niveaux de service, l’évaluation du rendement et les exigences liées à la production des rapports pour les services à l’échelle du Ministère. Néanmoins, l’initiative de gestion des services de TI a fait des progrès dans l’élaboration des cibles liées aux niveaux des services nationaux du MDN. Les exigences et les cibles liées aux niveaux de service sont importantes puisqu’elles représentent les besoins de la clientèle et les exigences administratives, et qu’elles donnent la capacité d’effectuer la surveillance du rendement des services de GI/TI dans tout le Ministère.

Il est recommandé que le SMA(GI) élabore des normes clairement définies en matière de gestion des niveaux de service de GI/TI et qu’il veille à ce qu’elles fassent l’objet d’une surveillance.

Gestion des connaissances relatives aux services. Le SMA(GI) n’a aucun système permettant de gérer les données et les renseignements liés à la gestion des services de TI. De plus, l’actuel modèle décentralisé de prestation des services de GI/TI a fait en sorte que les renseignements sur les services que détiennent les divers fournisseurs de services de GI/TI du MDN ne sont pas uniformes, ni faciles d’accès. Par conséquent, il est difficile d’avoir une vue globale de renseignements ministériels sur la GI/TI qui pourraient aider à la transition vers SPC et servir à des fins décisionnelles.

Un outil pourrait aider le MDN à gérer les services internes de GI/TI et à faire en sorte que les services de SPC et du MDN répondent aux besoins de la clientèle : un catalogue des services. Ce dernier pourrait comprendre des renseignements sur les propriétaires fonctionnels et les unités, les répercussions des incidents ou des changements sur les activités, les priorités des activités et les niveaux de service. Bien qu’il y ait un catalogue des services au sein du Ministère, il ne comprend qu’une description du service et son propriétaire fonctionnel de haut niveau. De plus, le catalogue des services n’était pas lié à des portefeuilles clients qui définissent lesdits clients et leurs exigences.

Il est recommandé que le SMA(GI) élabore des stratégies et une orientation de la politique pour garantir une démarche commune à la consignation, au stockage et au partage des renseignements sur les services.

Gestion intégrée des risques. Le Ministère a décrit les risques liés à la transition et les activités d’atténuation à un niveau très élevé dans certains documents ministériels. Des pratiques informelles de gestion des risques ont cours au sein du MDN afin de gérer la transition et ses répercussions sur les activités courantes de GI/TI. Cependant, il n’y avait aucune preuve de pratiques officielles, cohérentes et uniformes de gestion des risques permettant de cerner, d’évaluer et de gérer les risques. Ces observations et les améliorations potentielles ont fait l’objet de discussions avec la direction; on a toutefois jugé qu’aucune recommandation n’était nécessaire dans le présent rapport.

Nota : Les réponses de la direction aux recommandations du CS Ex figurent à l’annexe A – Plan d'action de la direction.

1.0 Introduction

1.1 Contexte

En 2014, l’Équipe de la Défense comptait environ 67 000 militaires et 23 000 employés civils.¹ Les membres de l’Équipe de la Défense travaillent non seulement dans la région de la capitale nationale, mais aussi à d’autres endroits, comme aux différentes bases et unités au Canada, aux États-Unis et en Europe, ainsi qu’à d’autres lieux à l’échelle internationale à l’appui des opérations de déploiement, de missions des alliés et d’exercices d’entraînement interarmées. Ce genre d’organisation dispersée et en constante évolution présente un défi de GI/TI unique.

Le SMA(GI) agit à la fois comme autorité de la GI/TI au sein du MDN et de fournisseurs de services de GI/TI (postes de travail, logiciels d’application, réseaux classifiés, etc.) pour les utilisateurs finaux au Ministère. Grâce à la politique ministérielle, d’autres organisations au sein du MDN ont aussi reçu l’autorisation de fournir des services de GI/TI, au besoin, ce qui crée un modèle de services décentralisés.

Par conséquent, diverses organisations au sein du MDN fournissaient nombre de services semblables au sein de leur organisation respective. Le 4 août 2011, le GC a créé SPC afin de transformer fondamentalement la façon dont le gouvernement gère son infrastructure de TI,² et, ainsi, certains de ces services sont maintenant la responsabilité de SPC.

SPC fournit au MDN l’infrastructure de TI ainsi qu’à 42 autres ministères fédéraux. Le 15 novembre 2011, le GC a annoncé que le contrôle et la supervision d’une partie des budgets, des gens, des biens et des contrats pour l’infrastructure et les services de TI seraient transférés de ces ministères à SPC d’ici le 1er avril 2012. Durant l’année financière (AF) 2012-2013, le MDN a donc transféré à SPC quelque 306 millions de dollars et 761 membres du personnel.

Cette attente relative à la transition vers le modèle de service de SPC au plus tard le 1er avril 2012 a posé tout un défi pour un ministère ayant la taille, la complexité, la répartition géographique et la structure organisationnelle de GI/TI décentralisée du MDN. Toute tentative de poursuivre la transition après le 1er avril 2012 aurait dû être réalisée avec des ressources de GI/TI restreintes, puisque nombre desdites ressources auraient été transférées à SPC à ce moment.

Compte tenu de l’autorisation accordée aux diverses organisations grâce à la démarche décentralisée du Ministère, chaque organisation peut avoir sa propre façon de gérer les mêmes services et systèmes de GI/TI sans que le SMA(GI) en ait une grande visibilité à l’échelle du Ministère. Par conséquent, une complexité supplémentaire s’est ajoutée puisque SPC a dû faire l’intégration de multiples organisations fournissant des mêmes services au sein du MDN. La figure 1 illustre les partenariats entre SPC et le MDN.

Figure 1. Partenariat entre SPC et le MDN. Le diagramme ci-haut illustre le partenariat entre SPC et les fournisseurs de services de GI/TI ministériels. SPC fournit des services directs aux fournisseurs de services de GI/TI de chaque organisation.

Bien que le MDN ait proposé à SPC un document de ségrégation des responsabilités des services afin de maintenir les niveaux opérationnels de GI/TI au sein du Ministère, la direction a signalé qu’elle n’était pas encore parvenue à une entente avec SPC. Cela a créé des difficultés dans la progression de l’intégration des services entre les deux ministères et a nui à la capacité du MDN à identifier les services de GI/TI nécessitant une intégration avec SPC, à en établir l’ordre de priorité et à en faire la transition. Au 31 mars 2014, le seul document qui avait été signé par SPC et le MDN était une entente administrative décrivant la relation courante, en termes généraux, entre SPC et des organisations partenaires. Bien que l’entente administrative soit la clé de voûte du cadre de partenariat, des accords spéciaux entre le MDN et SPC, ainsi que le rendement escompté des services n’ont pas encore été établis.

1.1.1 Initiatives du MDN visant à améliorer la transition vers SPC

Le MDN travaille avec SPC afin d’améliorer l’intégration des services entre les ministères. Par exemple, le MDN accroît l’information dans son catalogue des services, et il crée une initiative pour aider à garantir la disponibilité et l’intégrité des principaux services de réseau. La direction du MDN a affirmé qu’on avait tenu des réunions entre les deux ministères concernant la gestion des incidents et qu’un gestionnaire des opérations de SPC avait été intégré au sein du MDN afin d’aider à mieux comprendre les activités et les exigences.

Le MDN a élaboré un document qui décrit les protocoles devant servir à répondre à ses besoins administratifs. Le MDN a aussi réalisé des progrès pour ce qui est d’identifier les éléments de sécurité de la TI qui pouvaient être transférés ou partagés entre le MDN et SPC. Enfin, le SMA(GI) procède à la planification et à l’élaboration des feuilles de route mesurables en GI/TI pour soutenir les objectifs de sécurité liés à l’informatique et à la TI.

1.2 Justification de l’audit

Pendant l’exécution d’une étude de planification du Chef – Service d’examen, qui a été présentée en mars 2013 au comité ministériel d’audit, la direction du MDN a désigné le modèle de prestation des services de l’infrastructure de la TI commune du GC comme un secteur de risques. Plus précisément, on se préoccupait des répercussions du transfert à SPC de certaines responsabilités en GI/TI. Le plan de vérification axé sur les risques du Chef – Service d’examen pour les AF de 2013-2014 à 2015-2016 mentionne une vérification du cadre de GI/TI du MDN, dont l’étendue est axée sur les services interconnectés entre le MDN et SPC.

1.3 Objectif

L’audit a pour objectif d’évaluer si la gouvernance, le contrôle et la gestion des risques à l’intérieur du cadre de GI/TI du MDN soutiennent une transition efficace vers SPC.

1.4 Étendue

L’audit englobait une évaluation des fonctions ministérielles au sein du MDN liées aux secteurs de prestation des services de GI/TI qui seraient intégrés à SPC, de l’AF 2011-2012 à l’AF 2013-2014. La plage de calendrier de l’échantillon des activités des services de GI/TI a été étendue jusqu’à décembre 2014 afin de valider les résultats des tests.

L’infrastructure classifiée et les services connexes n’ont pas été examinés parce qu’au moment où l’on a commencé l’audit, il fallait encore déterminer s’ils allaient faire partie de la transition vers SPC. La sécurité de la GI/TI n’a pas été examinée non plus puisqu’on s’attend à ce qu’elle fasse l’objet d’audits à venir. Enfin, l’évaluation ne porte pas sur l’examen des stratégies de prestation des services de SPC ou sur le rendement en la matière.

1.5 Méthodologie

La méthodologie ci-après indiquée a servi à l’exécution de l’audit.

• Examen et analyse des politiques et directives pertinentes du GC et du MDN, des plans d’activités organisationnels, des profils de risques ministériels ainsi que de la documentation de l’initiative de gestion des services de TI du MDN.
• Examen et analyse des différents briefings, rapports, procès-verbaux de réunions de comités et comptes rendus de groupes de travail.
• Entrevues réalisées avec divers intervenants responsables de la gouvernance de la GI/TI ainsi que de la gestion et de la prestation des services et systèmes de GI/TI.
• Analyse d’un échantillon de 11 demandes de changement³ approuvées sur 419 afin de déterminer l’ampleur de la participation de SPC au processus de demande de changement et de voir si les rôles et responsabilités de SPC concordent avec la politique et les lignes directrices du MDN.
• Échantillon choisi de sept unités de services d’administration de la base de données (ABD) parmi différents fournisseurs de services afin de déterminer si les activités de service exécutées étaient uniformes entre les différentes unités de services au sein du Ministère et si l’information était systématiquement documentée.

1.6 Critères de l’audit

Les critères de l’audit se trouvent à l’annexe B.

1.7 Énoncé de conformité

Les constatations et les conclusions de l’audit figurant dans le présent rapport reposent sur des preuves d’audit suffisantes et appropriées recueillies par l’application de procédures conformes aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes. L’audit est donc conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le présent rapport reposent sur les conditions existant au moment de l’audit et elles ne s’appliquent qu’à l’entité examinée.

2.0 Constatations et recommandations

2.1 Gouvernance liée à la transition des services

Bien qu’il y ait certains éléments de gouvernance de la gestion des services de TI pour soutenir la transition vers SPC, le MDN n’a pas entièrement élaboré et mis en œuvre un cadre de gouvernance et de transition des services pour soutenir l’intégration à SPC.

Dans tout milieu de travail, le changement peut s’avérer une entreprise complexe parce qu’elle présuppose souvent la gestion de l’interrelation des changements entre les personnes, les processus et la technologie. C’est particulièrement vrai pour la transition de la gestion de l’infrastructure de TI du MDN vers SPC, compte tenu de la portée du changement. Non seulement le Ministère devait-il transférer de l’argent, des effectifs et des biens liés au mandat de SPC, il devait aussi réaliser une transition de ses activités pour s’adapter à la façon dont SPC gère les services de TI. Cela a été un défi pour le Ministère d’intégrer efficacement ses activités à un fournisseur de services de TI externe compte tenu des ressources de GI/TI qui lui resteront après le transfert.

2.1.1 Rôles et responsabilités

À titre de dirigeant principal de l'information pour le ministère de la Défense nationale et les Forces armées canadiennes (le MDN et les FAC), le SMA(GI) est responsable de la gestion des services de TI et il doit veiller à leur harmonisation avec les objectifs ainsi que les priorités opérationnels. Durant la transition vers SPC, toutefois, le Vice-chef de l’état-major de la Défense a publié une série de directives afin d’aider à garantir la continuité des services de GI/TI. Cela comprend la définition des rôles et des responsabilités pour gérer les composantes de la transition vers SPC. Or, ces rôles et ces responsabilités n’ont été définis qu’aux niveaux supérieurs du MDN.

Les rôles et les responsabilités n’étaient pas explicitement définis dans d’autres documents de politique ou de directives ou aux niveaux opérationnels du Ministère. Ainsi, six des sept unités de services d’ABD échantillonnées au sein du MDN n’avaient pas documenté les rôles et les responsabilités. Les services d’ABD ont été choisis pour l’échantillonnage parce que leur responsabilité est maintenant partagée entre le MDN et SPC. L’absence de consignation des rôles et des responsabilités peut créer des difficultés lorsqu’il s’agit de faire connaître à SPC les rôles et les responsabilités de niveau opérationnel du MDN. Il est important de documenter les rôles et les responsabilités ainsi que de les faire connaître à SPC afin de fournir des services intégrés aux utilisateurs finaux.

Bien que SPC participe au processus de contrôle du changement du MDN pour les systèmes de GI/TI, les politiques et les procédures du MDN ne décrivent pas officiellement les rôles et les responsabilités de SPC. Il y a un haut degré d’interconnectivité entre des éléments des systèmes de GI/TI. À ce titre, il y a une possibilité que les changements à l’une des composantes nuisent à d’autres systèmes. Sans définition des rôles et des responsabilités, on court le risque qu’on mette en œuvre des changements non autorisés ou non documentés qui pourraient avoir des répercussions imprévues sur d’autres systèmes de GI/TI du MDN.

2.1.2 Communication et stratégie liées à la transition

Il est important de communiquer efficacement le changement organisationnel afin de faire en sorte que les intervenants comprennent et adoptent les changements. À ce titre, les communications dans l’ensemble du Ministère doivent être claires, uniformes, opportunes et ciblées vers les bons destinataires. Les plans officiels des communications pourraient servir à garantir le succès des communications et l’adhésion des intervenants à l’égard des changements organisationnels.

Il n’y avait aucune preuve d’un plan de communication à l’échelle du Ministère. Bien que diverses organisations du MDN aient eu leur propre plan de communication pour gérer la transition des systèmes et services de TI, il leur manquait d’importantes composantes. Les plans pourraient comprendre des éléments les objectifs de communication et les résultats escomptés, des considérations relatives aux intervenants ainsi que des paramètres de rétroaction (par exemple, le pourcentage de répondants qui ont une idée claire de ce qui est attendu d’eux durant cette transition des services). Un plan de communication pour l’ensemble du Ministère pourrait décrire la stratégie du MDN pour s’harmoniser au modèle de gestion des services de TI de SPC à l’intention des intervenants.

Pour gérer les activités actuelles et l’efficacité future des services de GI/TI du MDN, le SMA(GI) a élaboré une proposition de services aux fins d’examen par SPC ainsi qu’une stratégie visant à harmoniser le modèle de gestion des services de TI du MDN avec celui de SPC. Bien qu’on ait eu la preuve de plans visant l’intégration aux services de SPC, ils ne comprennent pas de documents décrivant tous les aspects d’un service de GI/TI et de ses exigences à chaque étape de son cycle de vie, les processus pour garantir que les ressources du service (comme les renseignements sur le service, les réseaux, les licences des logiciels, etc.) sont dûment contrôlés, pas plus qu’ils ne comprenaient des renseignements exacts et fiables sur ces ressources. Sans une telle documentation, des processus et des renseignements auxquels on peut facilement avoir accès, la capacité du MDN à comprendre et communiquer les exigences ministérielles globales en vue de l’intégration à SPC pourrait être limitée.

2.1.3 Conclusion

Durant la transition des systèmes et des services de l’infrastructure de TI vers SPC, le MDN n’a pas décrit les rôles et les responsabilités des fournisseurs de services, confirmé que les communications ont été reçues et comprises par les intervenants, ni mis pleinement en œuvre ou documenté une stratégie exhaustive de gestion des services de TI.

Pour l’heure, les lignes directrices politiques sont vagues en ce qui concerne les rôles et les responsabilités des organisations afin de gérer leurs propres systèmes et services de GI/TI. La démarche décentralisée de gestion des services de GI/TI, sans orientation politique explicite et sans surveillance, fait en sorte qu’il est difficile pour le SMA(GI) de planifier, communiquer, coordonner et mettre en œuvre des objectifs et des initiatives de GI/TI pour l’ensemble du MDN.

2.2 Gestion des niveaux de services

Le processus de gestion des niveaux de services du MDN n’est pas appuyé par la documentation nécessaire et les renseignements sur les services pour faire connaître à SPC le rendement des services escompté par le MDN; toutefois, des mesures ont été prises à cet égard.

La gestion des niveaux de service est le processus servant à garantir que les clients internes obtiennent les niveaux de service appropriés de leur fournisseur de services de GI/TI. Cela présuppose de recueillir et de tenir à jour les renseignements sur les services, comme les exigences des clients relatives aux niveaux de service qui pourraient servir à négocier avec SPC les attentes liées aux services.

2.2.1 Manque d’uniformité de la documentation des renseignements liés aux services

Il n’y avait aucune preuve de normes ministérielles concernant la documentation les principaux renseignements sur les services. En l’absence de normes ministérielles, les huit mêmes activités ont été examinées au sein de sept unités de services d’ABD pour déterminer si les renseignements sur les services étaient uniformes à l’échelle du Ministère. À titre d’exemple, lesdites activités pourraient comprendre la création, la mise à jour, la migration, la sauvegarde et la récupération d’une base de données. Parmi les sept unités de services d'ABD, six ont exécuté les huit activités, tandis que l’autre unité de service n’en avait exécuté que deux, ce qui donne au total 50 activités.

L’on s’attendait à ce qu’on trouve des renseignements semblables sur les services d’ABD documentés et disponibles pour toutes les 50 activités examinées afin de mesurer et de comparer l’efficacité de la prestation des services dans l’ensemble du Ministère. Parmi ces 50 activités, 25 comptaient des documents pour soutenir le service. Une analyse de cette documentation a révélé qu’il y avait peu d’uniformité des renseignements sur les services. En l’absence de politiques sur les normes relatives aux renseignements sur les services, des services peuvent être conçus et mis en œuvre de façon incohérente. Des renseignements sur les services non uniformes créent des difficultés lors de l’intégration des services du MDN à ceux de Services partagés Canada puisque SPC vise à obtenir des normes communes et des gains d’efficience dans tous les ministères.

2.2.2 Renseignements liés aux services

Les cibles des niveaux de service reposent sur les exigences en matière de niveaux de service,⁴ lesquelles représentent les exigences du client pour un service de TI particulier. Les fournisseurs de service peuvent s’en servir pour mesurer le rendement des services et gérer les attentes du client à l’égard du service en question. Le MDN peut aussi utiliser ces cibles pour négocier les attentes avec d’autres fournisseurs de service comme SPC.

Parmi l’échantillon de sept unités de services d’ABD examinées, on n’a eu aucune preuve de renseignements sur les services, comme les exigences sur les niveaux de service, les cibles des niveaux de service, les évaluations du rendement ou les exigences en matière de rapports.

Dans l’ensemble, il était évident, durant l’audit, que les renseignements sur les services ne pouvaient pas servir à évaluer le rendement antérieur des services du MDN. Cela a son importance puisque des cibles de service communes et des mesures traditionnelles du rendement des services auraient pu servir à négocier les niveaux de services attendus de SPC.

2.2.3 Conclusion

Les normes requises pour mettre en œuvre certaines composantes clés de la gestion des niveaux de service, comme la collecte des exigences sur les services et les renseignements, ainsi que la surveillance du rendement des services au sein du Ministère, n’étaient pas en place. Cela a donné lieu à des renseignements sur les services non uniformes qui peuvent nuire à la capacité du MDN à intégrer ses services de TI à ceux de SPC. De plus, le MDN est incapable de mesurer le rendement des services de GI/TI à l’échelle du Ministère et d’utiliser ces renseignements pour négocier les niveaux de service avec SPC.

2.3 Gestion des connaissances relatives aux services

Les stratégies, les systèmes et les processus du MDN qui contribueraient à la gestion efficace des données, renseignements et connaissances sur les services pour soutenir l’intégration à SPC n’étaient généralement pas établis.

La gestion des connaissances liées aux services présuppose de mettre en commun les perspectives, les idées, les expériences et les renseignements, et de les rendre facilement disponibles et accessibles. Le processus de gestion des connaissances favorise la consignation des renseignements sur la GI/TI dans un format uniformisé afin qu’ils puissent être facilement compilés et analysés, ce qui donne lieu à des renseignements ministériels sur la GI/TI plus actuels, exhaustifs et valides. Si les renseignements sur les services sont structurés et documentés uniformément et que tous les intervenants concernés peuvent y avoir accès et les partager, le MDN pourrait réduire les dédoublements des efforts à l’échelle du Ministère. Cela permettrait au MDN d’avoir une vue d’un service dans l’ensemble du Ministère et de pouvoir réagir plus efficacement aux nouveaux risques et mieux se conformer aux politiques et à d’autres exigences juridiques, comme la transition des services et des systèmes vers SPC.

2.3.1 Accessibilité des renseignements liés aux services qui sont conservés

Le SMA(GI) n’a pas établi la gouvernance ou des contrôles pour la gestion des connaissances relatives aux services au sein du Ministère. Cela comprend la création et la mise en œuvre des politiques, des processus ou des procédures requises pour tenir à jour les données et les renseignements sur la GI/TI et les rendre disponibles pour ceux qui en ont besoin à des fins décisionnelles.

Aussi, le SMA(GI) n’a pas de système qui effectue la gestion des données et des renseignements liés aux systèmes et services de GI/TI, et il pourrait ne pas avoir accès à ce genre d’information qui existe chez l’ensemble des fournisseurs de services de GI/TI du MDN. Pendant l’audit, ces renseignements étaient généralement difficiles à trouver, puisqu’ils étaient soit conservés dans des ordinateurs personnels ou dans un logiciel ministériel de partage de documents dont les conventions de nomenclature et les emplacements ne sont pas uniformisés. En outre, les renseignements qui sont communément utilisés pour gérer les services et les ressources de GI/TI, comme les renseignements sur les logiciels, la documentation des processus, les exigences en matière de services et les accords, n’étaient pas toujours disponibles chez les fournisseurs de service. Ainsi, parmi les sept unités de services d’ABD de l’échantillon, l’information stockée n’était pas disponible relativement aux exigences et aux cibles en matière de services dans tous les cas, aux ressources du logiciel de la base de données dans quatre cas et aux processus documents des services dans quatre cas. Pour régler certains de ces problèmes, le SMA(GI) prévoit héberger l’information relative au matériel et aux logiciels pour les ressources de TI courantes au sein du MDN grâce à un outil du bureau de service panministériel récemment mis en œuvre.

2.3.2 Catalogue des services et portefeuille de clients

Le MDN a récemment mis en œuvre un catalogue des services⁵ aux utilisateurs, des services techniques et des services de soutien. Toutefois, les renseignements sur ces services ne comportaient qu’une description du service et de son propriétaire fonctionnel de haut niveau. Un catalogue des services pourrait comprendre des renseignements sur les responsables fonctionnels et les unités, les répercussions des incidents ou des changements sur les activités, les priorités opérationnelles et les niveaux de service. À ce titre, pendant l’étape d’examen de l’audit, il a été difficile d’établir le lien entre les services et les fournisseurs de services dans la région sans avoir à passer par un long processus consistant à communiquer avec des experts en la matière ou des gestionnaires de la chaîne de commandement. SPC pourrait avoir des difficultés semblables lorsqu’il doit collaborer avec des fournisseurs de services du MDN.

Le MDN n’avait pas de portefeuille client⁶ pour ses services de GI/TI. Un tel portefeuille permettrait d’établir le lien entre les clients et les services, d’identifier l’autorité décisionnelle pour les services précis qui sont requis au Ministère ainsi que définir l’utilisation et la valeur de chaque service. En l’absence de politiques et de normes qui exigent des définitions explicites des pouvoirs, des rôles et des responsabilités, ainsi que des exigences relatives à la documentation afin de gérer les services de GI/TI au MDN, il aurait été difficile d’établir un portefeuille client accessible renfermant ces renseignements. Les liens entre les clients et les renseignements sur les services permettraient au MDN de mieux comprendre les répercussions des changements à l’infrastructure de TI de SPC sur les clients du MDN. L’utilisation documentée ainsi que la valeur des services aux clients permettraient au MDN de mieux établir la priorité des services et des systèmes ministériels en les harmonisant avec les services de SPC. Ainsi, le SMA(GI) a commencé à gérer les priorités des solutions de GI/TI requérant des services du MDN et de SPC.

2.3.3 Conclusion

En raison de l’absence de stratégies et de politiques pour la mise à jour et la gestion des connaissances et des renseignements sur les services de TI, les renseignements sur les services et les ressources liées aux services n’étaient ni exhaustifs, ni faciles d’accès, ni liés aux renseignements sur les clients. Ces aspects sont importants si l’on veut déterminer et communiquer les répercussions des services de SPC sur les fournisseurs de services et les utilisateurs finaux du MDN.

2.4 Gestion intégrée des risques

Bien que le MDN ait pris en charge les secteurs de risques par le biais de la documentation ministérielle et des pratiques officieuses, on a discuté d’améliorations potentielles avec la direction pour officialiser une démarche intégrée de gestion des risques.

La gestion intégrée du risque favorise une démarche systématique, continue et proactive visant à comprendre, à gérer et à communiquer les risques du point de vue de l’ensemble de l’organisation, et ce, de manière uniforme et cohérente. Elle devrait soutenir les prises de décisions stratégiques qui contribuent à l’atteinte des objectifs globaux de l’organisation.⁷

Bien que certains documents ministériels désignaient des risques liés à la transition à un haut niveau ainsi que les activités d’atténuation, il n’y avait aucune preuve de registre des risques permettant de dresser la liste de tous les risques importants associés à la transition des services vers SPC, de les classer par catégorie et par ordre et d’en assurer la gestion courante. En l’absence de renseignements accessibles sur les services provenant d’autres organisations fournissant des services au sein du MDN, le SMA(GI) ne peut pas réaliser une évaluation des risques exhaustive relativement à la transition vers SPC.

Néanmoins, on a des preuves que les risques sont gérés de façon informelle. Des organisations et des gestionnaires du Ministère ont réagi face aux risques au fur et à mesure qu’ils se manifestaient grâce à leur propre expérience et expertise. Ainsi, on a des preuves de certains points portant visant à s’attaquer aux risques dans une série de comptes rendus de groupe de travail et de comités responsables de la gestion de certaines composantes de la transition vers SPC; toutefois, ces risques ne sont pas toujours énoncés de façon explicite.

Comme le SMA(GI) a pris en charge certains secteurs de risques malgré le fait qu’il ne disposait pas d’une démarche intégrée de gestion des risques officielle, on a discuté des observations et des points potentiellement à améliorer avec la direction. On juge donc qu’aucune recommandation n’est nécessaire dans le présent rapport.

3.0 Conclusion générale

Dans l’ensemble, les mécanismes de gouvernance, de contrôle et de gestion des risques au sein du cadre de GI/TI du MDN requièrent des améliorations pour accroître l’efficacité des services de GI/TI et pour faire en sorte que le Ministère est convenablement positionné pour soutenir la transition efficace vers les services de SPC.

Le MDN utilise une approche décentralisée pour gérer ses systèmes et services de GI/TI. Cette approche est complexe et, l’absence d’une solide gouvernance et de contrôles a créé des difficultés lorsqu’il s’agit d’essayer d’intégrer les services ministériels de GI/TI à ceux de SPC. Le MDN a géré de façon active les complexités administratives et organisationnelles de la transition des services grâce à divers comités et directives, mais il bénéficierait d’avoir des rôles, responsabilités et des processus plus clairement définis pour sa propre administration de la gestion des services de TI. Ce genre de processus comprend l’élaboration et la mise en œuvre d’approches communes pour consigner, stocker et partager des renseignements sur les services afin de prendre davantage de décisions plus efficaces concernant les services.

Le Ministère a pu collecter et regrouper des renseignements sur les services grâce à des demandes de renseignements et à la collaboration avec des clients organisationnels, mais uniquement aux niveaux supérieurs de l’organisation. Toutefois, des incohérences dans la façon dont les services sont structurés et documentés et dans les types de renseignements sur les services recueillis font en sorte qu’il est difficile pour le Ministère de faire connaître à SPC les exigences actuelles en matière de services ainsi que les renseignements relatifs aux niveaux de services.

Les documents ministériels désignaient des risques liés à la transition et les activités d’atténuation connexes à un haut niveau. Toutefois, il n’existait aucun cadre officiel de gestion des risques intégrée, comprenant un registre des risques, la priorisation des risques et des stratégies applicables de gestion des risques. Cela a fait l’objet de discussions avec la direction et l’on a jugé qu’aucune recommandation n’était nécessaire dans le présent rapport.

Les recommandations sont fournies pour améliorer la gouvernance, les contrôles et la gestion des risques pour soutenir la gestion efficace des services de GI/TI au sein du Ministère ainsi que la transition des services vers SPC.

Annexe A – Plan d’action de la direction

Le CS Ex utilise les critères d’importance suivants pour ses recommandations :

Très élevée – Aucun contrôle n’est en place. On a relevé des problèmes importants qui auront de graves répercussions négatives sur les activités.

Élevée – Les contrôles sont inadéquats. On a relevé des problèmes importants qui pourraient avoir des répercussions négatives sur l'atteinte des objectifs opérationnels et les programmes.

Modérée – Des contrôles sont en place, mais ils ne sont pas suffisamment respectés. On a relevé des problèmes qui pourraient avoir des répercussions négatives sur l'efficacité et l'efficience des activités.

Faible – Des contrôles sont en place, mais le degré de conformité varie.

Très faible – Des contrôles sont en place, et la conformité est uniforme.

Gouvernance liée à la transition des services

Mesures de la direction

Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel qu’indiqué ci-après.

1. Le SMA(GI) effectue présentement une analyse des rôles et des responsabilités au sein de son organisation. Le rapport qui en découlera décrira en détail les pouvoirs, les responsabilités et les obligations des rôles des dirigeants principaux de l’information de la Défense. Une fois terminée, cette analyse sera étendue aux organisations opérationnelles participant aux activités de transition vers SPC. Celle-ci désignera quels sont les éléments du SMA(GI) qui seront touchés par la transition, quelles sont leurs responsabilités actuelles et en quoi celles-ci changeront par suite de la transition des services (dont l’achèvement est prévu pour l’AF 2015-2016).
2. Le SMA(GI) élabore un protocole de fonctionnement entre le MDN/FAC et SPC dont le but est de faire en sorte que l’on tienne compte de facteurs précis liés aux activités et aux programmes qui ont trait aux exigences de fonctionnement uniques du MDN et des FAC. Cela permettra au MDN et aux FAC ainsi qu’à SPC d’assurer la prestation efficace et efficiente de leurs propres programmes et services, tout en respectant leurs mandats respectifs, les exigences juridiques, les obligations politiques et les contrôles de gestion. Ce protocole établit les ententes de travail mutuellement convenues pour atteindre ce but. En outre, le protocole comprend un espace réservé pour l’élaboration subséquente d’accords sur les niveaux de service plus détaillés qui seront élaborés en vertu du cadre du protocole et qui définiront davantage la relation entre le MDN et SPC. Le protocole a été accepté au niveau de l’état-major, entre SPC et le MDN, et il fait maintenant l’objet d’un examen final (dont l’achèvement est prévu pour l’AF 2015-2016).

BPR : SMA(GI)

Date cible : 31 mars 2016

Gestion des niveaux de services

Mesures de la direction

Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel qu’indiqué ci-après.

1. L’initiative de gestion des services de TI, sous la responsabilité du Renouvellement de la Défense, transformera la façon dont les services de TI sont gérés et fournis à l’échelle du MDN et des FAC, normalisant ainsi les outils et les processus de gestion des services de TI et produisant une capacité de catalogue des services de TI d’entreprise. L’on obtiendra un environnement de TI optimisé grâce au regroupement des unités de prestation des services de TI du MDN et des FAC en 22 Centres régionaux de gestion des services ou moins, soutenus par un Centre national de gestion des services. Ainsi, le SMA(GI) parviendra à une meilleure visibilité centrale, à la supervision et aux mécanismes requis pour exercer efficacement l’autorité fonctionnelle. L’initiative de gestion des services de TI en cours devrait être arrivée à terme à l’AF 2018-2019.

2. En ce qui concerne plus précisément les normes de gestion des niveaux de service et leur surveillance, on prendra les mesures ci-après énoncées.

Des produits de gestion des niveaux de service d’entreprise, comme les catalogues des services de TI, les cibles de niveaux de service, l’entente relative aux niveaux de service de TI d’entreprise et les modèles d’accords sur les niveaux de service régionaux, seront mis en œuvre à l’AF 2015-2016, à l’appui du lancement prévu du Centre de gestion des services régionaux principal et du Centre de gestion des services nationaux.

• Au sein du Centre de gestion des services nationaux, la responsabilité à l’égard des pratiques liées à la gestion des niveaux de service d’entreprise sera établie au troisième trimestre de l’AF 2015-2016.
• Les processus et les cadres liés à la gestion des niveaux de service pour la supervision courante, l’intégration et l’évolution des accords de service, le catalogue des services, les cibles de niveaux de service et les paramètres de rendement connexes ainsi que la production de rapport commenceront à l’AF 2016-2017.
• Tous les éléments qui précèdent continueront d’évoluer, de se transformer et de s’harmoniser au paysage changeant lorsque les Centres de gestion des services régionaux seront établis. Les produits de l’état stable seront obtenus d’ici l’achèvement du projet d’ici l’AF 2018-2019.

BPR : SMA(GI)

Date cible : 31 mars 2019

Gestion des connaissances relatives aux services

Mesure(s) de la direction

Le SMA(GI) accepte cette recommandation, et il travaille activement à sa mise en œuvre, tel qu’indiqué ci-après.

1. Le MDN/FAC fera la transition vers une approche commune concernant les rapports, le stockage et le partage en matière d’information sur la prestation des services grâce à une amélioration de l’environnement de gestion des services de TI qui permettra de réaliser ce qui suit :
   1. 1. Regrouper les unités de prestations des services et les équipes de soutien du MDN et des FAC pour avoir un ensemble comptant au plus 22 Centres de gestion des services régionaux, lesquels sont appuyés par un modèle organisationnel de TI simplifié. Tous les Centres de gestion des services régionaux seront sous le contrôle technique du SMA(GI) en tant qu’autorité nationale de gestion des services (achèvement prévu pour l’AF 2019-2020). Nota : l’établissement de l’autorité nationale de gestion des services dépendra de la capacité du SMA(GI) d’obtenir le personnel nécessaire, ce qui reste à déterminer;
      2. Définir et cataloguer les services de TI communs à l’échelle de l’organisation (achèvement prévu à l’AF2015-2016);
      3. Établir des processus communs et universels de prestation des services de TI (achèvement prévu à l’AF 2018-2019);
      4. Mettre en œuvre un ensemble d’outils de soutien commun (achèvement prévu à l’AF 2015-2016).
2. Pour les données et les renseignements liés aux activités, le MDN et les FAC ont publié à DOAD 6001-1 – Tenue de documents, qui exige que des pratiques de gestion des documents soient employées pour ce type d’information. En ce qui concerne particulièrement les renseignements sur les services, deux DOAD sont en cours d’élaboration, et elles portent sur la gestion des services de TI et sur le soutien aux services de TI.

BPR : SMA(GI)

Date cible : 31 mars 2016 au 31 mars 2020

Annexe B – Critères de l’audit

Les critères de l’audit ont été évalués en fonction des niveaux suivants :

Niveau d’évaluation et description

Niveau 1 : Satisfaisant

Niveau 2 : A besoin d’améliorations mineures

Niveau 3 : A besoin d’améliorations modérées

Niveau 4 : A besoin de grandes améliorations

Niveau 5 : Insatisfaisant

Gouvernance

1. Critère. Le MDN a élaboré et mis en œuvre un cadre de gouvernance et de transition des services pour soutenir l’intégration aux services de SPC.

Niveau d’évaluation 4 – Bien qu’il y ait certains éléments de gouvernance de gestion des services de TI, il y a une disparité entre le pouvoir décentralisé du MDN pour les systèmes de GI/TI ainsi que la gestion des services et l’orientation politique qui aidera à faire en sorte que le Ministère puisse coordonner et soutenir l’intégration aux services de SPC.

Contrôle interne

2. Critère. Des stratégies, des systèmes et des processus sont en place pour gérer efficacement les données, l’information et les connaissances sur les services pour soutenir l’intégration aux services de SPC.

Niveau d’évaluation 4 – Il était difficile d’obtenir les renseignements sur les services de GI/TI, qui devaient étayer les décisions portant sur la façon dont le MDN intègre ses services de GI/TI à SPC.

3. Critère. Un processus est en place, et il est efficace lorsqu’il s’agit d’identifier, de communiquer et de mesurer la satisfaction à l’égard des exigences relatives aux services de SPC.

Niveau d’évaluation 2 – Un processus permettant d’identifier, de communiquer et de mesurer la satisfaction à l’égard des exigences relatives aux services de SPC est en place. Ce processus pourrait être amélioré en définissant plus clairement les services de GI/TI du MDN. Comme ce processus requiert des améliorations relativement mineures, on a fait connaître au SMA(GI) les observations et les recommandations à ce sujet.

4. Critère. Le niveau des services du MDN soutient les services de GI/TI actuels et planifiés qui s’inscriront dans le mandat des services de SPC afin d’atteindre les cibles convenues et réalisables.

Niveau d’évaluation 4 – Bien que le SMA(GI) ait pris des mesures pour élaborer les attentes en matière de services communs, la gestion des activités de GI/TI au sein du MDN n’appuie pas pleinement l’élaboration de cibles convenues et réalisables avec SPC.

Gestion des risques

5. Critère. Les risques relatifs à la transition du MDN vers les services de SPC sont gérés de façon appropriée.

Niveau d’évaluation 2 – Bien que le SMA(GI) n’ait pas officiellement identifié, évalué et géré les risques de l’intégration à SPC pour soutenir une prestation efficiente et efficace des services de GI/TI, il a bel et bien géré les risques de façon informelle grâce à divers comités de gouvernance et de groupes de travail, et en a tenu compte dans la documentation ministérielle. Puisque ce processus a besoin d’améliorations mineures, on a fait connaître au SMA(GI) les observations et les recommandations à ce sujet, lesquelles ne sont pas incluses dans le présent rapport.

Source des critères

1. Secrétariat du Conseil du Trésor, Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes (mars 2011)

• Référence à : G-3, G-4, G-7
• Référence à : AC-3
• Référence à : CFS-1, CFS-2, CFS-3, CFS-4, CFS-5
• Référence à : LICM-2, LICM-3, LICM-4
• Référence à : RP-2, RP-3
• Référence à : RM-2, RM-3, RM-4, RM-5, RM-6

2. Bibliothèque de l’infrastructure des technologies de l’information, édition 2011

• Stratégie des services
• Transition des services
• Conception des services

3. Directive sur la gestion des technologies de l’information du Conseil du Trésor

___________________________________________________________________________________________________________________________

Note de bas 1 Rapport ministériel sur le rendement, AF 2013-2014. Équivalents temps plein de la Force régulière et civils.

Note de bas 2 Mandat de SPC (http://www.ssc-spc.gc.ca/pages/mndt-fra.html).

Note de bas 3 Une demande de changement est un document qui sollicite une modification à un système, comme le déménagement de l’infrastructure de TI, l’approbation d’un nouveau serveur, un accès réseau, etc.

Note de bas 4 Définition de la Bibliothèque de l’infrastructure des technologies de l’information : Les exigences sur les niveaux de service reposent sur les objectifs opérationnels du client. Elles servent à négocier des cibles liées aux niveaux de service convenues entre le fournisseur de services et le client.

Note de bas 5 Définition de la Bibliothèque de l’infrastructure des technologies de l’information : Catalogue de services – Base de données ou document structuré comportant de l’information sur tous les services de TI opérationnels, y compris ceux qui sont disponibles pour déploiement.

Note de bas 6 Un portefeuille client est une base de données ou un document structuré servant à consigner tous les clients du fournisseur de services de TI aux fins de gestion des services de TI au Ministère et il présente un profil des clients qui reçoivent des services du fournisseur de services de GI/TI.

Note de bas 7 Secrétariat du Conseil du Trésor du Canada. Guide de gestion intégrée du risque. http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/guides/girm-ggirpr-fra.asp.