Vérification des contrôles généraux liés à la technologie de l’information – Rapport de phase II

Table des matières

• Introduction
  • Contexte
  • Objectif et portée de la vérification
  • Méthodologie
  • Énoncé de conformité
• Constatations de vérification et recommandations
  • Développement des systèmes de TI et gestion du changement
  • Continuité des activités et protection matérielle en matière de TI
  • Activités de TI
  • Sécurité de la TI
  • Conclusion
• Annexe A : Réponse et plan d’action de la direction
• Annexe B : Documents de référence (liste non exhaustive)

Introduction

Contexte

1. La Politique du Conseil du Trésor sur la gestion de la technologie de l’information récemment mise à jour est entrée en vigueur le 1er avril 2018. Le rôle de la technologie de l’information (TI) comme composante clé de la transformation de la fonction gouvernementale a été mis en évidence, en plus de son rôle visant l’amélioration de la productivité et le service à la clientèle. Le rôle du dirigeant principal de l’information s’appuie sur une disposition prévoyant un accès direct périodique à l’administrateur général. L’objectif est d’instaurer de solides pratiques de gestion de TI afin de garantir l’utilisation efficace et efficiente de ces biens, à l’appui des priorités du gouvernement fédéral, de la prestation des programmes, de l’innovation, de la productivité et des services au public.

2. Il est bon de noter que Services partagés Canada a été créé en août 2011 afin de transformer la prestation des services liés à l’infrastructure de TI du gouvernement du Canada, au moyen d’une approche d’entreprise. Services partagés Canada  fournit des services regroupés et normalisés touchant les courriels, les centres de données, les réseaux et les appareils de technologie en milieu de travail. Les ententes opérationnelles que Services partagés Canada a conclues avec les ministères et organismes reposent sur le principe de la collaboration. Services partagés Canada et les organisations partenaires ont aussi des responsabilités partagées quant à la cybersécurité et à la sécurité de la TI. Les organisations partenaires gèrent bilatéralement les risques liés à la sécurité de la TI avec Services partagés Canada, et signalent immédiatement les incidents touchant les utilisateurs, ou systèmes, au Service de dépannage regroupé.

3. Dans ce contexte, la prestation des services de TI à la Commission de la fonction publique du Canada (l’organisme) a beaucoup changé au cours des 2 derniers exercices. En 2015, l’embauche d’un nouveau dirigeant principal de l’information a entraîné des changements importants à la Direction des services de technologie de l’information (DSTI). Notons un certain nombre de mesures de dotation à tous les échelons, y compris ceux de superviseur, de gestionnaire et de cadre supérieur. En outre, la DSTI a été déplacée au sein de l’organisme; ainsi, le 1er novembre 2017, elle est passée de la Direction générale des services de l’innovation au Secteur des affaires ministérielles dans le cadre d’un changement global de gouvernance visant à mieux harmoniser les ressources, et à soutenir la réalisation du mandat de l’organisme. De plus, le dirigeant principal de l’information travaille avec la haute direction pour déterminer comment la nouvelle politique du Conseil du Trésor, entrée en vigueur le 1er avril 2018, sera mise en œuvre au sein de l’organisme.

4. Les membres de la DSTI travaillent de concert avec les cadres supérieurs de l’organisme,  les appuient dans la réalisation de leur mandat respectif et les aident à s’adapter à un environnement de TI en constante évolution. La vision de la Direction préconise « une organisation professionnelle souple et un partenaire stratégique dans la mise en œuvre de solutions opérationnelles novatrices ». C’est à elle qu’il incombe de déployer et de gérer une infrastructure de TI réactive, moderne, adaptable, souple et sécuritaire. La Direction fournit aussi un éventail complet de services de gestion de l’information à l’organisme. Enfin, le dirigeant principal de l’information et le personnel de la DSTI apportent une contribution considérable quant aux initiatives et innovations d’envergure du gouvernement du Canada en matière de TI.

5. La phase I de cette vérification, qui a été approuvée par le président de l’organisme le 27 mars 2018, était axée sur la gouvernance en matière de TI. La phase II était plutôt axée sur les activités et contrôles généraux de TI de la DSTI, à savoir le développement de systèmes et la gestion du changement, la continuité des activités de TI et la protection matérielle, ainsi que la sécurité en matière de TI.

6. On entend par « TI » tout matériel ou système utilisé pour l’acquisition, le stockage, la manipulation, la gestion, le mouvement, le contrôle, l’affichage, la commutation, l’échange, la transmission ou la réception automatique de données ou d’information. Elle englobe la conception, le développement, l’installation et la mise en œuvre de systèmes et d’applications informatiques visant à satisfaire aux exigences opérationnelles. Les contrôles généraux liés à la TI visent les systèmes d’exploitation, les applications et les bases de données qui appuient le fonctionnement des systèmes d’information, et posent les assises de l’environnement de contrôle lié à la TI. À titre d’exemples, les contrôles généraux touchent l’accès aux systèmes, la gestion des changements, et les procédures de sauvegarde et de restauration. Ces contrôles s’appliquent à l’ensemble des composantes, des processus et des données des systèmes au sein de l’environnement opérationnel de l’organisme. Ils sont aussi conçus et mis en place pour voir au développement et à la mise en œuvre des applications, ainsi que pour protéger l’intégrité des programmes, des fichiers de données et des opérations informatiques.

7. Bien que cette vérification soit axée sur les contrôles généraux liés à la TI au sein de la DSTI, le vice‑président du Secteur des affaires ministérielles a, en décembre 2017, envoyé un courriel à tout le personnel de l’organisme. Ce message visait à souligner les risques liés à l’utilisation d’applications Web et de logiciels non autorisés qui stockent de l’information sur les services infonuagiques d’une tierce partie, hors des installations du gouvernement du Canada. On parle généralement de TI fantôme, soit toute application ou transmission de données nécessaires à l’exécution de processus opérationnels qui ne relève pas du dirigeant principal de l’information. En pareils cas, ce dernier n’a pas participé au développement des applications; il se peut qu’il ne soit pas au fait de toutes les applications et ne soit pas en mesure d’assumer la responsabilité du soutien qui s’y rattache. L’organisme doit donc éviter d’utiliser la TI fantôme, surtout lorsque les secteurs d’activité cherchent des solutions de rechange pour répondre aux exigences qui n’ont pas été prévues dans le cadre du processus d’établissement des priorités en matière de projets. Lorsqu’elle n’est pas adéquatement conçue, développée et mise en œuvre, l’infrastructure nuagique peut entraîner des coûts plus élevés et des risques en matière de protection des renseignements personnels, en plus de limiter les occasions d’optimisation des systèmes à plus long terme.

8. Enfin, en février 2016, le Comité exécutif de gestion a, approuvé une hausse budgétaire sur 3 ans pour remédier à la dette technique en matière de TI, et instaurer une culture d’innovation au sein de l’organisme. Pendant l’exercice 2017-2018, l’organisme a attribué près de 12,5 millions de dollars à la DSTI afin de soutenir la gestion des programmes et la prestation de services en matière de TI. Pour l’exercice 2018-2019, le financement a atteint 15 millions de dollars. Au 1er avril 2018, près de 100 employés (excluant les étudiants et les occasionnels) de la DSTI assuraient la gestion et la prestation de services de TI à l’organisme.

Objectif et portée de la vérification

9. La vérification avait pour but de déterminer l’existence et l’efficacité des contrôles généraux de TI au sein de la DSTI.

10. La vérification a été effectuée en 2 phases. La phase I portait sur la gouvernance de la TI, et la phase II sur les contrôles généraux en place pour le développement des systèmes de TI et la gestion du changement, la continuité des activités de TI ainsi que la protection matérielle et la sécurité en matière de TI. La phase II englobait les contrôles qui étaient en place pour les exercices 2016-2017 et 2017-2018. La portée ne s’étendait pas aux activités sur lesquelles la DSTI n’exerce aucun contrôle. À l’interne, les exclusions portaient sur les activités Web réalisées par la Direction des communications et des affaires parlementaires, et celles relevant de la Direction du développement des affaires et des services, comme les activités de prototypage liées au remplacement du Système de ressourcement de la fonction publique et du Système de gestion de l’information sur les priorités. À l’externe, les exclusions portaient sur l’infrastructure et les opérations connexes gérées par Services partagés Canada.

11. De plus, cette vérification n’englobait pas les processus de gestion de l’information, puisqu’une telle vérification a été réalisée en 2014. Les contrôles de TI touchant les systèmes de rapports financiers ont également été exclus puisqu’ils ont fait l’objet d’un examen externe à la fin de l’exercice 2016-2017.

Méthodologie

12. Les procédures de vérification suivantes ont été appliquées :

• entrevues avec la direction de l’organisme, et certains membres des comités de gouvernance de la TI et du personnel;
• révisions structurées des processus clés;
• examen et analyse des documents;
• schématisation des processus.

13. Pour les besoins de la présente vérification, les principaux objectifs liés aux contrôles ont été tirés du cadre du Committee of Sponsoring Organizations 2013, élaboré par le Committee of Sponsoring Organizations of the Treadway Commission, à partir du cadre de la Control Objectives for Information and related Technology 5, lequel a été développé par l’Information Systems Audit and Control Association et les Global Technology Audit Guides de l’Institute of Internal Auditors. L’équipe de vérification a aussi consulté le Conseil du Trésor et d’autres sources de politiques, d’orientations et de directives en matière de TI du gouvernement fédéral.

Énoncé de conformité

14. La vérification est conforme aux Normes relatives à la vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance de la qualité et de l’amélioration.

Constatations de vérification et recommandations

Développement des systèmes de TI et gestion du changement

15. Critères. On s’attendait à ce que les contrôles liés au développement des systèmes définissent adéquatement les phases précises, les exigences en matière de documentation, les processus de gestion du changement, les approbations et les points de contrôle pour le processus de développement et de mise en œuvre.

16. Conclusion. Des contrôles liés au développement des systèmes et à la gestion du changement sont en place, et fonctionnent comme prévu. Un processus de gestion du cycle de vie du développement des systèmes a été créé, et utilise une approche de gouvernance progressive. La fonction de développement des systèmes procède à un contrôle de la qualité et à des essais unitaires pour soutenir un développement efficace des applications. Avant le lancement de systèmes et d’applications renouvelés, des essais d’acceptation par l’utilisateur sont effectués afin d’obtenir l’approbation de l’organe de gouvernance concerné. La DSTI pourrait apporter des améliorations afin de s’assurer que : les processus et contrôles mis en place pour produire de la documentation sur les systèmes, des guides et de la formation pour l’utilisateur, et des essais de convivialité, sont adéquatement conçus et mis en œuvre pour soutenir l’utilisation et la maintenance continues des systèmes.

Développement de systèmes

17. On s’attendait à ce que la méthodologie liée au cycle de vie du développement des systèmes comporte des contrôles axés sur la conception, le développement et la maintenance, et permette de s’assurer que les logiciels nouveaux ou actualisés sont adéquatement mis en œuvre. Les principales constatations sont présentées ci‑après par sous-critère.

18. Souplesse. Le Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020 précise que les équipes de développement d’applications devraient adopter une approche souple et moderne, lorsqu’une solution sur mesure ou interne constitue la seule option en matière de TI. Les équipes de développement de logiciels de la DSTI mettent en œuvre une méthodologie souple pour gérer les ajustements, en utilisant des sprints pour compléter de petites composantes d’application afin que la clientèle puisse rapidement voir des résultats; cette méthode permet d’orienter les travaux à venir. Certaines personnes interrogées ont indiqué qu’il se peut que le code développé pendant ces sprints ne soit pas de qualité suffisante pour réduire les coûts de maintenance futurs. La DSTI atténue ces types de risques en veillant à ce que les superviseurs et gestionnaires examinent le travail effectué.

19. Logiciel commercial. Lorsque la DSTI achète un logiciel commercial, elle le soumet aux mêmes contrôles que les solutions sur mesure et internes, de façon à réduire les risques potentiels touchant l’environnement opérationnel de la TI. Elle suit le même vaste processus d’approbation et d’achat pour tous les logiciels devant être pris en charge. En outre, pour réduire et éventuellement éliminer la TI fantôme, toute application nuagique doit être vérifiée par les organes de gouvernance concernés, et approuvée par le dirigeant principal de l’information ou le vice‑président du Secteur des affaires ministérielles, avant d’être installée.

20. Qu’il s’agisse de solutions personnalisées ou de logiciels commerciaux, un processus d’examen et d’approbation de projet bien défini, comprenant des portes convenues et établies, a été mis en place. Plus précisément, la DSTI a instauré un système de gouvernance bien documenté à 7 portes, qui commence par une analyse de rentabilité, et s’achève par un examen et un rapport de clôture du projet.

21. Contrôle du code source. Le code source est un ensemble d’instructions informatiques écrites en langage de programmation, et des contrôles du code source sont conçus et mis en œuvre pour gérer le contrôle des versions pendant la phase de développement des logiciels. À la DSTI, des outils d’intégration et de contrôle des versions sont en place et appliqués au code source. La majeure partie du code source est actuellement stockée dans un dépôt sécurisé de type GIT. Les versions sont mises à l’essai dans un environnement de préproduction, et des outils d’intégration et méthodes de contrôle de versions convenables sont mis en œuvre. Le code source développé pour les systèmes financiers fait toutefois exception; il est stocké dans un ancien système non soutenu (Visual Source Safe). Ce système ne sera plus utilisé au sein de l’organisme, après l’instauration du nouveau système financier (Systems, Applications and Products). Il est bon de noter que l’infrastructure du contrôle des versions et de l’écriture du code est actuellement réévaluée par la DSTI, à la lumière des priorités actuelles de Services partagés Canada.

22. Gestion du risque. Étant donné que les projets de développement de logiciels contiennent des éléments incertains, les gestionnaires de projets et les membres de l’équipe de développement doivent disposer de contrôles, dans le but d’établir et d’évaluer les risques et stratégies d’atténuation, et définir les priorités à cet égard. La DSTI a instauré des contrôles pour s’assurer que les risques liés au développement de logiciels sont documentés et gérés pour chaque projet. Les risques établis sont examinés au moyen du cadre de gouvernance de la TI, qui a été mis en place au sein de l’organisme.

23. Documentation des systèmes. Le cycle de développement des logiciels comprend la production de documents d’appui pour les utilisateurs finaux, le soutien en matière de dépannage et la maintenance des logiciels. Au sein de l’organisme, on se soucie généralement du fait que la documentation est insuffisante pour assurer la maintenance et l’utilisation continue des systèmes. C’est tout particulièrement le cas pour les anciens systèmes actuellement en usage. En général, on note peu de connaissances exhaustives hors des équipes de développement des systèmes, ce qui complique la tâche du Service de dépannage. Ce manque de connaissances est d’ailleurs exacerbé lorsque des développeurs quittent l’organisme. Il est bon de noter que la DSTI ne participe pas directement à l’élaboration des guides et à la formation de l’utilisateur, qui serait plutôt du ressort de la clientèle opérationnelle. Dans l’ensemble, la documentation sur les systèmes est un problème de longue date pour l’organisme, que le dirigeant principal de l’information entend corriger dans le cadre du développement et de la mise en œuvre de nouveaux systèmes.

24. Contrôle de la qualité pendant le codage. Les codes sont examinés et testés pendant le développement des systèmes afin de s’assurer qu’ils sont exempts d’erreurs, faciles à maintenir, efficaces et conformes aux normes. L’équipe de la base de données de la Division de l’ingénierie des systèmes rédige des scripts, et procède à un examen par les pairs au sein de la section. De plus, toutes les modifications au codage apportées par la Division des services d’application de TI sont examinées formellement par l’équipe de projet, et mises à l’essai au moyen de divers outils pour déceler la présence d’erreurs. Pour faciliter la maintenance des systèmes au fil du développement de modules, le domaine de contrôle pour chaque module est limité. Pour faciliter cette modularisation, on a créé un nouveau poste d’architecte logiciel au sein de l’organisme.

25. Assurance de la qualité et essais d’acceptation par l’utilisateur. La qualité opérationnelle et fonctionnelle est assurée par 2 niveaux d’essais indépendants postérieurs au développement : l’assurance de la qualité et les essais d’acceptation par l’utilisateur. Il existe, à la DSTI, une fonction d’assurance de la qualité indépendante qui exécute et surveille le cycle de vie de la résolution des bogues. Elle met tout d’abord à l’essai les exigences en fonction de scénarios d’utilisation, mais comprend aussi des essais techniques sophistiqués. S’ensuit une évaluation du bien‑fondé après diffusion. Les essais d’acceptation par l’utilisateur incombent aux groupes de propriétaires fonctionnels, et sont réalisés par des analystes opérationnels qui font partie de l’équipe cliente ou du groupe de travail client. Ces 2 niveaux d’essais indépendants postérieurs au développement ne sont effectués qu’avec le Système de ressourcement de la fonction publique et le Système de gestion de l’information sur les priorités. Pour les autres projets, comme ceux des Finances et du Centre de psychologie du personnel, les exigences des utilisateurs fonctionnels ne sont pas suffisamment bien définies pour permettre une distinction claire entre l’assurance de la qualité et les essais d’acceptation par l’utilisateur. Un processus visant à remédier à cette situation a été lancé à la Division des services d’application de TI.

26. Recommandation 1. Le dirigeant principal de l’information devrait s’assurer que les processus et contrôles visant à produire de la documentation sur les systèmes, des guides et de la formation pour l’utilisateur, et des essais de convivialité sont adéquatement conçus et mis en œuvre pour soutenir l’utilisation et la maintenance continues des systèmes.

Gestion du changement

27. Cadre de gestion du changement. Il existe un processus de demande et d’approbation de changement documenté, et les membres du personnel de l’organisme qui ont été interrogés dans le cadre de cette vérification comprennent ce processus. Un contrôle est en place pour s’assurer que les problèmes liés à la maintenance des systèmes ou des logiciels sont communiqués au Service de dépannage de la DSTI, avant d’être renvoyés aux développeurs de la Division des services d’application de TI aux fins d’évaluation et d’établissement des priorités. Les développeurs n’acceptent pas directement les demandes de changement et dirigent la clientèle vers le Service de dépannage, ce qui constitue le contrôle de processus général. Les corrections de bogues appliquées aux systèmes actuels sont considérées comme des changements, et suivent généralement le même processus de gouvernance documenté à 7 portes que pour les projets. Les organes de gouvernance de la TI au sein de l’organisme examinent toutes les modifications apportées pour s’assurer que le changement a été validé, mis à l’essai et approuvé avant d’être effectué.

28. Demandes de changement urgentes. Un processus de contrôle a été conçu pour les demandes de changement urgentes, et ce processus fonctionne comme prévu. Les contrôles liés à ce processus comprennent la documentation des processus de demande de changement urgentes, l’approbation d’une telle demande et la consignation du changement. Toutes ces demandes doivent être évaluées et approuvées par le comité concerné. Il existe un processus selon lequel le comité examine les demandes de changement urgentes hors des heures de réunion régulières. Des essais sont effectués pour valider les changements avant leur mise en service.

Continuité des activités et protection matérielle en matière de TI

29. Critères. On s’attendait à ce que des processus et contrôles efficaces soient en place pour voir au fonctionnement de la TI durant les activités normales et suivant une catastrophe ou  défaillance du système, de même qu’à une protection matérielle des biens de TI.

30. Conclusion. Des processus et contrôles ont été conçus et mis en place pour permettre le fonctionnement de la TI durant les activités normales et suivant une catastrophe ou défaillance de système. La composante du plan de continuité des activités en matière de TI a été adéquatement conçue afin de répondre aux exigences de la Politique sur la sécurité du gouvernement. La vérification a aussi révélé que les sauvegardes de données et d’applications sont suffisantes, répondant ainsi aux exigences de l’organisme. Des améliorations pourraient être apportées pour s’assurer que la composante du plan de continuité des activités de TI  est mise à l’essai régulièrement, afin d’en garantir le bon fonctionnement en situation d’urgence. De même, les pratiques de tenue de registres liées à la gestion de l’inventaire de biens de TI pourraient être améliorées.

Fonctionnement de la TI durant les activités normales et en situation d’urgence

31. Durant les activités normales, la DSTI collabore avec Services partagés Canada pour s’assurer que la fonction de TI, et les activités de l’organisme, soutiennent la gestion et la prestation des programmes. Les sauvegardes de données et des applications sont effectuées par Services partagés Canada, et surveillées par des représentants de la DSTI. La vérification a révélé qu’une sauvegarde des données et d’applications est effectuée dans le cours normal des activités. Une restauration périodique est aussi réalisée.

32. Un programme de planification de la continuité des activités et de la gestion des urgences, ainsi qu’un plan de continuité des activités respectant les exigences relatives à la conception de la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du gouvernement du Canada sont en place. La planification de la continuité des activités de TI fait partie du Programme global de planification de la continuité des activités de l’organisation et comprend l’élaboration de plans, de mesures, de procédures et d’arrangements pour garantir une interruption minimale, ou mieux, la non-interruption de la disponibilité des biens et services essentiels de TI. La composante TI du Programme de planification de la continuité des activités de l’organisme, telle qu’elle est conçue, répond aux attentes, et la DSTI assure la gestion de la réponse en matière de services de TI. Le Programme de planification de la continuité des activités de l’organisme a été mis à jour en août 2016, puis en août 2017, pour s’assurer que les noms associés aux rôles et responsabilités sont d’actualité. C’est un moyen efficace de s’assurer que le Programme de planification de la continuité des activités est à jour et prêt à l’emploi, au besoin.

33. Les éléments non liés à la TI du Programme de planification de la continuité des activités ont été activés au printemps 2017 lors des inondations de la vallée des rivières des Outaouais et Gatineau qui ont mené à la fermeture, pendant plusieurs jours, d’immeubles fédéraux à Gatineau, du côté québécois de la rivière des Outaouais. Il n’a alors pas été nécessaire d’activer la composante TI du Programme de planification de la continuité des activités. Cette composante n’a donc pas fait l’objet d’essais approfondis depuis l’automne 2015. Le cadre COBIT 5 recommande de mettre à l’essai le Programme de planification de la continuité des activités au moins une fois par année. Des essais réguliers du Programme de planification de la continuité des activités en général, et de la TI en particulier, permettent de s’assurer que ce programme est actuel, qu’il peut déceler les défis imprévus et confirmer la capacité d’une organisation à réaliser le plan.

34. Recommandation 2. Le vice‑président du Secteur des affaires ministérielles devrait s’assurer que tous les éléments du Programme de planification de la continuité des activités (y compris la TI) font régulièrement l’objet d’essais et d’exercices, et que les leçons tirées sont documentées et utilisées pour éclairer les modifications devant être apportées au programme, au besoin.

Protection des biens en matière de TI

35. L’organisme est tenu de protéger les biens en matière de TI, qui sont essentiellement des dispositifs informatiques pour utilisateurs – ordinateurs personnels, portables, écrans et tablettes. La vérification a révélé que tous les biens examinés sont correctement rangés sous clé ou verrouillés au moyen de câbles de sécurité.

36. Pour évaluer les pratiques de gestion de l’inventaire de biens en matière de TI, l’équipe de vérification s’est penchée sur un échantillon de biens compris dans le système de gestion de l’inventaire (Basset Pro) et vérifié si les biens étaient à l’endroit prévu. La vérification a révélé que 47 articles sur 134 (35 %) n’étaient pas à l’emplacement indiqué dans le système au moment de la procédure de vérification. Du point de vue de la protection des biens et de la sécurité en matière de TI, il importe de s’assurer que le système de gestion de l’inventaire montre l’emplacement réel des articles de manière à garantir, au sein de l’organisme, la maintenance des biens et de la sécurité de l’accès au réseau.

37. La tenue des registres d’inventaire pour les dispositifs de stockage portatifs pourrait aussi être améliorée. Selon un avis de mise en œuvre de la Politique sur la technologie de l’information de 2014 du Conseil du Trésor, les ministères et organismes doivent tenir un registre des dispositifs de stockage portatifs au sein de leur organisation. Ce registre devrait, à tout le moins, contenir un identifiant unique comme un numéro de série du dispositif de stockage portatif, le niveau de sécurité du dispositif et d’autres données de base sur l’utilisateur. L’information liée aux dispositifs de stockage portatifs qui, au sein de l’organisme, figure dans le système de gestion d’inventaire des biens en matière de TI ne comprend pas la cote de sécurité de ces dispositifs.

38. Recommandation 3. Le dirigeant principal de l’information devrait examiner les pratiques de gestion de l’inventaire des biens en matière de TI de la DSTI, afin de s’assurer que le système de stockage de l’information relative à l’emplacement des biens contient bel et bien des renseignements complets, exacts, fiables et actualisés.

Activités de TI

39. Critères. On s’attendait à ce que la DSTI dispose de processus adéquats de prestation de services en matière de TI et, plus précisément, de normes de service opérationnelles liées à la gestion des demandes de la clientèle qui soient adéquates et respectées. On s’attendait également à ce que les processus et contrôles liés à la gestion des demandes de service et des incidents soient instaurés et fonctionnent comme prévu.

40. Conclusion. La DSTI a mis en place, au sein de l’organisme, des processus adéquats de prestation de services en matière de TI. Les plans et normes de service ont été documentés. Aux fins d’amélioration, le dirigeant principal de l’information pourrait examiner et actualiser les contrôles, outils et processus internes, ainsi que les stratégies de mesure du rendement, afin de gérer la prestation de services en matière de TI et le traitement des demandes du Service de dépannage, et produire des rapports connexes.

41. Le Plan de TI de l’organisme, mis à jour annuellement, décrit les objectifs et stratégies liés à l’attribution prévue des ressources de la DSTI pour répondre aux besoins continus de TI, et soutenir les projets approuvés par l’organisme. Ce plan est approuvé chaque année par le Comité exécutif de gestion. Le dirigeant principal de l’information a également évalué les exigences relatives aux ressources humaines et aux besoins en dotation afin d’instaurer le Plan de TI. Un plan des ressources humaines a été élaboré pour accroître le niveau de dotation, et créer l’ensemble des compétences nécessaires pour mettre en œuvre le Plan de TI de l’organisme. La DSTI applique actuellement ses plans d’action, lesquels ont d’ailleurs subi les contrecoups d’un roulement relativement élevé au cours des derniers exercices.

42. La DSTI a élaboré des normes de service et des procédures normales d’exploitation pour gérer la plupart des demandes de prestation de services de TI, et celles de la clientèle. Quelques services ne disposent toutefois pas de procédures normales d’exploitation bien documentées, et les mesures de rendement liées à la surveillance des normes de service pour la prestation, par la DSTI, des services de TI aux employés de l’organisme n’ont pas été entièrement établies. De plus, la DSTI utilise un système de traitement des commandes (Remedy) désuet qui, en plus de ne pas saisir toutes les données clés sur les services, ne soutient pas l’analyse que la direction de la DSTI doit effectuer pour bien évaluer la prestation des services. Le manque de mesures de rendement entièrement définies, et l’absence d’outils pour saisir et surveiller les données sur la prestation des services, et produire des rapports connexes, signifient que le rendement doit être surveillé par des moyens informels. Le système actuel permet difficilement au dirigeant principal de l’information de savoir si la DSTI atteint ses objectifs d’efficacité et d’efficience en matière de prestation de services.

43. Des processus et contrôles permettant de gérer les demandes du Service de dépannage et les incidents sont en place et bien documentés. Les mesures de rendement visant à surveiller le respect des normes en matière de prestation de services du Service de dépannage et la production de rapports connexes sont incomplètes. Dans ce contexte, et en l’absence d’un système adéquat de saisie des données (comme mentionné au paragraphe 42), le dirigeant principal de l’information n’est pas en mesure de déterminer formellement si le Service de dépannage atteint ses objectifs. En outre, comme il est impossible de saisir ce type d’information et de produire des rapports pertinents, le dirigeant principal de l’information ne peut déterminer si certains problèmes sont récurrents, ou si les lacunes répétées du Service de dépannage ne pourraient pas être corrigées de façon systémique.

44. L’équipe de vérification a été informée que, pendant l’exercice 2017-2018, le Comité exécutif de gestion n’a pas approuvé un projet visant à combler les lacunes en matière de processus, de normes et de documents à la DSTI. Une version du projet de moindre envergure a été approuvée pour l’exercice 2018-2019, mais le Comité exécutif de gestion n’a pas approuvé l’achat et la mise en œuvre d’un outil moderne de gestion des services. Le dirigeant principal de l’information a informé l’équipe de vérification que la décision relative à cette version réduite devra être revue à la lumière des résultats présentés dans ce rapport.

45. Recommandation 4. Le dirigeant principal de l’information devrait examiner et actualiser les contrôles, outils et processus internes, ainsi que les stratégies de mesure du rendement, afin de gérer la prestation des services de TI et le traitement des demandes du Service de dépannage, et produire des rapports connexes.

Sécurité en matière de TI

46. Critères. On s’attendait à ce que l’information de l’organisme soit protégée et maintenue conformément aux politiques de sécurité, et à ce que des mesures soient prises pour prévenir un accès non autorisé aux ressources, programmes et données.

47. Conclusion. L’information de l’organisme est protégée et maintenue conformément aux politiques de sécurité en matière de TI, et des mesures sont en place pour prévenir un accès non autorisé aux ressources, programmes et données.

Politiques et procédures

48. La DSTI s’acquitte de ses responsabilités en matière de sécurité de la TI conformément aux orientations du Conseil du Trésor et du gouvernement du Canada dans son ensemble. En 2011, l’organisme a décidé de ne plus produire ou mettre à jour les politiques de sécurité de la TI propres à l’organisation, y compris le Cadre de gouvernance de la sécurité. Depuis, la DSTI a actualisé, révisé et élaboré des normes et des directives au besoin, en tenant compte des exigences de la sécurité de la TI du gouvernement du Canada. Le dirigeant principal de l’information a mentionné un projet visant l’examen des documents essentiels liés aux exigences de la sécurité de la TI de l’organisme, mais ce projet n’a pas été entièrement mis en œuvre en raison de contraintes liées aux capacités et aux ressources. Le dirigeant principal de l’information rend toutefois régulièrement compte de l’état de la sécurité de la TI au Comité exécutif de gestion et au Comité de vérification interne de l’organisme.

49. L’organisme respecte la Norme opérationnelle de sécurité ─ Gestion de la sécurité des technologies de l’information du Conseil du Trésor, laquelle veille à ce que les exigences en matière de sécurité des projets de TI soient satisfaites en élaborant et en instaurant des devis techniques de sécurité. Le groupe de Sécurité de la TI travaille sur l’évaluation de la sécurité et les autorisations liées aux nouveaux projets, et à ceux de la maintenance ou de l’amélioration des anciens systèmes de TI. Les gestionnaires de projet utilisent les résultats de ces examens pour prendre des décisions.

50. Le dirigeant principal de l’information et d’autres agents du Secteur des affaires ministérielles  participent à des initiatives de sécurité en matière de TI menées à l’échelle du gouvernement fédéral. Entre autres, un représentant de la DSTI siège au sous‑comité sur l’architecture intégrée du GC en matière de sécurité, dirigé par le Secrétariat du Conseil du Trésor (Secrétariat), et l’agent de sécurité du Secteur des affaires ministérielles participe au forum des agents de sécurité des ministères et organismes présidé par le Secrétariat. L’information fournie dans le cadre de ce forum permet de s’assurer que l’organisme respecte la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor.

Protection de l’accès aux données et programmes de l’organisme

51. Accès aux systèmes. Pour protéger les renseignements et données des systèmes de l’organisme contre tout accès non autorisé, il faut des contrôles d’accès efficaces. Ces systèmes sont en usage à l’administration centrale de l’organisme et dans les bureaux régionaux du Canada. Les exigences relatives aux contrôles de l’accès aux systèmes sont précisées dans la norme « Gestion de la sécurité des technologies de l’information ».

52. La vérification a montré que la DSTI a instauré des contrôles pour s’assurer que l’accès aux systèmes de TI est accordé aux nouveaux employés, et retiré à ceux qui quittent l’organisme ou qui s’absentent du travail pendant de longues périodes. L’équipe de vérification a examiné le processus d’attribution d’accès aux utilisateurs, et mis à l’essai les contrôles visant à fournir un compte de réseau local aux employés. Elle a ainsi remarqué que tous les comptes d’accès utilisateur étaient assortis de demandes de création stockées dans le système de suivi des commandes (Remedy). Lorsqu’un compte est créé, un contrôle permet à l’agent qui donne accès aux systèmes d’établir une concordance entre le formulaire de demande de nouvel utilisateur et la cote de sécurité de ce dernier.

53. La vérification a aussi révélé que la DSTI fait une vérification mensuelle du système pour repérer les comptes qui n’ont pas été utilisés depuis la vérification précédente. Lorsqu’elle trouve un compte non utilisé, elle envoie un message au superviseur de l’employé pour en déterminer les raisons. Si l’employé est absent pour une durée prolongée ou s’il a quitté l’organisme, le compte est supprimé. De plus, lorsque le Service de sécurité reçoit la carte d’identité d’un employé quittant l’organisme, un courriel est acheminé à la DSTI afin que l’accès au système soit désactivé ou supprimé.

Processus de surveillance visant à déceler les problèmes et incidents de sécurité, et à y remédier

54. Plan de gestion des activités de cybersécurité du gouvernement du Canada. Ce plan établit un cadre opérationnel de gestion des incidents et activités de sécurité en matière de TI qui pourraient avoir ─ ou ont déjà eu ─ une incidence sur les réseaux informatiques du gouvernement du Canada. En vue de répondre aux exigences du Plan de gestion des activités de cybersécurité du gouvernement du Canada, le Plan d’intervention en cas d’incident de l’organisme donne au personnel technique et aux gestionnaires des orientations sur la manière de traiter les incidents ou les changements spontanés qui pourraient influer sur la sécurité des applications ou de l’infrastructure de la DSTI.

55. Cadre de gouvernance de la sécurité de l’organisme. Les rôles et responsabilités du Comité de sécurité quant à l’intervention de l’organisme en cas de problème de sécurité sont documentés, et les activités examinées mensuellement. Une équipe de la DSTI surveille les risques liés à la sécurité de l’environnement de la TI, et voit à une intervention en cas d’incident et au suivi des mesures de résolution. Un cadre opérationnel visant à déceler les problèmes et les incidents de sécurité, et à y remédier, a été instauré, et fonctionne comme prévu.

56. Surveillance des systèmes de l’organisme. Tel que mentionné précédemment, l’organisme collabore avec Services partagés Canada pour gérer les risques liés à la sécurité de la TI, et doit s’assurer que les incidents sont signalés rapidement. La vérification a permis de constater que la DSTI n’a pas instauré les outils nécessaires pour surveiller les fichiers journaux, qu’elle doit d’ailleurs obtenir de Services partagés Canada. L’organisme a donc conclu un accord avec Services partagés Canada pour qu’il effectue un examen automatique de ses fichiers journaux à compter de l’exercice 2018-2019. Les agents de la DSTI ont accès aux fichiers journaux de l’antivirus, mais ne les examinent que de façon ponctuelle, vu certaines contraintes en matière de capacité. La DSTI compte essentiellement sur Services partagés Canada pour surveiller le réseau, et l’informer des notifications d’incident. De plus, la DSTI ne fait pas de balayage systématique des ordinateurs de bureau. Services partagés Canada surveille toutefois le trafic sur le réseau de l’organisme, et alerte la DSTI lorsqu’un ordinateur est attaqué par un virus, et tente de communiquer avec un site Web malicieux. La DSTI retire alors immédiatement l’ordinateur infecté du réseau et le reformate. Enfin, Services partagés Canada a déployé un système de prévention des intrusions sur tous les dispositifs de bureau et dispositifs mobiles des employés de l’organisme.

Contrôles visant à minimiser l’exposition aux menaces à l’égard de la sécurité des données ou du réseau

57. La DSTI a élaboré et instauré des contrôles de sécurité en matière de TI pour réduire l’exposition aux menaces sur le réseau. L’élément clé se traduit par la gestion des correctifs. La DSTI surveille étroitement les besoins de correctifs et en établit l’ordre de priorité en fonction du risque. La DSTI a aussi conçu et mis en œuvre plusieurs contrôles visant à minimiser l’exposition aux menaces à l’égard de la sécurité des données ou du réseau de l’organisme. Ces contrôles sont décrits ci‑après.

58. Installation des correctifs. Pour supprimer les vulnérabilités et réduire les risques liés aux systèmes et à l’infrastructure en matière de TI, il faut absolument pouvoir installer rapidement et systématiquement des correctifs dans les systèmes d’exploitation, les applications et les dispositifs. La vérification a permis de constater que les correctifs associés aux principaux biens opérationnels et outils de productivité sont gérés par la DSTI, grâce au processus de la Direction générale de la cybersécurité et de la sécurité de la technologie de l’information de Services partagés Canada. Pour les biens qui ne sont pas jugés essentiels aux activités de l’organisme, les propriétaires doivent s’inscrire sur le site Web des fournisseurs, et transmettre les avis de sécurité à la boîte courriel du groupe Sécurité de la TI aux fins de traitement. On ignore toutefois combien de propriétaires de biens se sont inscrits pour obtenir les avis de sécurité, ou encore, s’ils les surveillent ou les transmettent. Des applications internes, comme le Système de ressourcement de la fonction publique, utilisent un code source ouvert qui peut nécessiter des correctifs. Bien que certaines équipes surveillent les avis de correctif de code source ouvert, l’organisme n’a établi aucune politique explicite à cet égard. De plus, comme l’organisme n’effectue aucun balayage des ordinateurs de bureau pour y déceler les correctifs non traités, plusieurs ordinateurs restent vulnérables même si les correctifs ont été installés.

59. Sensibilisation des employés et formation. Suffisamment de formation et d’information est offerte aux employés de l’organisme pour les renseigner sur les menaces éventuelles liées à la sécurité de la TI, et sur la manière de les éviter. Les principaux efforts déployés pour prévenir de telles attaques sont des courriels visant à mieux sensibiliser les utilisateurs, et des mises à jour de sécurité affichées sur l’intranet de l’organisme. On y trouve des renseignements généraux et précis sur les menaces actives ou imminentes. En outre, tous les employés doivent suivre le cours Sensibilisation à la sécurité (A230) de l’École de la fonction publique du Canada, lequel donne de l’information générale sur la sécurité et la cybersécurité. L’équipe responsable de la sécurité de la TI, qui participe à tous les projets de TI, suit aussi des cours spécialisés.

60. Anciens systèmes. La vérification a révélé que toutes les applications importantes comme le Système de ressourcement de la fonction publique et le Système de gestion de l’information sur les priorités ont été soumises à des évaluations de sécurité, et que leur utilisation est entièrement autorisée dans l’environnement de production. D’autres applications sont actuellement autorisées dans le cadre du projet de rationalisation des applications de l’organisme, ou seront évaluées comme projet continu d’évaluation de la sécurité et des autorisations.

61. Messagerie Web. Des contrôles adéquats sont en place pour protéger l’organisme contre les risques en matière de confidentialité qui sont inhérents à la messagerie Web. La vérification a révélé qu’un filtre (WebSense), sous la responsabilité de Services partagés Canada, bloque l’accès des employés à la messagerie Web, mais pas à certains sites de médias sociaux. Il est bon de noter que le filtre actuellement utilisé n’est plus soutenu, et que Services partagés Canada prévoit le mettre à niveau.

62. Analyse de détection des vulnérabilités. Pour diverses raisons comme la présence d’un virus, une exploitation système ou l’échec d’une mise à jour, un système peut contenir ou développer une vulnérabilité imprévue, d’où la nécessité d’effectuer une analyse pour déceler la présence de vulnérabilités connues. La vérification a permis de constater que l’équipe de sécurité de l’organisme effectue chaque semaine une analyse des ordinateurs de bureau de l’organisme au moyen d’un outil de détection des vulnérabilités (Nessus). Services partagés Canada procède également à une analyse hebdomadaire des serveurs et des applications Web de l’organisme au moyen de cet outil, qu’il remplacera d’ailleurs au cours de l’exercice 2018-2019.

63. Renforcement des systèmes. Un renforcement des systèmes est essentiel lorsque ceux‑ci sont accessibles par Internet. La vérification a révélé que les contrôles de sécurité recommandés ont été utilisés pour protéger (renforcer) les systèmes d’exploitation de l’organisme. Notons que Windows 10 doit être installé pour qu’un renforcement entièrement à jour, comprenant le blocage des dispositifs non sécurisés des ports USB des ordinateurs, soit effectué. Comme ce système n’a pas été entièrement mis en œuvre au sein de l’organisme, des restrictions logicielles ont été mises en place en guise de contrôle visant à réduire l’exposition aux menaces potentielles.

Conclusion

64. En conclusion, les résultats de cette vérification donnent une assurance raisonnable que la DSTI a conçu et mis en œuvre des contrôles en matière de TI qui fonctionnent généralement comme prévu. Des contrôles liés au développement des systèmes et à la gestion du changement, qui préconisent une approche de gouvernance à plusieurs portes, sont en place. Avant le lancement de systèmes et d’applications, un contrôle de la qualité, des essais unitaires et des essais d’acceptation par l’utilisateur sont effectués, et on les soumet à l’approbation de l’organe de gouvernance concerné. Des processus et contrôles ont été conçus et instaurés afin de permettre le fonctionnement de la TI, tant durant les activités normales qu’après une catastrophe ou une défaillance des systèmes. La vérification a aussi révélé que suffisamment de sauvegardes de données et d’applications sont effectuées pour répondre aux exigences de l’organisme. Les plans et normes de service ont été documentés, et la DSTI a mis en place des processus adéquats pour fournir des services de TI. Enfin, l’information de l’organisme est protégée et maintenue conformément aux politiques de sécurité de la TI, et des mesures sont en place pour prévenir un accès non autorisé aux ressources, aux programmes et aux données.

65. La vérification a permis de déterminer divers points à améliorer dans l’environnement de contrôle de la TI de la DSTI, notamment :

• Le dirigeant principal de l’information devrait s’assurer que les processus et contrôles mis en place pour élaborer de la documentation sur les systèmes, des guides d’utilisateur, de la formation et des essais de convivialité sont adéquatement conçus et mis en œuvre pour soutenir l’utilisation et la maintenance continues des systèmes;
• Le vice-président du Secteur des affaires ministérielles devrait s’assurer que l’élément TI du Programme de planification de la continuité des activités est mis à l’essai régulièrement afin d’en garantir le bon fonctionnement en situation d’urgence;
• Le dirigeant principal de l’information devrait examiner les pratiques de gestion de l’inventaire de biens de TI de la DSTI afin de s’assurer que le système utilisé pour stocker l’information relative à l’emplacement des biens contient de l’information complète, exacte, fiable et actualisée;
• Le dirigeant principal de l’information devrait examiner et actualiser les contrôles,  outils et processus internes ainsi que les stratégies de mesure du rendement pour gérer la prestation des services de TI et le traitement des demandes du Service de dépannage, et produire des rapports connexes.

Annexe A : Réponse et plan d’action de la direction

La haute direction souscrit aux recommandations et a prévu les mesures ci‑après.

Recommandation 1

Le dirigeant principal de l’information devrait s’assurer que les processus et contrôles  visant à produire de la documentation sur les systèmes, des guides et de la formation pour l’utilisateur, et des essais de convivialité sont adéquatement conçus et mis en œuvre pour soutenir l’utilisation et la maintenance continues des systèmes.

Réponse de la gestion et mesures proposées

Le vice‑président, Secteur des affaires ministérielles accepte cette recommandation. Bien que le projet axé sur les processus et contrôles de la DSTI n’ait pas été approuvé en 2017-2018, un projet de moindre envergure a été approuvé pour 2018-2019.

Pour donner entièrement suite aux constatations de la vérification, la DSTI soumettra une demande de changement à l’organe de gouvernance, en vue de faire approuver une initiative de plus grande envergure portant sur l’ensemble des constatations. L’incidence sera évaluée au moyen du processus de gestion du changement.

Les livrables visant les guides d’utilisateur, les essais de convivialité et la formation des utilisateurs seront ajoutés au Cadre de gestion de projets 2.0.

La documentation sur les systèmes est incluse dans tous les objectifs de rendement des employés de la DSTI, depuis le niveau CS‑1 (niveau d’entrée) jusqu’au niveau CS‑4 (gestionnaire), pour l’exercice 2018-2019 (GCDOCS no 5674600).

BPR

DG, DSTI

Échéance

T4 2018-2019

Recommandation 2

Le vice‑président du Secteur des affaires ministérielles devrait s’assurer que tous les éléments du Programme de planification de la continuité des activités  (y compris la TI) font régulièrement l’objet d’essais et d’exercices, et que les leçons tirées sont documentées et utilisées pour éclairer les modifications devant être apportées au programme, au besoin.

Réponse de la gestion et mesures proposées

Le vice‑président, Secteur des affaires ministérielles entérine la recommandation. Les activités du Programme de planification de la continuité des activités ont été mises à l’essai lorsque Services partagés Canada  a déplacé toute l’infrastructure des serveurs de l’organisme, de Borden à Barrie, en août 2017. Cette mise à l’essai du Programme de planification de la continuité des activités de l’organisme s’est avérée efficace.

Le prochain exercice sur table du Programme de planification de la continuité des activités devrait avoir lieu à l’automne 2018. L’organisme fera une simulation tous les 2 ans à compter de 2019-2020.

BPR

V. P., SAM

Échéance

2019-2020

Recommandation 3

Le dirigeant principal de l’information devrait examiner les pratiques de gestion de l’inventaire de biens en matière TI de la DSTI, afin de s’assurer que le système de stockage de l’information relative à l’emplacement des biens contient bel et bien des renseignements complets, exacts, fiables et actualisés.

Réponse de la gestion et mesures proposées

Le vice‑président, Secteur des affaires ministérielles accepte cette recommandation.

Des consultants ont été embauchés pour rattraper le retard lié aux demandes de service. Le superviseur du Service de dépannage procédera à un exercice, étage par étage, pour actualiser la base de données des biens de TI.

BPR

DG, DSTI

Échéance

T3 2018-2019

Recommandation 4

Le dirigeant principal de l’information devrait examiner et actualiser les contrôles, outils et processus internes, ainsi que les stratégies de mesure du rendement, afin de gérer la prestation des services de TI et le traitement des demandes du Service de dépannage, et produire des rapports connexes.

Réponse de la gestion et mesures proposées

Le vice‑président, Secteur des affaires ministérielles accepte cette recommandation. Bien que le projet visant les contrôles, outils et processus internes ainsi que les stratégies de mesure du rendement de la DSTI n’ait pas été approuvé pour 2017-2018, un projet de moindre envergure a été approuvé pour 2018-2019.

Comme indiqué dans la recommandation 1, pour donner entièrement suite aux constatations de la vérification, la DSTI soumettra une demande de changement à l’organe de gouvernance, en vue de faire approuver une initiative de plus grande envergure portant sur l’ensemble des constatations. L’impact sera évalué au moyen du processus de gestion du changement.

BPR

DG, DSTI

Échéance

T4 2018-2019

Annexe B : Documents de référence (liste non exhaustive)

• Cadre COBIT 5, Information Systems Audit and Control Association
• Global Technology Audit Guides, Institute of Internal Auditors
• Cadre stratégique pour l’information et la technologie, Conseil du Trésor du Canada
• Politique sur la vérification interne, Conseil du Trésor du Canada
• Politique sur la sécurité du gouvernement, Conseil du Trésor du Canada
• Politique sur la gestion des technologies de l’information, Conseil du Trésor du Canada
• Directive sur la gestion des technologies de l’information, Conseil du Trésor du Canada
• Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information, Conseil du Trésor du Canada
• Norme sur l’interopérabilité du Web, Conseil du Trésor du Canada
• Les 10 mesures de sécurité de la TI visant à protéger les réseaux Internet et l’information du gouvernement du Canada, Centre de la sécurité des télécommunications Canada