Vérification interne – Renseignements extraits des systèmes sources

Avis au lecteur :

Veuillez noter qu'en accord avec la Loi sur l'accès à l'information, certains des renseignements dans ce document ne peuvent pas être publiés afin de protéger nos infrastructures et les activités du gouvernement.

Rapport final

Direction générale de la vérification, de l'évaluation et des risques

Novembre 2015

Résumé exécutif

Contexte 

En tant que l'un des plus grands détenteurs de renseignements du gouvernement du Canada et joueur essentiel dans l'économie du Canada, l'Agence du revenu du Canada (ARC) touche la vie des Canadiens. L'ARC contribue au mieux-être de la population canadienne et à l'efficience du gouvernement en assurant une administration de l'impôt et des prestations de calibre mondial qui soit réceptive, efficace et fiable. En tant que gardien des renseignements relatifs à l'intérêt national et aux intérêts des contribuables1, l'ARC doit assurer la sécurité des renseignements qu'elle détient. Sa tâche de protéger les renseignements est inscrite dans la loi, comme la Loi de l'impôt sur le revenu, la Loi sur la taxe d'accise et la Loi sur la protection des renseignements personnels, et est intégrée dans ses activités au moyen de ses principes directeurs d'intégrité, de professionnalisme, de respect et de coopération.

Les renseignements des contribuables sont extraits des systèmes sources de l'ARC et utilisés pour diverses raisons, y compris la veille stratégique, l'analyse statistique et l'appui à la décision. Les renseignements sont alors stockés dans l'Entrepôt de données de l'Agence (EDA), des dépôts de données ou des documents électroniques tels que des feuilles de calcul. À partir du moment que les renseignements sont extraits jusqu'à leur élimination appropriée, il existe des contrôles de sécurité pour protéger les renseignements des contribuables.

Objectif

L'objectif consistait à déterminer si des contrôles internes étaient en place et fonctionnaient comme prévu pour protéger les renseignements des contribuables extraits des systèmes sources. La phase d'examen de la vérification a eu lieu d'octobre 2014 à mai 2015 à l'Administration centrale et dans toutes les cinq régions de l'ARC. La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion

Des contrôles internes étaient en place pour protéger les renseignements des contribuables. Les employés rencontrés en entrevue étaient au courant des politiques, des normes, des procédures et des processus relatifs à la protection des renseignements qui leur étaient communiqués. De plus, chaque employé comprenait l'importance de son rôle et a répondu de manière cohérente par rapport aux instruments de politique d'entreprise de l'ARC. En outre, aucune utilisation ou divulgation inappropriée des renseignements des contribuables n'a été découverte au cours de la vérification. Toutefois, il y a des possibilités de renforcer les contrôles internes afin de s'assurer davantage que l'ARC continue à protéger les renseignements des contribuables d'une manière efficace et normalisée :

  • PROTÉGÉ
  • PROTÉGÉ
  • PROTÉGÉ
  • PROTÉGÉ

Plan d'action

La Direction générale des finances et de l'administration (DGFA), la Direction générale de la stratégie et de l'intégration (DGSI) et la Direction générale de l'informatique (DGI) acceptent les constatations et les recommandations, ce qui représente un point donné dans le temps lorsque la vérification a été menée. Des progrès pour améliorer les contrôles ont été réalisés depuis cette période, et des plans ont été mis en place pour répondre à toutes les recommandations.

L'ARC reconnaît que la protection de la confidentialité des renseignements des contribuables est un facteur fondamental et essentiel au maintien de la confiance du public dans le régime fiscal. Par conséquent, on a mis beaucoup d'accent sur l'importance de favoriser une culture de sécurité au sein de notre effectif et de renforcer nos mesures de contrôle de la sécurité afin de protéger les renseignements des contribuables et les autres renseignements protégés. PROTÉGÉ

De plus, des outils automatisés ont été élaborés et mis en œuvre permettant aux superviseurs d'assurer la surveillance de l'accès électronique des employés aux renseignements des contribuables. Des améliorations continues sont apportées afin de simplifier les processus tout en permettant la surveillance des activités pour veiller à la conformité. PROTÉGÉ

Introduction

L'Agence du revenu du Canada (ARC) joue un rôle essentiel dans l'économie canadienne en administrant les programmes fiscaux, de prestations et autres pour le compte des gouvernements fédéral, provinciaux et territoriaux. En exécutant son mandat, l'ARC recueille des renseignements de particuliers canadiens et de sociétés canadiennes. Par conséquent, l'ARC gère 35 millions de dossiers de contribuables et a l'obligation juridique de protéger les renseignements des contribuables, comme il est inscrit dans les lois telles que la Loi de l'impôt sur le revenu, la Loi sur la taxe d'accise et la Loi sur la protection des renseignements personnels.

Aux fins de la vérification :

  • Un contribuable est un particulier, une société, une fiducie, un inscrit aux fins de l'impôt ou le bénéficiaire d'une prestation visée par la Loi de l'impôt sur le revenu.
  • Les renseignements sont composés « de données, de faits ou de connaissances qui sont enregistrés, peu importe leur forme, le support d'enregistrement ou la technologie utilisée »2 et qui ont été obtenus ou créés par le ministre du Revenu national en vertu des diverses lois administrées par l'ARC et à son nom.

Par ailleurs, un contribuable pourrait être identifié lorsque certaines pièces de renseignements personnels sont présentées ensemble (par exemple, le nom et le numéro d'assurance sociale (NAS) d'une personne, le nom d'une personne accompagnée de renseignements sur ses finances personnelles, etc.). Dans ces situations, les renseignements personnels sont considérés comme PROTÉGÉ B3.

Les renseignements des contribuables sont transmis à l'ARC par l'entremise de systèmes d'information qui reçoivent les renseignements directement des particuliers et des sociétés. Ces systèmes d'information sont appelés « systèmes sources ». Les renseignements des contribuables peuvent alors être extraits des systèmes sources pour diverses raisons opérationnelles et fonctionnelles, y compris la veille stratégique, l'analyse statistique et l'appui à la décision. Les renseignements extraits sont stockés dans l'Entrepôt de données de l'Agence (EDA), des dépôts de données et des documents électroniques (par exemple, des feuilles de calcul). Les dépôts de données complètent l'EDA. Une troisième méthode pour extraire des renseignements des systèmes sources est au moyen d'une application macro pour l'ordinateur central (AMOC).

L'EDA est un répertoire de données qui renferme des données de l'ARC de plus de 50 systèmes sources d'une manière qui convient à l'analyse, à la recherche et à l'établissement de rapports dans le domaine de la veille stratégique.

Un dépôt de données est une base de données développée à une fin précise qui offre des modèles d'affichage de renseignements personnalisés pour appuyer les exigences en matière d'analyse et d'établissement de rapports d'unités ou de programmes opérationnels particuliers. Bien que certains dépôts de données obtiennent des renseignements protégés de l'EDA, d'autres stockent des renseignements protégés extraits directement des systèmes sources.

Une AMOC est une application sur ordinateur qui utilise un langage de programmation et qui fonctionne avec l'émulateur normalisé de l'ordinateur central de l'ARC pour accéder aux données de l'ordinateur central.

Les AMOC examinées dans le cadre de la vérification ont été conçues pour parcourir les écrans de l'ordinateur central, extraire les renseignements des contribuables et enregistrer ceux-ci dans des documents électroniques distincts.

La figure 1 illustre graphiquement la relation entre les systèmes sources, l'EDA, les dépôts de données et les documents électroniques. La figure en haut du diagramme représente les fonds de renseignements de l'ARC dans ses systèmes sources. Les flèches courbées à la gauche du diagramme représentent le processus d'extraction des renseignements des systèmes sources au moyen des AMOC dans les documents électroniques, puis le stockage de ces renseignements sur les lecteurs partagés (par exemple, le lecteur G), le lecteur personnel (lecteur H) ou le lecteur local (lecteur C). La flèche au centre pointant vers le bas représente le processus d'extraction de renseignements directement des systèmes sources dans les dépôts de données. La flèche courbée à la droite du diagramme représente le processus d'extraction des renseignements des systèmes sources dans l'EDA. Les flèches pointant vers le bas dessinées sous l'EDA illustrent le processus d'extraction des renseignements de l'EDA vers les divers dépôts de données.

Comme l'illustre la figure 1, l'information circule dans une seule direction, à partir des systèmes sources vers l'EDA et les dépôts de données. Des changements apportés à l'EDA et aux dépôts de données, le cas échéant, n'auront pas d'incidence sur les systèmes sources et, par conséquent, les renseignements des contribuables ne peuvent pas être manipulés ou modifiés en raison de changements apportés à l'EDA ou aux dépôts de données.

Relation entre les systèmes sources et l'EDA, les dépôts de données et les AMOC

Figure 1 : Relation entre les systèmes sources et l'EDA, les dépôts de données et les AMOC

L'EDA et certains dépôts de données permettent à certains employés autorisés de l'ARC d'avoir accès à de larges quantités de renseignements des contribuables sur le principe du besoin de savoir. L'exposition au risque pour l'ARC augmente lorsqu'un dépôt de données ou un document électronique contient de larges quantités de renseignements des contribuables. Par conséquent, les contrôles gouvernant certains employés autorisés de l'ARC qui accèdent à de grandes quantités de renseignements des contribuables revêtent un intérêt particulier.

À l'ARC, la Direction de la sécurité et des affaires internes (DSAI) de la Direction générale des finances et de l'administration (DGFA), la Division de la sécurité et de la continuité de la TI (SCTI) de la Direction générale de l'informatique (DGI) et la Division de la gestion de l'information de la Direction générale de la stratégie et de l'intégration (DGSI) sont les trois principaux secteurs organisationnels qui aident à s'assurer que les renseignements extraits demeurent sécurisés et protégés.

  • La DSAI est responsable d'orienter, de guider et de diriger le programme de sécurité qui appuie les programmes, les services et les priorités de l'ARC. Par conséquent, elle rédige les instruments de politique de sécurité de l'ARC, offre de la formation et de la sensibilisation en matière de sécurité, et surveille la conformité dans l'ensemble de l'ARC.
  • La SCTI élabore et maintient le programme de sécurité de la technologie de l'information (TI) dans le cadre d'un programme coordonné de sécurité à l'Agence. Elle travaille en étroite collaboration avec les gestionnaires responsables de la prestation de service et le personnel de la TI pour protéger la disponibilité, l'intégrité et la confidentialité des systèmes d'information électroniques de l'ARC contre toute compromission. Elle est également chargée de prendre des mesures préventives, d'invoquer des réponses, de publier des normes et de maintenir des pratiques exemplaires en matière de sécurité de la TI.
  • La Division de la gestion de l'information élabore et maintient le Programme de gestion de l'information afin d'aider l'ensemble des employés à gérer les ressources documentaires de l'ARC en tant que bien stratégique en appui aux activités. La Division de la gestion de l'information encourage un environnement dans lequel toutes les ressources documentaires sont gérées conformément aux exigences législatives et politiques.

Ce rapport est organisé en quatre sections avec deux annexes. Après la section « Introduction », la section « Portée de la vérification » détermine la portée, l'objectif et les échéanciers de la mission. La section « Constatations, recommandations et plans d'action » présente les principales constatations de la vérification organisées en secteurs d'intérêt ainsi que la recommandation correspondante et la réponse de l'entité vérifiée à la recommandation. La section « Conclusion » présente une évaluation globale de la mission. Des renseignements supplémentaires sont annexés au rapport. Le nombre de dépôts de données et d'AMOC évalués est présenté à l'annexe A du rapport. Enfin, on fait un résumé de la méthodologie de la vérification à l'annexe B.

Portée de la vérification

L'objectif de la présente vérification consistait à déterminer si des contrôles internes étaient en place et fonctionnaient comme prévu afin de protéger les renseignements extraits des systèmes sources relativement aux contribuables.

Les travaux de la vérification ont porté sur les contrôles gouvernant certains employés autorisés de l'ARC qui ont accédé à de grandes quantités de renseignements des contribuables. La méthodologie de la vérification se concentrait sur ce qui suit :

  • examiner les instruments de politique d'entreprise;
  • rencontrer en entrevue les employés qui ont utilisé des dépôts de données, des AMOC et l'EDA;
  • observer les interfaces des dépôts de données, des AMOC et de l'EDA;
  • rencontrer en entrevue les superviseurs des employés susmentionnés;
  • mener des essais sur les réponses d'entrevues et les observations des interfaces4.

La portée du travail de vérification excluait les contrôles des systèmes sources, la gouvernance des solutions locales5 et la gestion de l'accès des utilisateurs aux systèmes sources. Ces sujets ont déjà été évalués dans le cadre de missions de vérification antérieures et, au besoin, des plans d'action ont déjà été élaborés par la direction.

Une recommandation formulée dans la vérification de la Gestion de l'accès des utilisateurs (GAU) indique que l'outil normalisé pour l'examen semestriel de l'accès devrait fournir des renseignements complets aux superviseurs et aux gestionnaires. Dans le cadre du suivi subséquent, les réponses à la recommandation de la GAU ont permis d'identifier le Système de révision d'accès des employés (SRAE) comme l'outil normalisé pour l'examen semestriel des accès.

La vérification a été menée dans toutes les cinq régions et à l'Administration centrale de l'ARC. La phase d'examen de cette vérification s'est déroulée d'octobre 2014 à mai 2015.

La vérification a été menée selon les Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations, recommandations et plans d'action

Les constatations, présentées ci-dessous, sont organisées par secteur d'intérêt et se fondent sur les entrevues et les examens de documents. Les recommandations suivent chaque constatation et découlent de la cause profonde de la constatation. Les plans d'action sont la réponse de la direction aux recommandations et indiquent les mesures correctives qui seront prises, les personnes responsables de mettre en œuvre les mesures correctives et à quel moment les mesures correctives seront achevées.

Secteurs d'intérêt

1.0 Conformité avec les politiques, les normes, les procédures et les processus

L'objectif du premier secteur d'intérêt consistait à déterminer ce qui suit :

  • Les processus et les procédures visant à protéger les renseignements extraits des systèmes sources sont conformes aux politiques de l'ARC et du Secrétariat du Conseil du Trésor, sont consignés, communiqués et suivis par les utilisateurs.
  • Les rôles et responsabilités des utilisateurs sont clairement définis, consignés et communiqués.
  • Les renseignements extraits par les utilisateurs sont stockés, utilisés et éliminés conformément aux politiques en matière de sécurité de l'ARC.

Des contrôles internes étaient en place pour protéger les renseignements des contribuables. Les employés rencontrés en entrevue dans le cadre de cette vérification étaient au courant des politiques, des normes, des procédures et des processus relatifs à la protection des renseignements qui leur étaient communiqués. De plus, chaque employé comprenait l'importance de son rôle et a répondu de manière cohérente par rapport aux instruments de politique d'entreprise de l'ARC. Les employés ont reçu du renforcement fréquent de la direction par rapport à leurs tâches relatives à la manipulation des renseignements protégés et ont reçu de l'orientation dans le cadre de formation au travail, de réunions d'équipe, de courriels de l'ARC et du cours obligatoire de formation en sécurité FP1805, La sécurité - c'est l'affaire de tous! En outre, aucune utilisation ou divulgation inappropriée des renseignements des contribuables n'a été découverte au cours de la vérification.

Constatations

1.1 PROTÉGÉ

1.2 PROTÉGÉ

1.3 PROTÉGÉ

2.0 PROTÉGÉ

Constatations

2.1 PROTÉGÉ

2.2 PROTÉGÉ

Conclusion

Des contrôles internes étaient en place pour protéger les renseignements des contribuables. Les employés rencontrés en entrevue étaient au courant des politiques, des normes, des procédures et des processus qui leur avaient été communiqués. En outre, aucune utilisation ou divulgation inappropriée des renseignements des contribuables n'a été découverte au cours de la vérification. Toutefois, il y a des possibilités de renforcer les contrôles internes afin de s'assurer davantage que l'ARC continue à protéger les renseignements des contribuables extraits des systèmes sources. Ces possibilités particulières sont les suivantes :

  • PROTÉGÉ
  • PROTÉGÉ
  • PROTÉGÉ
  • PROTÉGÉ

Annexe A : Bases de données et applications évaluées

Un échantillon de dépôts de données et d'AMOC a été évalué pendant la phase d'examen de la vérification en utilisant un échantillonnage sur avis d'expert dans le cadre duquel on a sélectionné les dépôts de données et les AMOC qui contenaient des renseignements au sujet d'au moins un contribuable identifiable ou y donnaient accès. En outre, des listes d'utilisateurs pour des dépôts de données et des AMOC particuliers étaient nécessaires pour organiser ou réaliser les entrevues. Par conséquent, les dépôts de données et les AMOC évalués satisfaisaient aux deux conditions, à savoir qu'ils contenaient des renseignements des contribuables classés PROTÉGÉ B et qu'ils avaient des listes d'utilisateurs disponibles.

Le nombre de bases de données et d'applications disponibles et évaluées est présenté dans le tableau A.1 ci-dessous.

Tableau A.1 : Quantité de bases de données et d'applications évaluées

Base de données ou application Qualificatif Quantité Quantité évaluée

EDA

PROTÉGÉ PROTÉGÉ PROTÉGÉ

Dépôts de données

PROTÉGÉ PROTÉGÉ PROTÉGÉ

Dépôts de données

PROTÉGÉ PROTÉGÉ

AMOC

PROTÉGÉ PROTÉGÉ PROTÉGÉ

AMOC

PROTÉGÉ PROTÉGÉ

AMOC

PROTÉGÉ PROTÉGÉ

Total

PROTÉGÉ PROTÉGÉ PROTÉGÉ

6 Tel que déclaré par la DGSI

Annexe B : Méthodologie de la vérification

Parmi les plus de 40 000 employés à l'ARC, au moins 5 190 employés ont un accès autorisé aux renseignements des contribuables qui sont extraits de systèmes sources puis stockés dans l'EDA et les dépôts de données ou extraits par des AMOC. Les listes d'utilisateurs de l'EDA et des dépôts de données et d'AMOC sélectionnés ont été obtenues des directions générales. à partir de ces listes, des échantillons d'utilisateurs et de superviseurs ont été sélectionnés pour être rencontrés en entrevue. Les entrevues ont eu lieu à l'Administration centrale et dans toutes les régions de l'ARC, comme l'indique le tableau B.1 ci-dessous.

Table B.1 : Répartition des entrevues

Région Bureau Utilisateurs de l'EDA Utilisateurs des dépôts de données Utilisateurs des AMOC Surveillants Total

AC

 

3

6

-

221

31

AT

BSF de Charlottetown

-

3

3

2

8

QC

BSF de Montréal

-

3

2

2

7

ON

BSF de Toronto-Centre

-

-

2

4

6

ON

BSF de Toronto-Nord

-

-

2

3

5

ON

BSF de London-Windsor (Windsor)

-

-

4

4

8

PR

BSF de la Saskatchewan

(Regina)

-

2

3

3

8

PA

BSF de Vancouver

-

2

2

2

6

PA

CF de Surrey

-

3

2

3

8

   

3

19

20

45

87

7 Comprend les entrevues menées dans le cadre des phases de planification et d'examen, soit 8 superviseurs, 10 responsables fonctionnels de processus et 4 réalisateurs de la TI.

Chaque entrevue d'utilisateur comportait deux parties. Au cours de la première partie de chaque entrevue, les personnes rencontrées répondaient aux questions sur la sensibilisation aux procédures et sur les mesures prises lors de la manipulation de renseignements protégés. Au cours de la deuxième partie, les personnes rencontrées démontraient l'utilisation de l'EDA, d'un dépôt de données ou d'un AMOC.

Les superviseurs de certaines personnes rencontrées en entrevue ont aussi été interviewés. Les superviseurs répondaient non seulement aux questions sur la sensibilisation aux procédures et sur les mesures prises lors de la manipulation de renseignements protégés, mais aussi aux questions sur la surveillance de l'accès et des activités de leur employé en ce qui a trait aux renseignements extraits des systèmes sources.

En plus d'entrevues, des examens documentaires des instruments de politique d'entreprise, des procédures locales et des procédures de surveillance ont eu lieu.

Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :