Audit de la gouvernance des technologies de l’information
No de cat. : En4-775/2025F-PDF
ISBN : 978-0-660-78427-4 ID
EC : 25019.04
À moins d’avis contraire, il est interdit de reproduire le contenu de cette publication, en totalité ou en partie, à des fins de diffusion commerciale sans avoir obtenu au préalable la permission écrite de l’administrateur du droit d’auteur d’Environnement et Changement climatique Canada. Si vous souhaitez obtenir du gouvernement du Canada les droits de reproduction du contenu à des fins commerciales, veuillez demander l’affranchissement du droit d’auteur de la Couronne en communiquant avec :
Environnement et Changement climatique Canada
Centre d’information du public
Place Vincent Massey
351, boulevard Saint-Joseph
Gatineau (Québec) K1A 0H3
Sans frais : 1-800-668-6767
Courriel : enviroinfo@ec.gc.ca
Photos : © Environnement et Changement climatique Canada
© Sa Majesté le Roi du chef du Canada, représenté par le ministre de l’Environnement et du Changement climatique, 2025.
Also available in English.
Audit de la gouvernance des technologies de l’information (PDF)
(Format PDF, 730 Ko, 28 pages)
1. Introduction
Objectif
Évaluer la mesure dans laquelle Environnement et Changement climatique Canada (ECCC) a mis en place une structure efficace de gouvernance des technologies de l’information (TI) qui définit clairement les obligations de rendre compte et soutient la prise de décisions.
Contexte
Une gouvernance efficace des TI est essentielle pour garantir que la technologie, les services et la gestion de l’information soutiennent les objectifs ministériels et s’alignent sur les priorités du gouvernement du Canada. De nos jours, la gouvernance des TI s’inscrit dans un contexte numérique plus large – qui comprend la surveillance de la conception des services et de leur prestation, des données et de la cybersécurité – ce qui oblige les ministères à adopter des approches de gouvernance plus intégrées et plus collaboratives.
La Politique sur les services et le numérique du Secrétariat du Conseil du Trésor (SCT) et sa Directive connexe, en vigueur depuis 2020, établissent les attentes à l’égard de cette approche intégrée. Les ministères doivent désigner des fonctionnaires pour les fonctions numériques clés – y compris un dirigeant principal de l’information (DPI), un agent désigné pour la gestion des services, un dirigeant principal des données et un agent désigné pour la cybersécurité – et établir des structures de gouvernance qui permettent d’aligner les investissements numériques et en TI sur les priorités ministérielles et l’orientation pangouvernementale. Les administrateurs généraux ont la souplesse nécessaire pour attribuer ces responsabilités au niveau qu’ils jugent approprié, y compris attribuer la responsabilité de plus d’un domaine fonctionnel à un seul agent.
Services partagés Canada (SPC) joue un rôle central dans ce contexte en fournissant les services d’infrastructure obligatoires à l’échelle du gouvernement – réseaux, centres de données, technologies de l’utilisateur final, etc. – sur lesquels comptent les ministères comme ECCC.
On s’attend à ce que les fonctionnaires responsables de la prestation de programmes et de services travaillent en collaboration avec le DPI et les autres responsables du numérique pour veiller à ce que les solutions numériques soient intégrées dans la planification des activités et des opérations et qu’elles servent d’appui aux résultats des clients. Les responsabilités en matière de gouvernance s’étendent aux comités de la haute direction, qui surveillent la planification des TI, l’établissement des priorités en matière d’investissement, la gestion des risques et la surveillance du rendement. Pour soutenir la mise en œuvre et la surveillance opérationnelle, les ministères peuvent établir des structures de soutien comme des conseils consultatifs sur le changement, des comités d’examen de l’architecture ou des comités directeurs de projets, s’il y a lieu.
En tant que ministère à vocation scientifique, ECCC dépend d’un large éventail de systèmes internes, d’applications scientifiques et de plateformes externes, comme la plateforme de calcul de haute performance (CHP), pour réaliser son mandat et les opérations essentielles à sa mission. Son environnement de gouvernance numérique a continué d’évoluer parallèlement à la restructuration organisationnelle et aux besoins croissants en matière de prestation de services.
La période de l’audit a coïncidé avec une période de transition structurelle importante dans la gouvernance numérique d’ECCC - marquée par la création et la réorganisation de la DGSN, un examen plus large de la gouvernance ministérielle, un examen de la gouvernance numérique dirigé par la DGSN, et des mises à jour continues sur la gouvernance de la GI/TI au niveau des programmes. Ces changements importants ont été apportés pour régler certains des problèmes de gouvernance de la TI qui existaient depuis longtemps et pour appuyer le Ministère dans son parcours de transformation numérique – afin d’avoir un effectif fort axé sur les données et le numérique et pour se préparer à l’émergence de l’intelligence artificielle.
Portée et méthodologie
L’audit a porté sur certains aspects de la gouvernance des TI, y compris les structures de gouvernance et les mécanismes de surveillance qui soutiennent la reddition de comptes, l’orientation stratégique et la prise de décisions, les rôles et responsabilités, ainsi que les mécanismes mis en place pour gérer la relation du Ministère avec SPC et les risques connexes liés à la prestation de services. L’audit visait la période du 1er avril 2023 au 31 mars 2025 et comprenait un examen de documents pertinents portant sur d’autres périodes, lorsqu’il y avait lieu de le faire.
L’évaluation approfondie de processus opérationnels précis (la gestion de projets, l’architecture intégrée, la gestion de la continuité des activités, la gestion de l’information et des données, la gestion des biens de TI, etc.) a été exclue de la portée de l’audit en raison de leur ampleur et de leur complexité. Bien que certains de ces aspects aient fait l’objet d’un examen de haut niveau dans une optique de gouvernance, ils pourraient être examinés plus en détail lors d’audits internes futurs s’inscrivant dans le processus annuel de planification de l’audit fondé sur les risques.
Les critères d’audit présentés à l’annexe A ont été élaborés en fonction des résultats d’une évaluation des risques effectuée au cours de la phase de planification de l’audit.
Voici les différentes approches qui ont été utilisées pour effectuer l’audit et le mener à bien :
- Examen des instruments de politique applicables et de plus de 550 documents, y compris des documents de gouvernance et de planification, et analyse des dossiers de 18 comités et groupes de travail liés aux TI;
- 29 entrevues et procédures ‘pas à pas’ avec le personnel clé et soumission d’un questionnaire à 8 directions générales et à 2 régions en vue de recueillir des commentaires sur leurs processus de planification et d’établissement des priorités en matière de TI;
- Examen de 7 ententes de service avec SPC dans 4 directions générales et analyse d’une étude de cas portant sur 2 opérations essentielles à la mission reposant sur les services fournis par SPC.
Énoncé de conformité
L’audit est conforme aux Normes internationales d’audit interne, comme le démontrent les résultats du programme d’amélioration et d’assurance de la qualité.
2. Constatations, recommandations et réponses de la direction
2.1. Gouvernance, et rôles et responsabilités
Principales constatations : Le cadre de gouvernance d’ECCC en matière d’activités numériques et de TI était en transition au moment de cet audit. Bien que des progrès aient été réalisés, comme la création de la Direction générale des services numériques (DGSN) et la mise à jour de comités de gouvernance au niveau de la haute direction, des efforts supplémentaires sont nécessaires pour renforcer les structures de gouvernance afin d’appuyer la prise de décision. Cela comprend la poursuite du travail visant à clarifier les rôles, les responsabilités et les obligations redditionnelles en matière de surveillance des technologies numériques et de la TI afin de s’assurer qu’ils sont définis de façon uniforme, et que les comités ministériels s’acquittent efficacement de leurs rôles à l’appui du processus décisionnel.
Les domaines identifiés pour amélioration comprennent la remédiation des mandats désuets ou incomplets, le renforcement des liens entre les comités et les processus de gouvernance parallèles qui fonctionnent au niveau des directions générales. Des opportunités existent également pour clarifier les obligations de rendre compte, de mettre à jour les outils de gouvernance et de renforcer la coordination à l’échelle du Ministère conformément à la Politique sur les services et le numérique.
Ce que nous avons examiné
Nous avons évalué la mesure dans laquelle ECCC avait établi une structure et un cadre de gouvernance appropriés qui permettent une prise de décisions efficace et soutiennent la surveillance et la reddition de comptes à l’égard des activités liées aux TI et des risques connexes. Nous avons également examiné si les rôles et responsabilités en matière de gouvernance des TI étaient clairement définis, communiqués et compris, conformément aux exigences de la politique.
Ce que nous avons constaté
Tel qu’énoncé dans la Politique sur les services et le numérique, ainsi que dans sa Directive et ses lignes directrices connexes, les DPI ministériels sont responsables de diriger les fonctions de gestion des données, de l’information et de la TI du Ministère. Cela comprend le leadership stratégique sur le numérique et les TI, la supervision de la planification numérique et des TI du Ministère, l’appui à la planification intégrée et à la gouvernance dans les services, l’information, les données, les TI et la cybersécurité, la supervision des pratiques de gestion de l’information et des données et, une architecture d’entreprise de pointe pour assurer l’interopérabilité et l’alignement sur les normes d’entreprise.
Les agents responsables de la gestion des services et de la cybersécurité sont également chargés de diriger leurs secteurs fonctionnels respectifs. L’agent responsable de diriger la fonction de gestion des services fait la promotion d’une approche ministérielle en matière de conception et de prestation des services, y compris la coordination de la planification des services, la mesure du rendement, les normes de service et la rétroaction des clients. Le responsable de la cybersécurité assure le leadership stratégique et la coordination en matière de cybersécurité, notamment la protection fondée sur les risques des services de TI, la collaboration avec la DPI et le chef de la sécurité et la coordination de l’intervention et de l’atténuation des incidents.
ECCC a accompli des progrès en harmonisant ces rôles de leadership avec la politique numérique à l’échelle du gouvernement, ce qui favorise une responsabilisation plus claire envers leurs secteurs fonctionnels respectifs. À ECCC, les trois postes sont situés au sein de la DGSN. La SMA de la DGSN et dirigeante principale des services et du numérique occupe à la fois les fonctions de DPI du Ministère et d’agent responsable de la fonction de gestion des services. Le responsable de la cybersécurité est un directeur général au sein de la même direction générale.
Organes de gouvernance des TI
Afin de s’acquitter de leurs responsabilités et d’appuyer la responsabilisation, la DPI et les responsables désignés doivent soutenir et participer à des structures de gouvernance intégrées qui permettent la surveillance, la coordination et la prise de décisions dans l’ensemble des fonctions numériques. La Directive sur les services et le numérique met l’accent sur le leadership stratégique et la collaboration interfonctionnelle, tandis que la Politique exige des administrateurs généraux qu’ils établissent une gouvernance qui intègre les services, l’information, les données, la TI et la cybersécurité. Dans ce cadre, les comités servent de principaux mécanismes par lesquels les responsables fonctionnels - comme la DPI et les fonctionnaires désignés - exercent leurs responsabilités, fournissent des conseils et aident à harmoniser les initiatives numériques avec les priorités ministérielles et organisationnelles.
À ECCC, le paysage de gouvernance des TI consiste en un mélange de structures internes et externes. À l’interne, le Ministère dispose de comités et de forums au niveau ministériel et organisationnel (dirigés par la DGSN) ainsi qu’au niveau des programmes ou des directions générales. À l’externe, ECCC participe aux activités d’organes interministériels et pangouvernementaux qui influencent ou soutiennent les activités liées aux TI d’ECCC. L’aperçu qui suit reflète les structures cernées au cours de l’audit, mais il ne comprend pas nécessairement la liste complète de tous les organes de gouvernance déjà existants ou nouveaux.
Les comités et les groupes ont des mandats différents et sont à différents stades d’harmonisation avec les modèles de gouvernance existants ou émergents. Au niveau de l’entreprise, la gouvernance est appuyée par la DGSN, qui préside ou coordonne plusieurs comités ou organes consultatifs, avec une direction fonctionnelle assurée par la dirigeante principale des services et du numérique, qui supervise la gestion des services numériques et l’harmonisation du Ministère avec les priorités fédérales, y compris le Conseil de gestion du changement d’architecture, le Groupe d’examen de l’architecture, le Comité directeur sur la modernisation numérique, le Comité des politiques et des priorités en matière de données, et le Comité de la transformation numérique de la DGSN. Ces mesures visent à appuyer la surveillance de l’architecture organisationnelle, la planification numérique stratégique et l’harmonisation avec la politique numérique fédérale.
D’autres secteurs de gestion – comme la gestion de projet, la sécurité, la gestion financière et la planification des investissements – ont également des implications sur les fonctions TI, numériques et de service. Ces domaines sont appuyés ou supervisés par des comités au niveau corporatif. Certains de ces comités, comme le Comité corporatif des DG, le comité des finances des DG et le comité des sciences et des politiques des DG, ont été créés ou mis à jour dans le cadre d’un examen de la gouvernance ministérielle en cours au moment de l’audit. D’autres, comme le Comité consultatif de gestion de projet et le Comité de la gestion des événements liés à la sécurité des DG, étaient des structures préexistantes.
Les directions générales de programme maintiennent également divers mécanismes de gouvernance qui soutiennent leurs activités liées aux TI, ou participent à de tels mécanismes. Au sein du Service météorologique du Canada (SMC), la gouvernance interne inclut le Conseil d’approbation des changements du SMC, le Comité des DG sur la surveillance des GI-TI du SMC, des comités connexes des directeurs sur la planification et les opérations en matière de GI-TI, et d’autres groupes de travail connexes. D’autres directions générales maintiennent des groupes de travail internes, comme le Groupe de travail sur la GI-TI de la Direction générale de la protection de l’environnement et le Comité des directeurs sur la GI-TI de la Direction générale des sciences et de la technologie.
ECCC participe également à des forums interministériels liés à la planification et aux opérations de la plateforme de CHP, comme le Comité exécutif de la mise à niveau du CHP, le Comité directeur des DG sur la proposition de financement de la solution de CHP, et le Comité consultatif de gestion du CHP. Ces comités sont généralement dirigés ou codirigés par le SMC et nécessitent la collaboration d’autres partenaires fédéraux. À ECCC, la participation est principalement assurée par le SMC, avec une représentation de directions générales comme la DGSN, la Direction générale des sciences et de la technologie et la Direction générale des services ministériels et des finances, selon le thème.
La Direction générale de la protection de l’environnement participe au Comité directeur sur l’Environnement à forte résilience, qui est dirigé par un autre ministère; elle se concentre sur la planification et la surveillance liées à la continuité et à la disponibilité de l’Environnement à forte résilience, qui soutient le Centre national des urgences environnementales d’ECCC et d’autres opérations visant la grande disponibilité des systèmes, dirigées par des ministères partenaires.
Au-delà des comités ministériels et interministériels, ECCC participe également à la gouvernance numérique pangouvernementale plus générale. Il participe par exemple au Conseil d’examen de l’architecture intégrée du gouvernement du Canada, où la dirigeante principale des services et du numérique représente ECCC et participe à l’examen des initiatives numériques ministérielles pour assurer leur harmonisation avec l’orientation numérique, les priorités, et les normes d’architecture intégrée du gouvernement du Canada. De plus, la dirigeante principale des services et du numérique participe à plusieurs forums horizontaux sur la gouvernance qui appuient l’orientation numérique stratégique et la coordination interministérielle, y compris le Conseil des DPI, la Table ronde du DPI de SPC et le portefeuille scientifique du DPI.
Efficacité des organes de gouvernance
La période d’audit a coïncidé avec une période de transition structurelle importante dans la gouvernance numérique d’ECCC marquée par la création et la réorganisation de la DGSN, un examen général de la gouvernance ministérielle, un examen de la gouvernance numérique mené par la DGSN ainsi que des mises à jour continues de la gouvernance de la GI-TI au niveau des programmes.
Comme cette transition était toujours en cours à la fin de l’audit, les liens entre les comités, leur harmonisation avec les priorités ministérielles et leurs rôles au sein des nouveaux modèles de gouvernance étaient encore en cours de définition. Plusieurs comités ont continué de fonctionner simultanément en l’absence d’une structure cohérente, ce qui a limité la capacité du cadre à appuyer le processus décisionnel et de surveillance. Certains fonctionnaient selon un mandat désuet ou provisoire, dont les mandats n’étaient pas encore harmonisés avec la nouvelle structure de gouvernance. Les liens hiérarchiques étaient définis de façon incohérente et, dans certains cas, il était difficile de déterminer si les comités avaient été remplacés, s’ils avaient changé leur portée ou s’ils étaient restés actifs.
Par exemple, le Comité directeur de la modernisation numérique, dirigé par la DGSN, a été mandaté pour aider le sous-ministre à établir les priorités en matière d’investissement dans la GI/TI, y compris celles qui nécessitent la participation de SPC, et d’appuyer les initiatives, projets et investissements numériques. Il était également responsable d’harmoniser les priorités en matière de GI/TI et de données avec la gestion financière, la gestion de projet, la planification des investissements et les processus de planification au niveau des directions générales. Le Comité se rapportait au Comité des opérations des SMA, renvoyait les initiatives approuvées au Comité de gestion des investissements pour les décisions de financement et servait de mécanisme d’escalade pour les problèmes de projet qui ne peuvent être résolus par les organes de gouvernance de niveau inférieur.
Toutefois, le mandat du Comité n’a pas été mis à jour pour tenir compte du nouveau rôle de la dirigeante des services et du numérique et continue de faire référence aux liens avec le Comité consultatif sur la gestion des projets et le Conseil de gestion du changement d’architecture, qui ont tous deux désigné la DPI comme leur présidente. La place du Comité directeur de la modernisation numérique dans la structure de gouvernance ministérielle révisée demeure incertaine. Les questions de TI et de planification des investissements sont maintenant discutées dans des comités nouvellement formés – comité corporatif des DG et comité des finances des DG - qui appuient le Comité exécutif de gestion et lui font rapport, et leur mandat ne mentionne pas explicitement un lien avec le Comité directeur de la modernisation numérique.
Le mandat du Conseil de gestion du changement d’architecture indique également qu’il relève du Comité des opérations des SMA révoqué, laissant son rôle dans la structure mise à jour indéfini. Le Comité consultatif sur la gestion des projets demeurait actif en mars 2025. L’équipe d’audit a été informée que des discussions étaient en cours pour redéfinir son rôle et ses responsabilités dans le cadre d’un mandat révisé afin de s’assurer à ce que les responsabilités appropriées en matière de gestion de projet soient respectées.
Un examen des comptes rendus de décisions et de la documentation des comités pour le Conseil de gestion du changement d’architecture et le Comité directeur sur la modernisation numérique, ont démontré une efficacité limitée étant donné des réunions non fréquentes, une remise en question stratégique limitée et un taux élevé d’approbations automatiques ou conditionnelles. Les personnes interviewées ont fait remarquer que la participation variait souvent en fonction des intérêts propres aux directions générales, et que ces forums étaient considérés davantage comme des plateformes de partage d’information.
Les entrevues ont également confirmé que les membres manquaient souvent de clarté quant au mandat de leur comité ou aux lignes hiérarchiques. En l’absence d’une intégration plus large, il y a un risque de renforcer la prise de décisions cloisonnée et de limiter la perspective interfonctionnelle nécessaire à la surveillance stratégique.
Au-delà de la gouvernance exercée par le Ministère et la DGSN, les directions générales ont également élaboré leurs propres structures de gouvernance officielles ou informelles pour gérer les aspects opérationnels et de planification des TI. Bien que ces arrangements aient permis de répondre rapidement aux besoins opérationnels, ils ont évolué vers des sous-processus parallèles qui ne reflèteraient pas toujours les priorités ministérielles. Les entrevues et les réponses au questionnaire indiquent que les directions générales intègrent généralement les besoins des différentes directions avant de soumettre des propositions dans le cadre du processus d’investissement dirigé par la DGSN. Les fonctionnaires de la DGSN craignent que cette décentralisation limite la visibilité et la surveillance au niveau entreprise.
Dans l’ensemble, l’audit a permis de constater que l’environnement de gouvernance TI du Ministère manque de cohésion. La fragmentation ainsi que le manque de clarté des liens entre les organes de gouvernance augmentent le risque de prise de décisions en silo, de dédoublement des efforts et de visibilité organisationnelle réduite. Cette situation a une incidence sur la capacité du Ministère à gérer les risques transversaux, à s’aligner sur les priorités numériques pangouvernementales et à se coordonner de façon efficace avec les fournisseurs de services comme SPC. Elle limite également la capacité d’ECCC à assurer une surveillance uniforme de domaines émergents comme l’intelligence artificielle (IA), l’innovation guidée par les données, et l’adoption responsable de technologies habilitantes. En l’absence de mécanismes intégrés de gouvernance, les initiatives peuvent progresser sans remise en question appropriée, sans harmonisation ou sans prise de décisions tenant compte des risques.
Ce défi est particulièrement important dans des domaines comme les prévisions environnementales et les services essentiels à la mission, où les activités d’ECCC dépendent de l’accès continu à des données provenant de sources externes et internationales. Compte tenu de la dépendance du Ministère à l’égard d’un réseau complexe d’infrastructures numériques, des partenaires externes et de la dynamique géopolitique, il sera important de renforcer la gouvernance des données – grâce à des rôles clairs, à une surveillance intégrée et à une coordination organisationnelle proactive – pour maintenir le rendement, l’innovation et la résilience.
Rôles et responsabilités
L’audit a permis de constater que les rôles et responsabilités en matière de gouvernance des TI ne sont toujours pas définis et opérationnalisés de manière cohérente. Par exemple, un protocole d’entente (PE) datant de 2019 entre la Direction générale des services ministériels et des finances et deux directions générales de programme (le SMC et la Direction générale des sciences et de la technologie) continue de régir la prestation de services de GI/TI liés aux applications scientifiques et de haute performance, malgré les changements structurels, l'évolution des exigences en matière de gouvernance et la création de la DSB. En vertu du PE, la gestion opérationnelle des fonctions informatiques liées aux applications scientifiques et de haute performance - y compris le développement d'applications et les services de soutien - reste du ressort des directions générales, tandis que la DGSN est responsable d’orientation fonctionnelle, de la liaison avec SPC pour l'infrastructure, de la prise en charge des activités, du soutien informatique et du cadre pour le processus d'autorisation d'exploitation pour les applications. Cet arrangement a donné lieu à un modèle double dans lequel la responsabilité des activités liées au TI menées à l'échelle de l'entreprise est fragmentée.
La relation évolutive entre la dirigeante principale des services et du numérique d’ECCC, en tant qu’agent désigné pour la gestion des services du Ministère et les SMA des programmes qui agissent à titre de propriétaires des services facilités par les TI n’a pas encore été clairement définie. Bien que la Politique sur les services et le numérique. fasse une distinction entre la direction à l’échelle de l’entreprise et la responsabilisation à l’égard de la prestation de services, les documents et les structures de gouvernance du Ministère ne précisent pas clairement la manière dont ces rôles interagissent. Il n’est pas encore clair comment les responsabilités en matière de rendement des services, de modernisation numérique et d’escalade des risques devraient être partagées. Cela soulève des questions sur la responsabilisation – en particulier en cas de panne ou de perturbation d’un service facilité par les TI essentiel à la mission – quant à savoir si la responsabilité incomberait à la dirigeante principale des services et du numérique ou au SMA responsable du programme.
De plus, le modèle actuel n’offre pas de visibilité claire et de mécanismes d’escalade entre les différents domaines de TI comme la cybersécurité, la gestion des solutions locales, l’architecture, la gestion des incidents ainsi que la reprise après sinistre et la gestion de la continuité des activités. La fonction de liaison avec SPC, établie au sein de la DGSN, était toujours en évolution au moment de l’audit et n’avait pas encore été exploitée ou intégrée aux processus de gouvernance de façon uniforme.
L’absence d’un cadre de gouvernance complet et actualisé pourrait également contribuer au manque de clarté des rôles et responsabilités. Bien que la DGSN soit responsable d’établir l’orientation organisationnelle, elle n’a pas mis en œuvre un ensemble clairement défini de politiques, de normes ou d’instruments internes ministériels qui décrivent comment les exigences numériques et de TI devraient être appliquées en pratique, conformément à la Politique sur les services et le numérique et aux instruments connexes.
Dans le cas de l’orientation et des stratégies liées à l’IA, par exemple, les directions générales de programme ont amorcé le travail en réponse aux besoins émergents et au contexte stratégique en évolution, avec une participation précoce limitée de la part de la DGSN. Bien que cette situation témoigne de la réactivité et de l’esprit d’innovation des directions générales, elle illustre aussi le risque que l’orientation à l’échelle de l’entreprise soit outrepassée par des actions décentralisées. Des constatations similaires quant à l’absence de cadre, de politiques, de normes et de directives à l’échelle du Ministère ont été faites dans le cadre d’un audit interne distinct portant sur la cybersécurité et la gestion des solutions locales.
À mesure que le Ministère exploitera de plus en plus des technologies comme l’IA, les plateformes infonuagiques et l’analytique avancée pour réaliser son mandat, la nécessité d’une responsabilisation claire, d’une surveillance à l’échelle de l’entreprise et d’une coordination efficace se fera de plus en plus sentir. Veiller à ce que les structures de gouvernance soient outillées pour faire face à ces changements sera essentiel au maintien de l’harmonisation au contexte numérique en évolution.
Recommandation 1 : Dans le cadre des travaux déjà en cours pour soutenir la réorganisation de la Direction générale des services numériques, la SMA et dirigeante principale des services et du numérique de la DGSN, en collaboration avec d’autres directions générales s’il y a lieu, devrait continuer d’examiner et de renforcer le cadre de gouvernance ministériel en matière de TI. Cela inclut de clarifier davantage les responsabilités, comme celle liées à la gestion des services ainsi que les mandats et les liens entre les organes de gouvernance, la mise à jour des cadres de référence et l’affinement des mécanismes de coordination dans l’ensemble des structures organisationnelles et celles des directions générales, conformément à la Politique sur les services et le numérique et le numérique et au contexte d’utilisation du numérique en évolution.
Réponse de la direction :
La SMA de la DGSN est en accord avec la recommandation.
La recommandation sera traitée en parallèle par deux volets, à savoir un examen de la gouvernance actuelle et un examen de toutes les exigences essentielles des politiques, afin d’assurer une approche de gouvernance appropriée et l’harmonisation au sein du Ministère tout en tirant mieux parti d’autres approches pour améliorer la communication, comme les communautés de pratique et les groupes de travail.
2.2. Planification et établissement des priorités organisationnelles en matière de TI
Principales constatations : ECCC a établi un processus ministériel de planification et d’établissement des priorités en matière d’investissement en TI qui s’aligne sur les exigences du CT, et a réalisé des progrès dans le renforcement des fonctions de service stratégiques, comme l’établissement des coûts numériques. Il y a une opportunité de renforcer l’intégration avec d’autres fonctions de planification ministérielles.
Des différences actuelles dans les échéanciers, les critères et la surveillance entre le processus de planification des TI et celui des immobilisations réduisent la capacité du Ministère à aligner ses investissements sur les priorités organisationnelles. Il a une opportunité de renforcer la coordination pour favoriser une compréhension commune des priorités et veiller à ce que les décisions relatives aux investissements en TI s’alignent sur les objectifs numériques à l’échelle de l’entreprise.
Ce que nous avons examiné
L’audit a permis d’évaluer la mesure dans laquelle ECCC a établi des processus intégrés, stratégiques et efficaces pour planifier les investissements en TI et établir les priorités à cet égard, conformément à la Directive sur les services et le numérique du CT.
Il s’agissait notamment de déterminer si l’ordre de priorité des investissements en TI est établi en fonction des besoins du Ministère et des objectifs organisationnels, et si les processus de planification sont coordonnés à l’échelle du Ministère de manière à offrir une vue d’ensemble, qui tient compte des risques, des décisions relatives aux investissements en TI.
Ce que nous avons constaté
La DGSN a établi des processus ministériels qui soutiennent la planification et l’établissement des priorités en matière de TI à l’échelle de l’entreprise, conformément au cadre d’établissement des priorités du CT et à la Politique sur les services et le numérique. Parmi ceux-ci figure l’élaboration du cadre d’établissement des priorités organisationnelles d’ECCC, qui utilise des critères fondés sur les risques et les capacités, tels que l’urgence, la continuité des activités, la cybersécurité et la disponibilité des fonds, pour évaluer les propositions d’investissement en TI dans l’ensemble des directions générales.
Dans le cadre de ce processus, chaque direction générale désigne un représentant de la direction générale en investissements numériques, qui est chargé de coordonner les propositions internes et d’assurer la liaison avec la DGSN tout au long de l’année. Bien que cette structure serve de fondation à la gouvernance à l’échelle d’entreprise en matière de TI, l’audit a permis de cerner un risque que des propositions non prioritaires qui ne sont pas sélectionnées au moyen du processus organisationnel puissent procéder de manière informelle. Ces propositions pourraient échapper à la surveillance à l’échelle de l’entreprise et contribuer à la prolifération actuelle de solutions locales, ce qui pourrait nuire aux efforts de normalisation, à l’intégration, et aux objectifs de cybersécurité. Pour répondre à ce risque, la DGSN a lancé le Programme d’accélérateur de services numériques afin de permettre la réalisation de projets non prioritaires par l’entremise d’une offre de services centralisée. Cependant, l’audit a permis de constater que des contrôles supplémentaires pourraient être nécessaires pour améliorer la visibilité des propositions non financées ou non approuvées.
L’audit a également mis en évidence un décalage entre le processus de demande d’investissement en TI (dirigé par la DGSN) et le processus ministériel de planification des immobilisations (dirigé par la Direction générale des services ministériels et des finances). Ces processus sont dirigés par des équipes distinctes de différentes directions générales qui utilisent différents critères d’établissement des priorités, différents échéanciers de production de rapports et différentes structures de gouvernance. Par conséquent, il n’y a pas de mécanisme permettant d’évaluer les propositions d’immobilisations et d’investissement en TI en fonction d’une vision à l’échelle de l’entreprise commune. Cette situation rend difficile l’harmonisation du financement avec les priorités ministérielles et peut réduire la capacité du Ministère à gérer de façon stratégique ses biens numériques.
Des efforts ont été déployés pour renforcer le processus de planification des immobilisations en désignant des responsables de catégories d’actifs de GI/TI, responsables de fournir des conseils et des recommandations aux directions générales sur les projets de GI/TI, le matériel et les licences, communiquer aux directions générales et aux conseillers en gestion financière (CGF) les éléments qui figurent dans les listes de priorités de la GI/TI, et prendre des décisions sur l’approbation ou non des plans d’immobilisations soumis par les directions générales dans les catégories de matériel informatique et de GI/TI. Malgré ces efforts, les entrevues ont confirmé que la collaboration entre les fonctions de planification des TI et de planification des immobilisations demeure limitée et qu’il n’existe pas des protocoles d’engagement définis.
La DGSN a réalisé des progrès dans le renforcement de la capacité d’établissement des coûts servant à appuyer les présentations des demandes de financement. L’équipe d’établissement des coûts numériques de la DGSN a renforcé sa capacité et son expertise au cours des dernières années dans le but de fournir des estimations de coûts exactes et exhaustives en temps opportun relatives aux demandes ministérielles de financement des TI. Cependant, des défis persistent au moment de générer des données fiables pour les estimations des services internes. Le sous-financement historique signalé des services de TI et le recours à des hypothèses désuètes ont limité l’exactitude des prévisions, et les intervenants ont indiqué que les pratiques d’établissement des coûts pour les services numériques n’étaient toujours pas uniformes. Ces limites réduisent la qualité de l’information disponible pour appuyer une planification efficace, l’établissement des priorités et la prise de décisions, qui sont des éléments clés de la gouvernance énoncés dans la Politique sur les services et le numérique.
Dans l’ensemble, bien que des structures fondamentales de planification des investissements en TI soient en place, l’audit a permis de constater que leur intégration à la planification ministérielle plus générale demeure limitée. D’autres améliorations sont nécessaires pour harmoniser les fonctions de planification, améliorer la surveillance des solutions non prioritaires et veiller à ce que les décisions relatives au financement des TI reflètent les priorités stratégiques et les risques organisationnels. Ces besoins sont particulièrement pertinents dans le contexte actuel de pressions budgétaires et d’efforts pangouvernementaux visant à simplifier les opérations et à améliorer l’efficacité. Le renforcement de l’harmonisation – surtout entre la planification des immobilisations et celle des investissements en TI – sera essentiel pour optimiser la valeur des investissements numériques et veiller à ce que les décisions relatives à la gouvernance soient stratégiques et axées sur les ressources. Cela dit, nous reconnaissons que les différents délais associés à chaque processus, tels que dictés par le SCT, rendent la tâche difficile.
Recommandation 2 : Dans le cadre de la poursuite du soutien au parcours de transformation numérique du ministère, La SMA et dirigeante principale des services et du numérique de la DGSN devrait continuer à travailler avec la SMA de la Direction générale des services ministériels et des finances pour améliorer l’harmonisation entre le processus ministériel de planification des investissements en TI et celui de planification des immobilisations. Cela comprend le renforcement et le perfectionnement des mécanismes de partage de l’information, intégrer davantage les approches de priorisation dans une approche d’entreprise unique, et améliorer la visibilité à l’égard des besoins en immobilisations liés à la GI-TI, ce qui favorisera une planification mieux intégrée et tenant compte des risques alignée sur les objectifs organisationnels de gouvernance des TI.
Réponse de la direction :
La SMA de la DGSN est en accord avec la recommandation.
La recommandation sera traitée par le biais d’un examen détaillé des processus existants, d’un examen des différentes exigences de politique pour les investissements en TI et d’un soutien à l’élaboration d’un processus holistique qui incorpore le numérique dans la planification plus large des investissements au niveau entreprise. Le processus plus large de planification des investissements au niveau ministériel est géré par la Direction générale des services ministériels et des finances.
2.3. Gestion de la relation d’ECCC avec SPC
Principales constatations : ECCC a établi des mécanismes visant à soutenir sa relation avec SPC, y compris une fonction de liaison au sein de la DGSN. Alors que le Ministère poursuit sa transformation numérique, il reste du travail à faire en ce qui concerne la façon dont le Ministère interagit avec SPC, ainsi que mieux définir la surveillance des ententes de service. Au moment de l’audit, plusieurs ententes que les directions générales avaient avec SPC ne figuraient pas dans la liste du bureau de liaison, et bon nombre de ces ententes manquaient d’éléments clés comme des rôles définis, des attentes en matière de rendement et des processus de résolution des différends.
Des opportunités d’amélioration ont été relevées pour renforcer la gouvernance qui soutient les interactions du Ministère avec SPC, y compris poursuivre le travail visant à clarifier les rôles et les responsabilités, et à améliorer la visibilité organisationnelle au niveau du soutien fourni pour l’exécution des opérations essentielles à la mission.
Ce que nous avons examiné
L’audit évalué la mesure dans laquelle ECCC a établi des structures de gouvernance et des mécanismes de surveillance pour gérer efficacement sa relation avec SPC. Il s’agissait notamment de déterminer si le Ministère avait établi des rôles, des responsabilités et des processus clairs pour coordonner les demandes de service, surveiller la prestation des services et offrir une visibilité et une orientation au niveau de l’entreprise. L’audit a également examiné si les intervenants internes comprenaient leurs responsabilités en matière de collaboration avec SPC et s’il existait des mécanismes visant à soutenir l’établissement des priorités, la prise de décisions et la reddition de comptes à l’égard des services fournis par SPC.
Ce que nous avons constaté
Coordination centrale
La DGSN a établi une fonction de coordination centrale, le bureau de liaison avec SPC, pour faciliter les demandes de service et servir de point de contact principal avec SPC. L’unité, composée d’un gestionnaire et de quatre employés à temps plein, sert les clients internes et aide à coordonner les besoins ministériels avec SPC.
Au moment de l’audit, le bureau de liaison demeurait une fonction émergente. Il ne supervisait pas toutes les interactions liées à SPC dans l’ensemble du Ministère, et il n’existait pas de procédures formelles, de rôles définis ou de mandat clair régissant ses opérations. Les entrevues ont confirmé que la connaissance du rôle du bureau de liaison était limitée, et que la plupart des directions générales comptaient sur les relations informelles avec leurs collègues de la DGSN pour soutenir leur collaboration avec SPC. Bien que la plupart des directions générales aient affirmé qu’elles communiqueraient avec la DGSN pour les questions liées à SPC, peu d’entre elles ont fait explicitement référence au bureau de liaison avec SPC.
Le bureau de liaison ne fait pas non plus le suivi ni l’analyse des types de services demandés à SPC. Ces renseignements permettraient de soutenir la planification ministérielle et de déterminer les besoins en TI à l’échelle de l’entreprise, les besoins de financement et les risques liés aux solutions locales si, par exemple, une direction générale refuse une proposition de service de SPC et cherche sa propre solution de rechange.
Ententes de service
Les ministères acquièrent des services de SPC par l’entremise d’ententes de service normalisées qui décrivent les coûts, les modalités de service et les responsabilités. L’audit a permis de constater qu’à ECCC, la surveillance de ces ententes est décentralisée, et que le Ministère ne dispose pas d’un répertoire consolidé et à jour.
En 2024, avec le soutien de son conseiller en gestion financière, la DGSN a repéré 36 ententes de service de SPC actives totalisant environ 7,3 millions de dollars. L’audit a permis de découvrir d’autres ententes qui n’étaient pas incluses dans cette liste, ce qui indique des lacunes dans le suivi ministériel. Dans le passé, les directions générales engageaient des fonds directement auprès de SPC, mais le processus a changé : SPC facture maintenant tous les services à la DGSN de manière centralisée, ce qui souligne la nécessité d’une surveillance centralisée.
Nous avons examiné un échantillon discrétionnaire de sept (7) ententes de service. Bien que la taille de l’échantillon limite la généralisation à l’ensemble de la population, l’examen a mis en évidence des problèmes récurrents :
Parmi les quatre ententes tirées du répertoire consolidé, aucune ne comprenait des rôles et responsabilités définis, des mesures du rendement ou des mécanismes d’escalade. Les ententes étaient toutes signées par des fonctionnaires de la DSGN.
Une entente qui portait sur la plateforme de CHP n’était pas incluse dans le répertoire de la DGSN. Même si elle comprenait des attentes clés en matière de niveau de service et des détails techniques, cette entente de service n’avait pas été mise à jour depuis 2015, il y manquait les signatures d’ECCC, et elle n’indiquait pas clairement qui était responsable des mises à jour de l’entente.
Deux ententes appuyant l’Environnement à forte résilience étaient également absentes du répertoire et ne comprenaient pas de modalités de base comme les rôles, les mesures de rendement ou les processus de résolution des différends.
L’absence de répertoire complet et actualisé, combinée au manque d’uniformité dans le contenu et la propriété des ententes, pose des risques quant à la capacité du Ministère à assurer la qualité des services, à surveiller le rendement et à régler les problèmes avec SPC. À mesure que les dépendances informatiques à l’égard des services de SPC augmenteront, le Ministère devra renforcer ses mécanismes de coordination, clarifier les responsabilités internes et veiller à ce que les ententes fassent l’objet d’un suivi et soient maintenues et appliquées conformément à la gouvernance au niveau entreprise.
Opérations essentielles à la mission facilitées par les TI
Dans le cadre de l’analyse de la façon dont ECCC gère sa relation avec SPC, nous avons examiné les arrangements de gouvernance pour deux services facilités par les TI qui sont essentiels à la mission. Dans les deux cas, la prestation continue de ces services aux Canadiens et à d’autres organisations, au nom du Ministère, dépend fortement de l’infrastructure et des solutions de TI fournies par SPC.
Gouvernance des services essentiels à la mission facilités par l’Environnement à forte résilience
Le Centre national des urgences environnementales, qui fait partie de la Direction générale de la protection de l’environnement, offre un soutien opérationnel 24 heures sur 24, 7 jours sur 7 pour les interventions en cas d’urgence environnementale. Pour assurer la continuité du service, il compte sur l’Environnement à forte résilience, une solution spécialisée d’infrastructure sous forme de service fournie par SPC. ECCC est l’un des cinq ministères participant à cette plateforme, dont la coordination est assurée par le Centre national des urgences environnementales et pour laquelle le Ministère a engagé environ 250 000 $ sur 3 exercices financiers. La surveillance stratégique de la plateforme est assurée par un comité directeur interministériel, présidé par le ministère responsable.
Dans le cadre de cet arrangement, le ministère responsable a conclu deux ententes de service avec SPC, une pour la bande passante Internet et l’autre pour l’espace de bâti du centre de données, au nom de tous les ministères participants. ECCC ne figure pas sur la liste des clients directs au titre de ces ententes, et l’arrangement n’est pas pris en compte dans le répertoire des ententes de service ou les mécanismes de coordination connexes de la DGSN. Au moment de l’audit, la DGSN ne participait pas directement à la gestion de la relation avec SPC et les entrevues ont indiqué que le Centre interagissait avec SPC par des voies informelles pour répondre aux besoins opérationnels.
Bien que cette approche ait permis de répondre aux exigences opérationnelles, elle soulève également un problème plus vaste lié à la visibilité organisationnelle à l’égard des services qui dépendent de l’infrastructure externe. Sans une vision claire des dépendances informatiques ou des mécanismes officiels d’escalade du Ministère, les responsables de la gouvernance peuvent être limités dans leur capacité à soutenir la planification de la continuité ou à aligner les arrangements opérationnels sur les priorités organisationnelles. À mesure qu’ECCC continue de renforcer sa gouvernance des services qui dépendent de SPC, le fait d’assurer une plus grande visibilité et une meilleure coordination de ces types d’arrangements pourrait contribuer à renforcer la reddition de comptes et la résilience opérationnelle.
Gouvernance des services essentiels à la mission facilités par le CHP
Les services météorologiques, dirigés par le SMC, représentent l’une des opérations facilitées par les TI les plus complexes d’ECCC. Ces services – qui comprennent des prévisions météorologiques, des avertissements, des prévisions de la qualité de l’air et d’autres renseignements environnementaux – contribuent à la sécurité publique et nationale, à l’activité économique et à la prise de décisions partout au Canada. Ils reposent sur une chaîne de systèmes technologiques ultraspécialisés pour exécuter des modèles de prédiction, traiter d’énormes quantités de données et fournir des renseignements fiables aux Canadiens et aux partenaires du gouvernement – 24 heures par jour, 7 jours par semaine.
Plusieurs équipes à ECCC – et ailleurs – contribuent à la prestation de ces services, qui dépendent du travail de plusieurs directions générales responsables de la conception, de la mise à l’essai, du déploiement et de l’exécution de centaines d’applications logicielles et de modèles. Ensemble, ces outils soutiennent la collecte, le traitement et la diffusion des données ainsi que l’infrastructure et les réseaux nécessaires à la poursuite ininterrompue des opérations.
Le Centre de prévision météorologique et environnementale du Canada du SMC et la Division des sciences atmosphériques de la Direction générale des sciences et de la technologie dirigent des activités de recherche-développement visant à améliorer les systèmes de prévision météorologique et environnementale. Une fois validés, ces systèmes sont transférés à la production, et le cycle de développement-opérations est géré au SMC.
La DGSN appuie le SMC par l’entremise de sa Division des applications des sciences appliquées, qui est responsable de la gestion et de l’entretien des systèmes logiciels spécialisés essentiels à la mission qui sont utilisés dans le traitement scientifique en temps réel : conception de l’architecture scientifique et développement de logiciels en temps réel, outils de gestion des données climatiques archivées, logiciel de traitement et de visualisation de données météorologiques et satellitaires, soutien des applications météo mobiles, coordination des exploitations des systèmes 24 heures par jour, 7 jours par semaine en collaboration avec SPC, etc. Ces services sont fournis selon les besoins du SMC, leur ordre de priorité est établi selon les ressources disponibles et la capacité interne, et ils font l’objet d’une entente de niveau de service entre la DGSN et le SMC.
Les produits de ce développement, qu’il s’agisse de modèles scientifiques, d’outils logiciels ou de pipelines de données, sont ensuite utilisés par d’autres équipes opérationnelles du SMC pour traiter et fournir des produits et services de prévision finale au public et à des clients spécialisés.
Les modèles de prévision sont exécutés sur la plateforme de CHP du gouvernement du Canada, qui comprend deux des superordinateurs les plus puissants au pays. SPC est responsable de la gestion de l’environnement global, y compris les systèmes de TI, les réseaux, les télécommunications et les intergiciels. Il fournit ces services par l’entremise d’une entente de service avec ECCC.
La plateforme de CHP elle-même est hébergée par un fournisseur tiers dans le cadre d’un contrat géré par SPC. Le fournisseur est responsable d’effectuer la mise à niveau de la technologie tous les 30 mois pour assurer un rendement et une capacité continus. Ces cycles de mise à niveau sont complexes et nécessitent une planification détaillée et une coordination entre SPC et ECCC en vue d’assurer la continuité des opérations.
Le modèle de service sur lequel reposent ces opérations essentielles à la mission a considérablement évolué au fil du temps. Par le passé, le SMC gérait à la fois les systèmes scientifiques et une grande partie de l’infrastructure de soutien à l’interne. La création de SPC en 2011 a marqué un virage vers un modèle centralisé pour les services d’infrastructure, avec le transfert du personnel clé et de l’infrastructure de CHP du SMC à SPC.
La continuité des opérations a été maintenue au cours de cette transition, en partie grâce aux relations de longue date entre les équipes techniques et à leur regroupement physique. Toutefois, au fil du temps, le paysage a considérablement évolué; des changements structurels, la perte de connaissances institutionnelles et la transition de la main-d’œuvre, la transformation générale de la fonction publique et du paysage numérique fédéraux ainsi qu’un changement des priorités et de la vision stratégiques vers une vision à l’échelle de l’entreprise des services et du numérique ont rendu ce modèle de plus en plus complexe et difficile à gérer selon les hypothèses de départ.
Des éléments nouveaux en matière de politique, comme l’Ambition numérique du gouvernement du Canada et la Politique sur les services et le numérique, ont établi de nouvelles attentes à l’égard de l’intégration des services, de la responsabilisation organisationnelle et de la désignation de fonctionnaires du Ministère responsables de la surveillance numérique. À ECCC, cela s’est traduit par la création de la DGSN et la désignation officielle de la dirigeante principale des services et du numérique, dont le mandat englobe la gouvernance des TI et la gestion des services, et qui relève directement du sous-ministre.
Parallèlement, la stratégie SPC 3.0 : Une approche d’entreprise vise une transformation plus poussée de l’infrastructure existante pour réaliser les priorités numériques de l’ensemble du gouvernement. Bien qu’ECCC demeure le client principal de la solution de calcul de haute performance, l’infrastructure est maintenant considérée comme un bien d’entreprise du gouvernement du Canada, géré par SPC. Séparer ainsi le contrôle opérationnel de la reddition de comptes à l’égard des services pose un certain risque qui n’est pas entièrement pris en compte dans les outils de gouvernance actuels et qui pourrait augmenter à mesure que la transformation numérique s’accélère et que les dépendances s’accentuent.
Les initiatives dirigées par SPC, comme la consolidation du centre de données d’entreprise et la normalisation de l’infrastructure, entraînent des répercussions en aval sur les opérations de CHP. Si ces projets soutiennent les objectifs numériques à long terme de SPC et du gouvernement du Canada quant à l’accessibilité, à la disponibilité, à la capacité et à la prévisibilité, ils ont également introduit des défis opérationnels à court terme pour ECCC. Parmi ceux-ci figurent la migration des anciens systèmes, des charges de travail imprévues pour le personnel d’ECCC au moment de contribuer aux projets dirigés par SPC, et des pannes de service qui ont affecté la continuité des opérations. Ces défis soulignent la nécessité de mettre en place des mécanismes de gouvernance qui permettent de gérer les dépendances interministérielles et les risques liés aux services partagés.
Nous avons constaté qu’ECCC a mis en place diverses structures de gouvernance visant à gérer sa relation avec SPC et à soutenir la planification et la continuité des opérations, largement établies ou dirigées par le SMC. Les représentants de la DGSN ont participé à ces structures et contribuent aux processus d’examen au niveau de l’entreprise, effectués notamment par le Conseil d’examen de l’architecture intégrée du gouvernement du Canada :
Gouvernance pour le renouvellement de la solution de CHP
Le contrat avec le fournisseur tiers vient à échéance en 2028. SPC et ECCC travaillent sur le projet de remplacement de la solution de CHP, afin de renforcer la capacité de l’infrastructure actuelle, ainsi qu’à la conclusion d’un nouveau contrat de fournisseur de services d’hébergement. Le remplacement de la solution de CHP repose sur un modèle de gouvernance par comité interministériel à plusieurs niveaux dont voici les principaux organes mis en œuvre dans deux domaines distincts (obtention du financement pour la prochaine solution HPC et acquisition de la solution de remplacement) :
- un comité de direction au niveau des SMA (coprésidé par ECCC et SPC);
- un comité directeur au niveau des DG (appuyant le comité de direction);
- des groupes de travail (axés sur les projets des comités de direction et au niveau des directeurs et sur ceux de divers groupes de travail de soutien).
Ces mécanismes de gouvernance visent à préciser les exigences et les options en matière de CHP, soutenir l’examen indépendant par un tiers et à élaborer une proposition indiquant clairement les exigences, les options et les coûts en vue d’obtenir un niveau de financement suffisant, une source de fonds et des autorisations de financement.
Gouvernance liée à l’utilisation non essentielle à la mission de ressources de CHP
L’infrastructure de CHP comprend un environnement qui soutient les activités scientifiques non essentielles à la mission. Le comité consultatif de gestion du CHP gère l’allocation des ressources de CHP à divers intervenants (ces ressources sont utilisées par plusieurs ministères autres qu’ECCC) et établit l’ordre de priorité des charges de travail en fonction des exigences opérationnelles continues et des priorités ministérielles. Essentiellement, les experts d’ECCC qui utilisent le CHP pour des activités essentielles à la mission gèrent aussi l’allocation des ressources de CHP pour les activités non essentielles à la mission, et établissent l’ordre de priorité à cet égard.
Gouvernance liée à la planification et aux opérations en matière de GI-TI du SMC
Plusieurs organes de gouvernance existent pour gérer la planification et les opérations en matière de GI-TI au SMC, et ils ont été mis à jour par suite d’un examen de la gouvernance de la GI-TI du SMC en 2024. Il s’agit notamment du Comité des DG sur les opérations de GI-TI du SMC, du Conseil d’approbation des changements du SMC, de souscomités des directeurs et d’autres mécanismes au niveau opérationnel.
Un comité directeur du système de gestion de la qualité (SGQ) est également en place et a pour mandat de fournir une surveillance et une orientation par la haute direction pour maintenir et renforcer le SGQ. Il est présidé par le SMA du SMC et se compose notamment de tous les DG du SMC, de la dirigeante principale des services et du numérique, et du directeur du CHP de SPC.
Processus du SGQ et ententes sur les niveaux de service. Les processus opérationnels liés aux services météorologiques facilités par les TI et les contrôles connexes, comme les rôles et responsabilités de tous les intervenants, sont documentés, suivis et surveillés dans le cadre du système de gestion de la qualité du SMC. Les services de CHP fournis par SPC sont officialisés dans une entente de service entre SPC et ECCC. Les services fournis par la DGSN sont décrits dans une entente de service entre la DGSN et le SMC.
Défis et opportunités d’amélioration
L’audit a permis de cerner plusieurs défis et opportunités d’amélioration liées à la gouvernance actuelle des services essentiels à la mission facilités par le CHP.
Ces outils de gouvernance fondamentaux, conçus à l’origine en fonction du modèle de ‘l’entreprise du SMC’, reflètent une structure dans laquelle le SMC occupe le centre de la prestation des services, où d’autres acteurs clés comme SPC et les partenaires internes d’ECCC jouent le rôle d’entités de soutien ou habilitantes. Cette structure reflète la réalité opérationnelle et la complexité du mandat du SMC. Cependant, la conception de ces mécanismes de gouvernance n’a pas été entièrement adaptée en fonction du passage aux structures organisationnelles du Ministère et du gouvernement du Canada. Comme il est énoncé dans la Politique sur les services et le numérique et les priorités fédérales connexes, la prestation de services est de plus en plus régie par des responsabilités partagées et une surveillance intégrée.
L’entente de service entre ECCC et SPC n’a pas été mise à jour depuis 2015, et des processus clés du SGQ – comme ceux liés à la gestion des incidents – n’ont pas été revus pour tenir compte des rôles et responsabilités actuels de tous les intervenants. Un examen des procès-verbaux et des documents de réunion des divers comités semble indiquer que des efforts ont été déployés pour intégrer la DGSN dans la structure dirigée par le SMC. Toutefois, la valeur pratique et la pertinence de la participation de la DGSN n’est toujours pas claire.
Les documents de gouvernance et les dossiers des comités ne reflètent pas pleinement la relation en évolution entre la dirigeante principale des services et du numérique – désignée comme la responsable de la fonction de la gestion des services du Ministère – et la SMA responsable du SMC, qui agit à titre de propriétaire des services pour les opérations liées à la météo. La façon dont ces deux rôles s’arriment dans le contexte de la modernisation numérique n’a pas encore été clairement définie.
Les processus de recherche et d’innovation du SMC et de la Direction générale des sciences et de la technologie comprennent des exécutions expérimentales ou parallèles de systèmes de modélisation nouveaux ou mis à niveau, qui sont ensuite transférés à la production après validation interne au moyen du SGQ. Ces activités sont menées de façon indépendante au sein du SMC et ne sont pas intégrées dans les mécanismes plus généraux de surveillance ministérielle. Cela souligne la nécessité de s’assurer qu’un cadre solide est en place pour atténuer les risques liés à la cybersécurité et de s’assurer que des contrôles appropriés sont appliqués conformément à la Politique sur les services et le numérique, qui attribue la responsabilité des TI et de la cybersécurité ministérielles au DPI et à l’agent désigné pour la cybersécurité à la DGSN.
En ce qui concerne les interactions avec SPC, il existe de nombreux points de contact officiels et informels entre SPC, la DGSN et le SMC, allant de fonctions de liaison structurées au sein de la DGSN à une collaboration technique et opérationnelle directe entre SPC et les équipes du SMC. Ces nombreuses voies reflètent la complexité du modèle actuel de prestation de services, mais soulèvent également des préoccupations quant à l’uniformité, à la reddition de comptes et à la coordination.
Les entrevues avec des intervenants de la DGSN et du SMC ont mis en évidence des défis à planifier de façon conjointe et à communiquer avec SPC et, de façon plus générale, la nécessité de clarifier les rôles et responsabilités au sein d’ECCC. De récents incidents liés à l’infrastructure et aux applications, qui ont affecté la continuité des opérations 24 heures sur 24, 7 jours sur 7, ont aussi mis en évidence ces difficultés. En réponse à cette situation, une équipe de gestion des incidents – réunissant le SPC, le SMC et la DGSN – a été mise sur pied en 2022 pour évaluer les vulnérabilités dans les services de TI essentiels à la mission. L’équipe a relevé un manque de clarté des processus d’escalade, des protocoles incomplets d’intervention en cas d’incident, ainsi que des lacunes dans la gouvernance opérationnelle.
Ensemble, ces constatations indiquent que le modèle de gouvernance est toujours en transition. Les activités de planification à long terme, comme le renouvellement de la solution de CHP, ont bénéficié d’une collaboration plus structurée et d’une participation accrue de la part de la DGSN. Cependant, la gouvernance qui soutient les opérations de TI continues n’a pas encore été entièrement adaptée au contexte opérationnel intégré et interdépendant du Ministère et aux risques émergents. Alors que le Ministère continue de s’adapter à la transformation numérique à l’échelle de l’entreprise et à l’évolution des attentes liées de la Politique sur les services et le numérique, il est nécessaire de clarifier les rôles de gouvernance et de renforcer les mécanismes de coordination pour assurer la continuité des services, la responsabilité et la préparation aux défis à venir.
Recommandation 3 : Dans le cadre de la transformation et de la maturation en cours de la Direction générale des services numériques, la SMA et dirigeante principale des services et du numérique de la DGSN, en collaboration avec la SMA du SMC et les autres intervenants concernés, devrait continuer à examiner et à renforcer les mécanismes de gouvernance à l’égard des services numériques essentiels à la mission qui dépendent de SPC en tenant compte du modèle de soutien en cours de mise en œuvre au sein de la Direction générale des services numériques. Cela comprend la clarification des rôles et des obligations de rendre compte internes en matière de surveillance des services, d’intervention en cas d’incident, de cybersécurité et de coordination avec SPC, en vue d’assurer l’harmonisation avec la Politique sur les services et le numérique et les stratégies numériques en évolution du gouvernement du Canada.
Réponse de la direction :
La SMA de la DGSN est en accord avec la recommandation.
La recommandation sera mise en œuvre par le biais d’un examen de tous les services essentiels à la mission, des solutions connexes, pour assurer une compréhension de leurs liens et de leur état de santé, et de l’élaboration d’un cadre d’intervention en cas d’incident, y compris les rôles et responsabilités détaillés (ou des changements aux responsabilités existantes) pour assurer la clarté de la coordination de la gestion des incidents entre le SMC, SPC et la DGSN.
3. Conclusion
L’audit a permis de constater qu’ECCC a pris des mesures concrètes pour moderniser son cadre de gouvernance des TI et s’aligner sur la Politique sur les services et le numérique du gouvernement du Canada. La création de la DGSN, la désignation de rôles clés de direction numérique et la mise en œuvre de mécanismes de planification représentent de réels progrès. Ces changements fondamentaux offrent l’occasion de progresser vers une surveillance plus intégrée, une responsabilisation plus claire et une harmonisation au niveau de l’entreprise.
En même temps, il existe encore des opportunités pour améliorer la gouvernance des TI à l’échelle du Ministère en remédiant aux mandats qui se chevauchent, une surveillance non uniforme et une visibilité limitée des opérations facilitées par les TI et des services qui dépendent de SPC. Ces domaines devraient être abordés pour renforcer la capacité d’ECCC à gérer les risques transversaux, soutenir la prise de décision en temps opportun et à veiller à ce que les investissements en TI et les opérations numériques soutiennent à la fois les objectifs ministériels et les priorités pangouvernementales.
La transformation numérique en cours au sein d’ECCC est importante parce qu’en regardant vers l’avenir, la capacité du Ministère à régir les services numériques déterminera de plus en plus sa capacité à réaliser son mandat et ses priorités. Les technologies émergentes comme l’IA, l’analytique avancée et les superordinateurs transforment la façon dont la science et les politiques interagissent, tandis que les changements mondiaux touchant la cybersécurité, la gouvernance des données et la souveraineté numérique soulèvent de nouvelles considérations en matière de risque, de conformité et de confiance. En tant que Ministère à vocation scientifique, ECCC est particulièrement bien placé pour jouer un rôle clé dans ces domaines. Pour y arriver, il faudra un cadre de gouvernance cohérent qui favorise l’innovation tout en assurant la sécurité, l’interopérabilité et la responsabilisation dans un écosystème numérique complexe.
Au fur et à mesure que la SMA, DGSN continue de se concentrer à renforcer la coordination, à clarifier la responsabilisation et à renforcer la surveillance à l’échelle de l’entreprise, ces domaines aideront ECCC à naviguer à travers ce paysage en évolution avec souplesse et dans une perspective à long terme – particulièrement dans un contexte de pressions budgétaires, d’interdépendances croissantes dans la prestation des services, et de la nécessite d’assurer un accès résilient aux données essentielles et à l’infrastructure numérique dans un contexte géopolitique changeant.
4. Annexe A – Critères d’audit
- Des structures de gouvernance sont en place, sont documentées et fonctionnent efficacement pour éclairer la prise de décisions et soutenir la surveillance et la responsabilisation à l’égard des activités liées aux TI.
- Les rôles, les responsabilités et la responsabilisation en matière de gouvernance des TI à l’échelle du Ministère sont clairement définis, communiqués et compris.
- Un cadre est en place pour permettre de gérer efficacement la relation avec SPC au niveau de l’entreprise.