Audit des contrôles ministériels en matière de système d’information et de technologie de l’information – Phase 1

Objectif de l’audit

L’objectif est d’évaluer la pertinence des CMSITI pour les applications vérifiées dans la phase 1 de l’audit.

Sommaire des constatations principales

• Les systèmes de traitement/contrôles automatisés ont été conçus de manière adéquate, et ils fonctionnent efficacement, de manière à ce que les transactions soient exactes, rapides et traitées comme prévu.
• Lorsque les systèmes sont planifiés, conçus et programmés, les mesures et les contrôles d’accès logiques sont pris en considération afin d’empêcher l’accès, la modification ou la divulgation non autorisés des données du système. Protégé
• Les sauvegardes sont effectuées fréquemment et systématiquement. Toutefois, le Ministère n’a pas d’entente sur les niveaux de service (ENS) ou de protocole d’entente (PE) avec Services partagés Canada (SPC) qui soit écrit et clair. De plus, les sauvegardes de données système ne sont pas mises à l’essai périodiquement pour vérifier si elles sont exactes et complètes, et le Ministère risque donc de ne pas avoir les registres complets de la « dernière bonne copie » de ses données système.
• Les systèmes de sortie/contrôles automatisés ont été conçus adéquatement et ils fonctionnent efficacement pour que les transactions soient exactes, rapides et traitées comme prévu.
• Les trois applications ont une piste d’audit, et les fichiers du journal d’audit sont tenus à jour. Protégé

Conclusion de l’audit

Le Ministère a conçu adéquatement les contrôles automatisés de traitement des applications pour les systèmes d’information ministériels visés par l’audit. Toutefois, il est d’après nous nécessaire d’améliorer les points faibles notés dans le présent rapport Protégé de sauvegarde. Cela permettra de perfectionner et de renforcer les contrôles de TI qui sont déjà en place afin de s’assurer que les CMSITI fonctionnent comme prévu.

Recommandations

• La Direction générale de l’innovation, de l’information et de la technologie (DGIIT), en collaboration avec les responsables opérationnels des applications pour le SMCD (Direction générale de l’agent principal des finances, ou DGAPF), le SCSC (Direction générale des opérations de programmes, ou DGOP), et NAS/RAS (Direction générale des services d’intégrité, ou DGSI), devraient avoir une ENS ou un PE avec SPC qui soit clair et écrit, et dans lequel sont définis les rôles et les responsabilités en ce qui a trait à la création et à la gestion des sauvegardes. Plus précisément, la DGIIT devrait déterminer avec SPC qui est responsable de mettre à l’essai les sauvegardes produites par SPC pour s’assurer qu’elles sont complètes et disponibles dans l’éventualité où les données doivent être restaurées.
• Protégé

1.1 Contexte

Les CGTI forment un ensemble d’activités de contrôle établi dans l’environnement de TI. Ces contrôles peuvent être appliqués à tous les systèmes, applications, processus et ensembles de fichiers de données sur lesquels le Ministère s’appuie pour prendre des décisions dans ses activités courantes. Les CGTI ont été établis pour assurer l’élaboration et la mise en œuvre adéquates des applications, ainsi que l’intégrité des programmes, des fichiers de données et des opérations informatiques. Les CGTI créent l’environnement de TI dans lequel fonctionnent les applications, et ils consistent en deux types de contrôles : les contrôles généraux et les contrôles des applications.

Les contrôles généraux (CGTI) comprennent les contrôles d’accès, les contrôles de sauvegarde et de restauration, et les contrôles des opérations informatiques. Les contrôles des applications, qui sont propres aux programmes informatiques, visent notamment l’exactitude et l’exhaustivité des entrées et des sorties de données, la validité des transactions, et l’établissement de rapports. Les CGTI et les contrôles des applications relèvent du cadre général des CMSITI.

Le personnel d’Emploi et Développement social Canada (EDSC) utilise quotidiennement plus de 300 applications pour réaliser les activités opérationnelles. Une série de critères a été utilisée pour évaluer ces 300 applications dans le but de déterminer celles qui devraient faire l’objet du présent audit. Aussi, puisque le BVG, dans son rapport sur les comptes publics, évalue annuellement les CGTI pour les deux programmes législatifs majeurs d’EDSC (AE et le RPC), les contrôles généraux qui appuient directement ces programmes importants ne font pas partie de notre examen. Pour être sélectionnées, les applications devaient satisfaire aux critères énoncés ci-dessous. Elles devaient :

• être utilisées pour plus d’un programme;
• être en production;
• avoir été développées à l’interne, ou être très personnalisées;
• avoir une forte incidence sur l’exécution d’un programme ou de programmes en particulier;
• faire l’objet de changements complexes;
• ne pas être visées par un remplacement dans un avenir rapproché;
• être liées à un volume élevé de transactions ou d’activités;
• avoir d’importantes répercussions financières;
• avoir une incidence sur les Canadiens et Canadiennes.

1.2 Objectif de l’audit

L’objectif est d’évaluer la pertinence des CMSITI pour les applications vérifiées dans la phase 1 de l’audit.

1.3 Scope

Les travaux sont effectués sous l’égide des CMSITI en suivant une approche progressive qui s’étalonnera sur quelques années.

Une série de critères, décrits à la section 1.1, ont été utilisés pour sélectionner les applications et les principales interfaces connexes clés à vérifier.

La première phase de l’audit des CMSITI visait les applications sélectionnées et les contrôles généraux associés au NAS/RAS, au SMCD, au SCSC et à leurs principales interfaces choisies. L’annexe C donne un aperçu des applications et des interfaces connexes retenues.

Puisque la DGIIT met actuellement en œuvre le Plan d’action de la direction (PAD), qui a été élaboré pour donner suite au rapport d’évaluation du programme de sécurité de l’information de Gartner, les éléments du rapport Gartner n’ont pas été intégrés au présent audit. De plus, la Direction générale des services de vérification interne (DGSVI) entreprendra une évaluation de la sécurité de la TI afin de fournir un aperçu du niveau de sécurité de la TI au sein du Ministère et de signaler les tendances à cet égard. Cela permettra de cerner et d’évaluer les secteurs de risque, notamment de repérer les lacunes et les chevauchements, en tenant compte de ce qui a déjà été couvert dans les audits, les évaluations et les examens récents, pour déterminer l’orientation future de l’audit. De plus, la DGSVI a des missions prévues qui seront réalisées dans les années subséquentes, conformément aux engagements pris dans le contexte des audits de la sécurité de la TI.

1.4 Méthodologie

La phase 1 de l’audit des CMSITI a été réalisée suivant un certain nombre de méthodologies, notamment des entrevues, des révisions des processus opérationnels, des questionnaires de contrôle, des examens de contrôle, ainsi qu’un examen et une analyse des schémas, des diagrammes, et des documents sur le déroulement des processus.

Des schémas du processus ont aussi été préparés pour le SCSC et le SMCD relativement à leur apport dans les états financiers ministériels.

Le travail d’audit sur le terrain a été réalisé entre juin et septembre 2014.

2.1 Les données sont traitées avec exactitude et rapidité

Les contrôles de l’entrée de données sont importants, car ils permettent d’assurer le caractère exact, exhaustif et rapide de l’entrée et du transfert de données, ou de leur conversion à partir d’une source originale vers une application informatique. Les données peuvent être entrées dans une application informatique de manière manuelle, en ligne, ou au moyen d’une opération de traitement par lots (opération automatisée). Dans l’examen de contrôles d’entrée, il est important de déterminer le caractère adéquat des contrôles tant manuels qu’automatisés, afin d’assurer l’exactitude des entrées de données grâce à l’utilisation optimale de la validation et de l’édition par ordinateur. Il est aussi important que les procédures de traitement des erreurs facilitent une nouvelle soumission rapide et exacte de toutes les données corrigées. D’après nos procédés d’audit, les contrôles d’entrée des données pour le SMCD, le SCSC, et le NAS/RAS fonctionnent efficacement.

Lorsque des données sont envoyées dans le SMCD, le SCSC et NAS/RAS, le système vérifie automatiquement le fichier séquentiel pour s’assurer d’obtenir le bon numéro de séquence. Par exemple, des contrôles de validation sont en place afin qu’un lot traité ait un numéro de séquence qui suit celui du dernier lot traité. De plus, un rapprochement annuel est effectué par le personnel d’EDSC du bureau de Bathurst, au Nouveau-Brunswick, avec les données du système d’application du RPC, afin de s’assurer que les données transférées à partir du programme concordent avec celles de NAS/RAS. Des contrôles sont aussi en place pour les entrées de données dans les champs (p. ex., nombre établi de chiffres par champ, vérification du NAS, lettres seulement, données numériques seulement, séparation des tâches dans le SCSC, tableaux pré-remplis et menus déroulants).

Pour l’interface du SMCD avec le système du programme canadien de prêts aux étudiants (PCPE), les taux d’intérêt sont pré-établis dans le système afin que les utilisateurs ne puissent pas les changer. Les taux sont saisis dans le SMCD par le personnel des Systèmes financiers, qui n’a pas la capacité de modifier ou d’approuver les transactions dans le SMCD. Ces taux sont changés uniquement lorsque le secteur de programme (p. ex., PCPE) l’avertit d’un changement de taux.

Les rapports de contrôle de la qualité sont produits par les trois systèmes pour le traitement par lots, afin de détecter et d’identifier les anomalies. Ces rapports sont examinés par l’équipe d’assurance de la qualité des applications respectives après chaque traitement de lot. En plus des séquences de dossier utilisées pour la validation de données, l’application vérifiera les enregistrements d’en-tête ^{Note de bas de page 1} pour l’identification de la source, et les enregistrements de fin ^{Note de bas de page 2} pour confirmer le nombre d’enregistrements. En ce qui a trait au SMCD, les rapports de contrôle de la qualité contiennent aussi un total de contrôle ^{Note de bas de page 3} pour vérifier la somme d’un champ particulier pour toutes les données transférées et le comparer avec le même total de contrôle du fichier d’entrée avant les entrées dans le SMCD.

En ce qui concerne les transactions rejetées, par exemple un échec de validation électronique (p. ex., mauvais NAS transféré à partir du système d’application du PCPE et de la base de données provinciale sur l’état civil), les agents de Bathurst effectuent une vérification manuelle des données à l’écran pour s’assurer que les données transférées à partir du PCPE vers NAS/RAS sont exactes. Ces écrans « en ligne » comportent divers contrôles de validation pour les entrées invalides, et ils affichent des messages d’erreur en conséquence. De plus, l’écran « en ligne » demandera aussi aux agents de revérifier l’information saisie, afin qu’aucune erreur de saisie de données n’ait été faite avant la poursuite des procédures.

Les trois systèmes ont aussi des contrôles adéquats par rapport à la séparation des tâches. Par exemple, dans le SMCD, un utilisateur ne peut pas avoir un profil lui permettant à la fois de modifier et d’approuver une transaction. D’une façon similaire, dans le SCSC, des contrôles automatisés des applications empêchent les utilisateurs d’avoir en même temps des profils pour l’entrée de données et l’approbation.

Par conséquent, à la lumière des contrôles mis à l’essai pour le traitement, nous concluons que les contrôles automatisés ont été conçus adéquatement et fonctionnent efficacement pour veiller à ce que les transactions soient traitées avec exactitude et rapidité.

2.2 Les contrôles liés à Protégé aux sauvegardes doivent être renforcés

2.3 Les contrôles des extrants ont été conçus adéquatement et ils fonctionnent efficacement

Les contrôles de sortie de données sont utilisés pour assurer l’intégrité des données transmises ainsi que la diffusion adéquate, exhaustive et rapide de tous les extrants produits. Les extrants peuvent être des documents papier, des fichiers utilisés comme intrants dans d’autres systèmes, ou des renseignements diffusés aux fins de consultation en ligne. Le caractère adéquat des contrôles d’extrants a été évalué pour s’assurer que les résultats du traitement des données sont exacts et fiables, que les totaux des contrôles d’extrants sont précis et vérifiés, et que les renseignements qui en découlent sont transmis aux utilisateurs finaux de manière opportune et cohérente.

Le SMCD génère des renseignements financiers qu’il transmet par l’intermédiaire de l’interface du Système d’aide à la décision (SAD), laquelle reçoit les renseignements financiers aux fins de la préparation des états financiers et des rapports de comptes publics du Ministère. D’une manière similaire à celle des contrôles d’extrants pour le SCSC, les fichiers séquentiels transférés du SMCD vers le SAD passent par un processus automatique de validation des données. Le SMCD vérifie le numéro de séquence pour s’assurer qu’il suit la bonne séquence, en plus de valider le dossier et les totaux de contrôle avant traitement.

Le SCSC transmet dans le SMCD l’information sur tout trop-payé ou montant dû par les clients, par l’intermédiaire d’une sortie de fichier séquentiel. La sortie de fichier séquentiel dans le SMCD passe par un processus automatique de validation des données. Le SCSC vérifie le numéro de séquence pour s’assurer qu’il suit la bonne séquence, en plus de valider le dossier et les totaux de contrôle avant traitement. D’autres extrants sont générés en temps réel, par exemple SCSC et EDMT-Web, et par le fait même, ils n’ont besoin d’aucun contrôle sur les fichiers d’interface.

En ce qui a trait à NAS/RAS, s’il y a des problèmes avec des transactions particulières, les données peuvent être réenvoyées pour validation par le système du PCPE, ou les NAS individuels peuvent être validés et extraits de nouveau à partir du système du RPC.

Des rapports de contrôle de la qualité sont aussi produits pour les trois applications afin de montrer le comptage des enregistrements des données extraites, dans le but de valider que la sortie de données est terminée. De plus, les trois applications effectuent des contrôles de validation automatique ^{Note de bas de page 4} pour s’assurer que le numéro de séquence d’un lot traité suit celui du précédent.

2.4 Les pistes d’audit sont maintenues, Protégé

Une piste d’audit est un dossier chronologique, un ensemble de dossiers, et/ou une destination et une source de dossiers liés à la sécurité qui fournit une preuve documentaire de la séquence des activités. Les dossiers d’audit découlent des activités ou des transactions qui sont traitées au moyen des applications. Les pistes d’audit peuvent mettre en évidence tous les renseignements liés à une entrée, modification, création ou suppression particulière de transaction dans une application précise.

Tous les accès NAS et les mises à jour de compte sont enregistrés dans une piste d’audit en ligne tenue à jour par l’application du RAS. La piste d’audit PROTÉGÉ est utilisée à des fins d’enquête. Protégé.

Protégé

En ce qui concerne le SMCD, une piste d’audit est maintenue pour les transactions effectuées dans le SMCD. Protégé peuvent être utilisés à des fins d’enquête. Protégé.

En ce qui a trait au SCSC, tous les écrans consultés par les utilisateurs sont surveillés, en plus de tous les comptes NAS consultés. La piste d’audit retient de telles informations, qui pourront être utilisées dans le cadre d’une enquête, Protégé.

Protégé

NAS/RAS

Le NAS/RAS joue un rôle essentiel dans le fonctionnement des programmes tels l’AE, le RPC, la SV et le PCPE. Il contient des renseignements sur chaque personne ayant reçu un NAS, ce qui comprend les informations fournies dans la demande originale par le client. Le RAS conserve les dossiers liés aux changements de nom, aux autres modifications, aux demandes de remplacement de carte et aux renseignements sur les comptes spéciaux.

Les interfaces associées au NAS/RAS ont été examinées sur la base des critères énoncés à la page 4 du présent rapport, afin de déterminer celles qui seraient visées par l’audit. Par conséquent, les contrôles des applications de NAS/RAS et ses interfaces clés avec le PCPE, le RPC, l’état civil et l’application Web d’accès rapide au NAS (ARNAS), qui permet aux agents des bureaux locaux de servir les clients à l’aide de pages Web personnalisées donnant l’accès au RAS, ont été examinés durant la phase de réalisation de l’audit.

Protégé

SMCD

Un grand nombre de programmes du Ministère génèrent des comptes débiteurs, par exemple l’AE, le RPC et le PCPE. Le SMCD est un système générique national en ligne conçu pour conserver et gérer divers types de comptes débiteurs au sein du Ministère. Par l’intermédiaire de systèmes d’interface, le SMCD recueille des renseignements sur les comptes liés à divers programmes législatifs, notamment les trop-payés du RPC et de l’AE, ainsi que les pénalités. Le SMCD a été établi à partir du concept d’un client ayant potentiellement de nombreux comptes, et d’un agent de recouvrement responsable de recouvrer la dette du client. Le SMCD est aussi utilisé pour l’exécution de fonctions de comptabilité dans les comptes impayés associés au Programme canadien de prêts aux étudiants et d’autres comptes débiteurs. Le SMCD fonctionne avec Protégé, et il est administré par la DGAPF.

Les interfaces associées au SMCD ont été examinées sur la base des critères énoncés à la page 4 du présent rapport, afin de déterminer celles qui seraient visées par l’audit. Les contrôles des applications du SMCD et ses interfaces clés, c’est-à-dire le RPC (Système d’exécution du renouvellement de la technologie de l’information [SERTI]), le PCPE, le SMCD - interface de communication (SMCDCOM), et le SAD ont été vérifiés durant la phase de réalisation. Les interfaces avec l’Agence du revenu du Canada (ARC) et les systèmes, applications et produits de traitement de données (SAP) ne seront pas visés. Compte tenu du stade précoce de la mise en œuvre SAP et de l’élaboration en cours d’une interface entre SAP et le SMCD, la vérification de ce dernier sera effectuée dans des audits subséquents.

Protégé

SCSC

Le SCSC est une application bilingue qui a été développée à l’interne pour gérer les programmes de subventions et de contributions du Ministère. Le SCSC a été lancé dans l’ensemble du Ministère au troisième trimestre de 2001, et il fonctionne sur une plateforme Oracle. Il permet aux utilisateurs de documenter par voie électronique toutes les étapes du cycle de vie d’un projet, de la demande jusqu’à la fermeture du dossier, et de gérer les dossiers de chaque client. Le SCSC a mis en place une capacité de production de rapports qui permet aussi aux utilisateurs de générer divers rapports concernant la base des bénéficiaires du Ministère et les projets au titre desquels ces bénéficiaires touchent des fonds. Le SCSC est géré par le Portefeuille de traitement de transactions de la DGIIT. Le système traite annuellement (estimations de 2010 2011) environ deux milliards de dollars de subventions et de contributions administrées par l’intermédiaire des bureaux régionaux et de la DGOP.

Les interfaces associées au SCSC ont été examinées sur la base des critères énoncés à la page 4 du présent rapport, afin de déterminer celles qui seraient visées par l’audit. Les contrôles des applications du SCSC, ainsi que les interfaces clés telles le SMCD et EDMT Web, ont été examinés durant la phase de réalisation. Les interfaces externes avec l’ARC et Travaux publics et Services gouvernementaux Canada n’ont pas été vérifiées.

Protégé