Audit de la gestion de l'information

Juillet 2022

1259-3-0067 - SMA(Svcs Ex)

Revu par le SMA(Svcs Ex) conformément à la Loi sur l’accès à l’information. Renseignements retenus conformément à l’article 16(2)(c), 19(1), 21(1)(a), 21(1)(d).

Sigles

CT
Conseil du Trésor
DCGI
Directeur — Connaissances et gestion de l’information
Dir Sécur GI
Directeur — Sécurité de la gestion de l’information
DOAD
Directives et ordonnances administratives de la Défense
DPI
Dirigeant principal de l’information
FAC
Forces armées canadiennes
GI
Gestion de l’information
MDN
Ministère de la Défense nationale
N1
Niveau 1
NSTI
Norme de sécurité relative aux technologies de l’information
ODSDN
Ordonnances et directives de sécurité de la Défense nationale
OGI
Officier de gestion de l’information
OSSI
Officier de la sécurité des systèmes d’information
PSE
Politique de défense du Canada : Protection, Sécurité, Engagement
RACI
Responsable, Agent comptable, Consulté, Informé
RED
Réseau étendu de la Défense
RRA
Responsabilisation, responsabilité et autorité
SCT
Secrétariat du Conseil du Trésor
SD
Définition standard
SDTI
Support de données amovible des technologies de l’information
SGDDI
Système de gestion des dossiers, des documents et de l’information
SMA(DIA)
Sous-ministre adjoint (Données, innovation et analytique)
SMA(GI)
Sous-ministre adjoint (Gestion de l’information)
SMA(Svcs Ex)
Sous-ministre adjoint (Services d’examen)
TI
Technologie de l’information
USB
Bus série universel

Retour à la table des matières


Sommaire

Aperçu général de la gestion de l’information

Le ministère de la Défense nationale et les Forces armées canadiennes (MDN/FAC) sont responsables de la gestion de grandes quantités d’informations pour soutenir la prestation de programmes et de services de base aux Canadiens. Une grande partie de ces informations sont classifiées ou protégées et doivent être gérées avec diligence. Les informations sont à la base de toutes les décisions opérationnelles et doivent être précises, accessibles et opportunes.

Le MDN a la responsabilité de s’assurer que le cycle de vie de la gestion de l’information est conforme aux exigences législatives pertinentes telles que la Politique sur les services et le numérique du Conseil du Trésor et la Loi sur la Bibliothèque et Archives du Canada.

Objectif et importance du projet

L’objectif de l’audit de la gestion de l’information (GI) était de déterminer si les activités de gestion et les structures de gouvernance actuelles soutiennent la gestion de l’information au sein du Ministère. Des informations supplémentaires sur l’audit et sa méthodologie figurent à l’annexe A.

L’information est le moteur de la prise de décision à tous les niveaux. Pour que l’Équipe de la Défense puisse remplir ses mandats opérationnels, ces informations doivent être gérées efficacement et être soutenues par un cadre de gouvernance solide. L’environnement de la GI de l’Équipe de la Défense est intrinsèquement complexe, avec de multiples dépôts d’informations et un large éventail d’intervenants qui créent et utilisent l’information. La complexité est encore accrue par le modèle fédéré de la GI, qui présente des défis uniques pour l’application d’approches et de pratiques de surveillance normalisées. L’intendance de la GI est la responsabilité de chaque employé du MDN et de chaque membre des FAC. Un cadre et une structure de gouvernance clairs sont donc essentiels afin de garantir que toutes les informations sont protégées et sécurisées, tout en restant accessibles en temps opportun.

Principales constatations

Une structure et un cadre de gouvernance de la GI sont en place et soutenus par des comités de gouvernance établis. La gouvernance pourrait être améliorée en clarifiant la responsabilisation, les responsabilités et les autorités (RRA) et en intégrant formellement la gestion des risques, y compris l’atténuation, pour soutenir la prise de décision. La structure de gouvernance de la GI au sein du MDN est actuellement en cours de révision.

La fonction d’officier de gestion de l’information (OGI) est un des principaux piliers qui soutiennent la mise en œuvre du cadre de la GI et qui relient le Sous-ministre adjoint (Gestion de l’information) (SMA[GI]) à tous les niveaux 1 (N1). Bien que tous les N1 disposent d’OGI proportionnellement à leur taille, leurs tâches varient. Ils peuvent avoir des rôles multiples et ne sont pas nécessairement exploités efficacement.

Des mécanismes de suivi et d’amélioration existent, mais la capacité à garantir la conformité et à combler les lacunes est limitée. Alors que l’importance de la gestion du changement est reconnue, avec des concepts de base incorporés dans les initiatives de GI, des travaux supplémentaires sont nécessaires afin d’améliorer le processus, y compris une formation répondant aux besoins des utilisateurs.

Un cadre est en place pour surveiller les infrastructures d’information à haut risque, telles que les clés USB (Bus série universel). |||| |||||| |||||||| |||||||||| |||| ||| ||||||||| ||| ||||||||||| |||||||||||| |||||||||||||||||||. Étant donné que tout outil de partage d’informations (par exemple, papier, courriels ou lecteurs communs) comporte un risque inhérent d’atteintes à la sécurité ou de fuites accidentelles ou intentionnelles, un équilibre est nécessaire dans le but de prévenir, de surveiller et d’atténuer le risque tout en soutenant le partage et le transfert d’informations en fonction des besoins opérationnels.

Conclusion générale

La conception de la structure de gouvernance de la GI du MDN et les principales activités de gestion de la GI appuient les priorités et les objectifs du Ministère en matière de GI et sont conformes aux exigences législatives prescrites. Il est possible d’améliorer l’efficacité de la structure de gouvernance et des principales composantes de la mise en œuvre du cadre, ainsi que d’améliorer les mécanismes de transfert, de partage et de suivi des informations.

Retour à la table des matières


Constatations et considérations

Tableau 1. Sommaire – Constatations et considérations

CONSTATATIONS CONSIDÉRATIONS

Gouvernance de la GI et mise en œuvre du cadre

Le MDN dispose d’une structure et d’un cadre de gouvernance de la GI bien établi. La façon dont les RRA sont documentées est fragmentée. La gestion des risques n’est pas formellement intégrée dans les processus de gouvernance.

C1. Une actualisation de la structure de gouvernance de la GI existante, dirigée par le SMA(GI) en collaboration avec le Sous-ministre adjoint (Données, innovation et analytique) (SMA[DIA]) est en cours. Cela contribuera à la réalisation des objectifs du programme ministériel de la GI et à la prise de décision. Dans le cadre de cette actualisation, le SMA(GI) devrait également examiner les possibilités de consolider les RRA et de formaliser la gestion des risques et les rapports.

Suivi et gestion du changement

Il existe des mécanismes de suivi pour évaluer la mise en œuvre du cadre de la GI, mais la capacité d’analyser les résultats et de faire des progrès substantiels est limitée. Bien que les composantes de la gestion du changement et de la formation existent, elles ne sont pas bien établies pour assurer le succès des nouvelles initiatives de GI.

C2. Afin de favoriser la mise en œuvre réussie des futures initiatives de GI dans l’ensemble du Ministère, le SMA(GI) devrait envisager :

  • Continuer à tirer profit des résultats du bilan de santé pour définir les possibilités d’amélioration continue;
  • Élaborer et mettre en œuvre un processus générique de gestion du changement dont tous les N1 pourront tirer profit;
  • Établir un plan de formation basé sur une analyse de l’efficacité et des besoins en formation.

Étude de cas : Suivi et surveillance des activités à haut risque

Des protocoles de partage et de transfert d’informations sont établis.

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

||||||||||||||||.

C3. Afin d’atténuer les risques liés à la sécurité de l’information tout en répondant aux besoins opérationnels, le SMA(GI) devrait envisager :

  • Consulter tous les N1 pour établir les exigences en matière de partage et de transfert d’informations internes et externes;
  • Élaborer et mettre en œuvre un processus permettant le partage, le transfert et le suivi de l’information en temps opportun;
  • Examiner, à travers des initiatives de modernisation en cours, les capacités de surveillance et de contrôles automatisés tout en mettant en œuvre de nouveaux outils de GI.
Sommaire du tableau 1

Le tableau 1 contient le résumé de l’audit, notamment les principales constatations et considérations résultant de l’audit.

Le tableau contient deux colonnes et quatre rangées y compris les titres. La colonne de gauche contient les principales constatations de l’audit et la colonne de droite contient les considérations relatives aux conclusions de l’audit.

La première rangée contient les titres des colonnes. La deuxième rangée contient les principales constatations et considérations relatives à la gouvernance de l’information et à la mise en œuvre du cadre. La troisième rangée contient les principales constatations et considérations relatives au suivi et à la gestion du changement. La quatrième rangée contient les principales constatations et considérations relatives à l’étude de cas sur le suivi et la surveillance des activités à haut risque.

Retour à la table des matières


Contexte

Principaux intervenants : Rôles et responsabilités

Tableau 2. Principaux intervenants : Rôles et responsabilités.

Intervenants Rôles et responsabilités

Sous-ministre adjoint (Gestion de l’information) (SMA[GI])

Le SMA(GI), à titre d’officier principal de l’information de la Défense, exerce une autorité fonctionnelle sur la GI, la gestion des technologies de l’information (TI), la terminologie de la défense, la sécurité des TI, la sécurité des communications et la sécurité de l’information. Notre mission consiste à fournir des capacités d’information en temps opportun, fiables et sécurisées pour contribuer au succès de l’Équipe de la Défense.

Directeur — Connaissance et gestion de l’information (DCGI)

Le DCGI est chargé de surveiller le programme de la GI du MDN et des FAC et de fournir des conseils et des services en matière de GI, dans le but de gérer l’information en tant que ressource stratégique. Le DCGI assure la gouvernance, les services et l’innovation relatifs à l’information stratégique, et facilite ainsi la gestion de l’information dans l’ensemble du MDN et des FAC, sans égard au support ou au format, ce qui appuie les processus opérationnels et la prise de décisions.

Directeur — Sécurité (Gestion de l’information) (Dir Sécur GI)

Le Dir Sécur GI supervise les TI et la sécurité de l’information au MDN et aux FAC. Il soutient et conseille sur l’efficacité des mesures d’atténuation des risques en matière de sécurité des TI au moyen des programmes Évaluation de la sécurité et d’autorisation, Surveillance et conformité, et Sécurité de l’information industrielle.

Sous-ministre adjoint (Données, innovation et analytique) (SMA[DIA])

Le SMA(DIA), dans le rôle de directeur des données, fournit au MDN et aux FAC l’expertise nécessaire pour améliorer les capacités du ministère en matière de données et d’analyse, et pour fournir un soutien à l’innovation opérationnelle. La Stratégie relative aux données du MDN et des FAC offre un guide aux fonctionnaires et aux militaires afin qu’ils puissent tirer profit des données dans tous les aspects des programmes de la Défense. Cela améliorera ainsi nos capacités et notre production de rapports, et fournira un avantage en matière d’information à nos forces armées.

Officier de gestion de l’information (OGI)

Les OGI sont des spécialistes fonctionnels de la GI. Ils assurent la liaison entre leur N1 et le SMA(GI). Ils sont également des conseillers de la haute direction de leur N1 en fournissant des orientations sur les processus et les systèmes de GI. De plus, les OGI sont responsables de la création et de la mise à jour du plan de GI de leur N1 ainsi que des demandes de suivi annuel du SMA(GI).

Conseil du Trésor (CT) Bibliothèque et Archives Canada

Le CT est la principale autorité en matière de politiques pour la Politique sur les services et le numérique du gouvernement du Canada, et toute politique ou orientation interne doit s’harmoniser sur les directives et les guides du CT qui sont promulgués par le Secrétariat du Conseil du Trésor (SCT).

Bibliothèque et Archives Canada assure un leadership dans la communauté de la GI du gouvernement du Canada en élaborant et en fournissant des normes, des outils, des pratiques exemplaires, des conseils, des directives et des services.

Sommaire du tableau 2

Le tableau 2 détaille les principaux intervenants ainsi que leurs rôles et responsabilités en ce qui concerne la gestion de l’information au sein du MDN.

Il comporte deux colonnes et sept rangées y compris les titres. La colonne de gauche est intitulée Intervenants. La colonne de droite est intitulée Rôles et responsabilités.

Il faut lire le tableau de gauche à droite pour connaître les intervenants et leurs rôles et responsabilités. Les intervenants suivants sont ensuite détaillés individuellement dans chaque rangée du tableau, en commençant par le Sous-ministre adjoint (Gestion de l’information), le Directeur – Gestion du savoir et de l’information, le Directeur – Sécurité de la gestion de l’information, le Sous-ministre adjoint (Données, innovation et analytique), les officiers de gestion de l’information, et la dernière rangée décrivant les rôles et responsabilités du Conseil du Trésor et de Bibliothèque et Archives Canada ensemble.

Retour à la table des matières


Gestion de l’information –Concepts clés

En avril 2020, le SCT a apporté des changements majeurs à la politique de GI du gouvernement du Canada en publiant une nouvelle politique et une nouvelle directive régissant la GI. La nouvelle politique a remplacé plusieurs politiques existantes, ce qui a amené le MDN à travailler à la mise à jour des Directives et ordonnances administratives de la Défense (DOAD) afin de refléter ces changements. La nouvelle politique sur le service et le numérique met l’accent sur le client, en assurant une prise en compte proactive, à l’étape de la conception, des exigences de ces fonctions dans l’élaboration des activités et des services. Elle établit une approche intégrée de la gouvernance, de la planification et de la gestion à l’échelle de l’entreprise, y compris l’intégration de services tels que la prestation de services, l’information et les données, la technologie de l’information et la cybersécurité à l’ère numérique.

Le SCT définit la GI comme une discipline au sein d’un organisme qui guide et soutient une gestion efficace de l’information, de la planification et de l’élaboration des systèmes à l’élimination ou à la conservation de l’information à long terme (Figure 1). La gestion des données concerne l’élaboration, l’exécution et la supervision des plans, politiques, programmes et pratiques qui fournissent, contrôlent, protègent, assurent et renforcent la valeur des ressources de données. Des informations fiables pour la prise de décision dépendent de données précises, opportunes et accessibles.

La GI est donc essentielle à tous les aspects des activités du Ministère en ce sens qu’elle appuie la prise de décisions éclairées, la prestation efficiente et efficace des services et la collaboration entre les organismes, et elle est vitale pour l’atteinte des objectifs du Ministère (Figure 2)

Figure 1
Figure 1. Gestion du cycle de vie de l’information
Résumé de la figure 1

Comment l’intelligence opérationnelle, l’information et les données sont liées

Figure 1
Figure 2. Comment l’intelligence opérationnelle, l’information et les données sont liées
Résumé de la figure 2

Systèmes d’information d’archivage

Le MDN dispose de plusieurs dépôts ministériels d’informations et a lancé un certain nombre d’initiatives organisationnelles clés en cours pour les rationaliser. La liste des dépôts ministériels approuvés pour le MDN comprend : GCDocs, le Système de gestion des dossiers, des documents et de l’information (SGDDI), les disques partagés, SharePoint, Microsoft 365, les lecteurs personnels des employés, ainsi que les systèmes d’information sécurisés. Le MDN dispose également d’une quantité importante d’informations stockées en dehors des dépôts ministériels approuvés dans des endroits tels que Microsoft Outlook, les ordinateurs de bureau des employés et divers supports de données amovible de technologie de l’information (SDTI), ainsi que des documents sur papier.

Programme de GI de la défense et des intervenants

Le Programme de GI du MDN est dirigé par le SMA(GI), à titre de DPI du MDN et des FAC, et est appliqué par les organisations de N1 dans l’ensemble de l’Équipe de la Défense. Bien que le SMA(GI) soit l’autorité fonctionnelle et qu’il ait la responsabilité première de fournir une orientation, des procédures et des outils organisationnels en matière de GI, il compte sur les N1 pour élaborer et mettre en œuvre des plans et des activités de GI dans leurs secteurs opérationnels. Bien que la portée de cet audit ait été axée sur le rôle du SMA(GI) en matière de GI au sein du MDN et des FAC, le SMA(GI) ne peut réussir à exécuter, à surveiller et à déployer des initiatives de GI sans la coopération et la collaboration d’autres groupes au sein de l’Équipe de la Défense. La figure 3 donne un aperçu des principaux intervenants du programme de GI. Les facteurs stratégiques définissent les politiques, l’orientation des enjeux et les conditions qui façonnent directement ou indirectement les capacités d’information. Les fournisseurs de services établissent, conçoivent, construisent ou acquièrent et gèrent des capacités d’information, souvent dans le cadre de leurs activités plus larges pour accomplir les missions et les tâches qui leur sont assignées. Les utilisateurs finaux définissent les besoins et produisent, diffusent et consomment l’information en tant qu’élément fondamental de la mission ou du rôle qui leur est assigné. Cela illustre la complexité inhérente à l’harmonisation des RRA.

Les deux documents de base qui exposent les principes et l’approche du MDN en matière de GI sont la Stratégie d’information de la Défense 2019 et le Plan de gestion de l’information de la Défense 2019-2022. La stratégie est conforme à la politique du gouvernement du Canada et à la politique de défense du Canada : Protection, Sécurité, Engagement (PSE). Elle définit les priorités et les objectifs stratégiques, les approches et les ressources permettant de fournir des capacités d’information afin d’obtenir un avantage stratégique, opérationnel et tactique pour le MDN et les FAC. De plus, elle est harmonisée avec le plan et les normes numériques du gouvernement du Canada. Le plan de la GI établit « une feuille de route pour la façon dont le MDN et les FAC exploitent l’information et les données à l’appui d’une prise de décision opportune, efficiente et efficace dans les activités et les opérations », au moyen de six objectifs et des activités et indicateurs de rendement correspondants. Ces objectifs sont :

  1. Renforcer le Programme de GI de la défense;
  2. Services de GI développés;
  3. Élaborer et mettre en œuvre des rapports normalisés de GI pour le MDN et les FAC;
  4. Conduire la numérisation du MDN et des FAC;
  5. Accroître la participation à l’initiative du gouvernement ouvert;
  6. Mettre en place l’apprentissage et le perfectionnement professionnel en GI.

En fin de compte, le niveau de maturité idéal pour l’Équipe de la Défense est défini comme le fait de disposer des bonnes informations au bon moment et de les fournir aux bonnes personnes, ce que le programme de GI s’efforce d’atteindre.

Figure 3
Figure 3. Carte des intervenants du programme d’information
Source : SMA(GI)
Résumé de la figure 3

Retour à la table des matières


Principaux thèmes

Les principales constatations ont été alignées sur trois thèmes, comme suit :

  1. Gouvernance de la GI et mise en œuvre du cadre
  2. Suivi et gestion du changement
  3. Étude de cas : Suivi et surveillance des activités à haut risque

Gouvernance de la GI et mise en oeuvre du cadre

CONSTATATION 1 : Le MDN dispose d’une structure et d’un cadre de gouvernance de la GI bien établi. La façon dont les RRA sont documentées est fragmentée. La gestion des risques n’est pas formellement intégrée dans les processus de gouvernance.

Pourquoi est-ce important

Un cadre de gouvernance de la GI efficace et pleinement mis en œuvre est essentiel pour réaliser le programme de GI tout en aidant les N1 à assumer leurs responsabilités en matière de GI. Il permettrait au MDN et aux FAC de gérer l’information, tout au long de son cycle de vie, comme un atout précieux et une ressource stratégique afin d’appuyer les résultats des programmes et des services et de satisfaire aux besoins opérationnels et aux obligations de rendre des comptes. Des RRA clairement définies, ainsi que des comités de gouvernance efficaces, permettent une prise de décision transparente et fondée sur les risques. Ceux-ci sont essentiels pour atteindre la maturité de la GI pour l’Équipe de la Défense. Un cadre de GI efficace permet également de s’assurer que le MDN et les FAC sont conformes aux principales exigences législatives et soutiennent les rapports destinés aux intervenants internes et externes.

Ce que nous avons constaté

Le Ministère a mis en place un cadre de gestion de l’information qui comprend les DOAD, les ordonnances et directives de sécurité de la Défense nationale (ODSDN), la Stratégie d’information de la Défense et le Plan de gestion de l’information de la Défense. Le cadre de la GI a été jugé conforme à la Politique et la directive sur les services et le numérique du CT en ce qui concerne les éléments clés, notamment la protection des renseignements personnels, la sécurité et la conservation adéquate de l’information.

Le cadre de gouvernance comprend des conseils et des comités de gouvernance de la GI qui fournissent une orientation à l’Équipe de la Défense et supervisent les initiatives liées à la GI. Les trois principaux organes de gouvernance de la GI au sein du MDN et des FAC sont le Conseil de gestion de l’information, le Groupe de travail sur le programme d’information et le Conseil de développement des capacités de GI et de TI, principalement dirigés par le SMA(GI) en tant qu’autorité fonctionnelle. Il a été noté que deux des trois comités ne fonctionnaient pas pleinement comme prévu dans leur mandat, ce qui signifie que les questions de GI ne reçoivent peut-être pas le niveau de priorité et d’attention requis. Par exemple, le nombre de réunions par an n’a pas été respecté; les comptes rendus de décision n’ont pas été préparés et mis à disposition de manière cohérente; la présence des membres du conseil d’administration était irrégulière ou les représentants n’étaient pas au niveau approprié pour contribuer.

Bien que les risques aient été abordés à l’occasion, rien n’indique clairement que les risques sont gérés ou signalés au-delà de la réunion du comité. La gestion des risques n’est pas explicitement incluse dans le mandat des comités. Faute de prise en compte des risques dans la structure de gouvernance de la GI, ceux-ci pourraient ne pas être détectés, transmis au bon niveau et atténués, ce qui pourrait influer sur la prise de décision.

Le MDN et les FAC ont documenté des RRA qui soutiennent les structures de gouvernance de la GI et comprennent des descriptions pour l’administrateur général, le DPI, les N1, les OGI, les gestionnaires et les commandants divisionnaires, les employés et les membres des FAC. Bien qu’aucun chevauchement ou double emploi n’ait été constaté, les RRA sont documentées dans de multiples politiques internes et externes, ce qui rend difficile l’identification rapide des RRA pertinentes. Pour une initiative ou un projet donné du MDN, il peut y avoir plusieurs propriétaires d’entreprise, autorités techniques, autorités contractantes, autorités de projet ou approbateurs de sécurité résidant dans divers N1. La responsabilité de la composante de GI devient rapidement un défi dans ce paysage complexe. Un défaut de responsabilité claire peut entraîner des lacunes ou une duplication des efforts. Un tableau RACI (Responsable, Agent comptable, Consulté, Informé) est une pratique exemplaire qui peut fournir un enregistrement centralisé des RRA.

Le rôle de l’OGI est important au sein de chaque N1, car il s’agit de spécialistes fonctionnels de la GI. Ils assurent la liaison entre leur N1 et le SMA(GI). Ils sont également des conseillers de la haute direction de leur N1 en fournissant des orientations sur les processus et les systèmes de GI. Ils sont essentiels à la mise en œuvre du programme et de la politique de la GI au sein de chaque N1. De plus, les OGI sont responsables de la création et de la mise à jour du plan de GI de leur N1 ainsi que des demandes de suivi annuel du SMA(GI). Le plan de GI de l’Équipe de la Défense a pour objectif d’avoir au moins un OGI au sein de chaque N1. Bien que la plupart des N1 disposent d’un OGI conformément aux exigences de la politique, leurs fonctions ne sont pas toujours bien définies ni appliquées de manière cohérente dans les N1. Par ailleurs, le rôle de l’OGI peut être une tâche secondaire et être attribué par rotation. De ce fait, la qualité des plans de GI de niveau 1 n’est pas uniforme, ne comprend pas toujours des objectifs ou des échéances mesurables et n’est souvent pas contrôlée.

Bien que le MDN ait établi de nombreux éléments clés d’un cadre, le niveau actuel de priorisation de la GI n’est pas suffisant pour atteindre le niveau de maturité recherché en matière de GI. Par conséquent, le MDN et les FAC peuvent être moins stratégiques pour répondre aux exigences et aux demandes de rapports d’information, comme les demandes d’accès à l’information et de protection des renseignements personnels ou les exigences législatives en matière de rapports. La nouvelle politique prévoit que les organisations intègrent la prestation de services, l’information et les données, la technologie de l’information et la cybersécurité dans toute initiative, ce qui nécessitera des RRA claires et une collaboration efficace.

Le groupe de planification de la gestion de l’information de la Défense a reconnu la nécessité de mettre à jour la structure de gouvernance actuelle de la GI au sein du MDN et des FAC, car il est admis qu’elle ne fonctionne pas comme prévu. La structure et les processus de gouvernance existants sont en cours d’évaluation afin de déterminer comment ils peuvent soutenir au mieux les rôles et responsabilités du SMA(GI) en tant que DPI pour évaluer, diriger et contrôler la performance du programme de GI.

Recommandation du SMA(Svcs Ex)

1. Une actualisation de la structure de gouvernance de la GI existante, dirigée par le SMA(GI) en collaboration avec le SMA(DIA) est en cours. Cela contribuera à la réalisation des objectifs du programme ministériel de la GI et à la prise de décision. Dans le cadre de cette actualisation, le SMA(GI) devrait également examiner les possibilités de consolider les RRA et de formaliser la gestion des risques et les rapports.

Retour à la table des matières


Suivi et gestion du changement

CONSTATATION 2 : Il existe des mécanismes de suivi pour évaluer la mise en œuvre du cadre de la GI, mais la capacité d’analyser les résultats et d’apporter des améliorations substantielles est limitée. Bien que les composantes de la gestion du changement et de la formation existent, elles ne sont pas bien établies pour assurer le succès des nouvelles initiatives de GI.

Pourquoi est-ce important

Un suivi est nécessaire pour définir les domaines à améliorer et évaluer la conformité. Il s’agit également d’un outil essentiel pour soutenir la prise de décision et identifier les risques émergents. Enfin, le suivi permet au Ministère de recueillir des informations visant à évaluer la maturité de la GI et la réalisation des objectifs du programme de GI.

L’ère numérique exige des mises à niveau constantes pour gérer la grande quantité d’informations traitées dans un grand ministère comme le MDN et les FAC. Par conséquent, la gestion du changement est nécessaire dans le contexte de la GI lorsqu’une nouvelle initiative de GI est mise en œuvre, par exemple pour soutenir l’organisation et les utilisateurs dans leur transition. Même une initiative très bien gérée peut échouer si l’organisation n’est pas prête à l’adopter. Une gestion efficace du changement est un élément clé de la réussite d’une grande organisation telle que l’Équipe de la Défense, soutenue par un plan de formation solide pour permettre au changement d’être soutenu dans toute l’organisation.

Ce que nous avons constaté

Le plan de GI de la Défense a été publié en avril 2019 et couvre la période de 2019 à 2022, la prochaine version étant prévue pour avril 2022. Le plan de GI comporte six objectifs qui appuient les objectifs énoncés dans la Stratégie d’information de la Défense et qui, en fin de compte, soutiennent la PSE. Chaque objectif comporte des activités et des indicateurs de rendement avec des délais et est utilisé pour établir le bilan de santé annuel du SMA(GI). Le bilan de santé de la GI, introduit en 2019, constitue la principale initiative de surveillance conçue pour évaluer l’état de mise en œuvre et l’application du cadre de la GI dans l’ensemble de l’Équipe de la Défense, et il est communiqué grâce au guide de planification fonctionnelle remis aux N1. Le guide comprend également les exigences pour les N1 de soumettre ou de mettre à jour un plan de GI et de soumettre des mesures pour le bilan de santé de la GI. Le processus repose en partie sur l’autodéclaration des NI et le SMA(GI) n’a souvent pas la capacité d’examiner et de fournir une rétroaction complète aux N1 sur la base de leurs soumissions. Le bilan de santé établit des mesures de rendement de la GI et recueille de l’information pour évaluer la maturité de la GI dans l’ensemble du MDN et des FAC. Il permet également d’établir des rapports en fonction des objectifs mesurables et des délais prévus dans le plan de GI. En plus de soutenir le plan et la stratégie de GI, le bilan de santé de la GI permet une amélioration continue tout en évaluant la maturité de la GI qui repose sur huit indicateurs clés, à savoir : la responsabilité, la transparence, l’intégrité, la protection, la conformité, la disponibilité, la conservation et la disposition. S’il a montré que la maturité s’était améliorée entre 2019 et 2020, celle-ci était limitée. Se reporter à l’annexe B pour voir le modèle de maturité.

Au-delà des bilans de santé qui assurent une surveillance de haut niveau en évaluant la maturité de la GI, l’analyse de la conformité de la GI est limitée et il y a peu de surveillance de l’utilisation quotidienne et des pratiques de gestion de la tenue des dossiers. De nombreuses pratiques reposent sur la connaissance et le respect des protocoles de GI par les utilisateurs. Il appartient en grande partie aux N1 de mettre en œuvre leurs propres pratiques de suivi. Pour continuer à travailler vers le niveau de maturité souhaité en matière de GI, le SMA(GI) pourrait devoir tirer profit de son rôle d’autorité fonctionnelle afin d’améliorer et de surveiller la conformité à la GI dans tous les N1.

La gestion du changement est un élément clé de la mise en œuvre réussie des initiatives de GI, et elle est intégrée aux piliers de la GI. La gestion du changement consiste, par définition, à influencer l’organisation pour qu’elle adopte efficacement de nouvelles initiatives. Bien que le SMA(GI) ait de nombreux services de GI à offrir pour répondre aux besoins de l’Équipe de la Défense en matière de GI, il doit faire face à des difficultés dans la mise en œuvre de ses initiatives en raison de la taille, de la complexité et du mandat du MDN et des FAC. Le manque de capacités, tant en matière de ressources humaines que de financement, a été souligné comme un facteur. De même, les N1 reconnaissent l’importance de la GI, mais se débattent avec des ressources et des priorités limitées afin de répondre à leurs propres besoins opérationnels. Une approche efficace de la gestion du changement ainsi qu’un processus de gestion du changement évolutif et reproductible permettraient de mieux soutenir le déploiement des initiatives de GI. Le SMA(GI) est en train de concevoir et de développer un processus et un plan de gestion du changement. Alors que le SMA(GI) continue de déployer des initiatives de base, comme l’amélioration d’Office 365 pour qu’il soit utilisé comme dépôt d’information centralisé, un processus efficace de gestion du changement sera essentiel.

Figure 1
Figure 4.1. La formation de tous les utilisateurs est-elle suffisante?
Résumé de la figure 4.1

La formation joue un rôle essentiel dans la gestion du changement, car elle permet aux utilisateurs des produits de la GI qui permettent d’adhérer aux nouveaux processus, outil ou système et d’en réaliser les avantages. Elle enseigne également aux utilisateurs comment utiliser correctement les nouveaux produits et contribue ainsi à garantir le respect des règles et des exigences de la GI.

Bien qu’il existe une série de formations en GI, telles que les multiples formations GCDocs requises avant l’accès à l’outil, il a été constaté que les OGI, les employés et les gestionnaires estiment que la formation actuelle en GI n’est pas suffisante pour répondre aux besoins opérationnels (Figure 4.1). La majorité des OGI et près de la moitié des utilisateurs généraux n’ont pas le sentiment d’avoir été suffisamment formés pour leur rôle (Figure 4.2). La formation à la GI est considérée comme accessible et communiquée, mais elle n’est pas toujours à jour et n’arrive pas toujours au bon moment. Il n’existe pas de plan ou de politique définissant les exigences en matière de révision et de mise à jour régulière de la formation et l’efficacité de la formation n’est pas mesurée. Par ailleurs, il n’y a pas d’obligation de formation continue ou cyclique de GI après l’intégration des nouveaux employés. Une analyse des lacunes en matière de formation est actuellement menée par le SMA(GI) en vue d’aider à améliorer la maturité de la GI. Le SMA(GI) est également en train d’élaborer un plan de formation en GI.

Figure 4.2
Figure 4.2. La formation des OGI est-elle suffisante?
Résumé de la figure 4.2

Recommandation du SMA(Svcs Ex)

2. Afin de favoriser la mise en œuvre réussie des futures initiatives de GI dans l’ensemble du Ministère, le SMA(GI) devrait envisager :

  • Continuer à tirer profit des résultats du bilan de santé pour définir les possibilités d’amélioration continue;
  • Élaborer et mettre en œuvre un processus générique de gestion du changement dont tous les N1 pourront tirer profit;
  • Établir un plan de formation basé sur une analyse de l’efficacité et des besoins en formation.

Retour à la table des matières


Étude de cas: Suivi et surveillance des activités à haut risque

Contexte

Le partage de fichiers ainsi que le transfert d’information entre les équipements, les réseaux et les ordinateurs, tant à l’intérieur qu’à l’extérieur, constituent une exigence opérationnelle pour le MDN et les FAC. L’un des risques les plus élevés associés au transfert d’informations à l’intérieur et à l’extérieur du réseau étendu de la Défense (RED) est l’utilisation de SDTI, notamment de clés USB. Des clés USB ont été sélectionnées pour une étude de cas afin d’examiner les pratiques de contrôle et de surveillance. Les principaux documents de politique et d’orientation relatifs à l’utilisation des SDTI comprennent les DOAD, les ODSDN, une norme de sécurité des TI pour les SDTI, ainsi que des FAQ récemment publiées concernant l’utilisation des USB. Ils comprennent notamment des exigences en matière de sécurité et de contrôle et un processus de gestion des incidents.

Pourquoi est-ce important

Le MDN et les FAC détiennent d’importants volumes d’informations qui peuvent être sensibles et, si elles sont divulguées ou partagées de manière inappropriée, elles pourraient avoir des répercussions sur des questions d’intérêt national et même influer sur nos relations avec nos alliés. La surveillance du partage et du transfert d’informations est donc essentielle afin de détecter les incidents et renforcer les contrôles si nécessaire. Bien qu’une clé USB soit rentable et pratique pour partager de l’information, trois risques principaux sont associés à l’utilisation des clés USB : l’accès ou l’utilisation non autorisés de l’information stockée sur le dispositif; l’introduction de logiciels malveillants dans les réseaux de TI du MDN et des FAC; le risque de perte et de vol du dispositif et de l’information. Un cadre de surveillance efficace du partage et du transfert est essentiel pour permettre d’atténuer ces risques.

Ce que nous avons constaté

|||||||||| || ||| ||| || ||| ||||| |||||| |||||| || | ||||||||||| || ||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||. || ||||||| ||||| || ||||||||||||| ||||||| |||||||||| ||

||| ||| || ||| ||||| |||||| |||||| || | ||||||||||| || |||||||||. ||||||||| ||| |||||| |||||| || ||||||||| |||||||. || ||||||| ||||| || ||||||||||||| ||||||| |||||||||| || ||| ||| || |||

||||| |||||| |||||| || | ||||||||||| || ||||||||| ||||||||| ||| |||||| |||||| || ||||||||| ||||||| ||||||| |||||||. || ||||||| ||||| || ||||||||||||| ||||||| |||||||||| || ||| ||| ||

||| ||||| |||||| ||||||. |||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||| ||||||| ||||| || ||||||||||||| ||||||| |||||||||| || ||| ||| || ||| ||||| |||||| |||||| || |.

||||||||||| || ||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||. | ||||||| ||||||| ||||||||||||| ||||||| |||||||||| || ||| ||| || ||| ||||| |||||| |||||| || | |||||||||||. ||||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||| ||||||| ||||| || ||||||||||||| ||||||| |||||||||| || ||| ||| || |||||||| |||||| |||||| || |. ||||||||||| || |||||||||

|||||||||||||||||| |||||| || ||||||||| |||||||| ||||||| ||||| || ||||||||||||| ||||||| |||||||| ||||||||| ||||| |||||||||. | ||||||| ||||| || ||||||||||||| ||||||| |||||||||| || |||

||| || ||| ||||| |||||| |||||| || | ||||||||||| || ||||||||| ||||||||| ||| |||||| ||||||.

Le Dir Sécur GI a publié une norme de sécurité des TI pour les SDTI (NSTI-01) afin de fournir des précisions supplémentaires visant à réduire les risques. Bien que cette norme constitue une pratique exemplaire pour la sécurité des TI sur les réseaux du MDN et des FAC, si elle est suivie à la lettre, elle peut limiter le transfert d’informations ou de données vers et depuis des réseaux externes, ce qui peut être nécessaire pour répondre aux besoins opérationnels.

CONSTATATION 3 : Des protocoles de partage et de transfert d’informations sont établis. |||| || |||| |||| ||| ||| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||| |||||||||||||||||||||||||||.

Ce que nous avons constaté

|||||||||| || ||| ||| || ||| ||||| |||||| |||||| || | ||||||||||| || ||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||| ||||||| ||||| || ||||||||||||| ||||||||||||||||| ||||| ||| || ||| ||||| ||||. || |||||| || | ||||||||||| || ||||||||| ||||||||| ||| |||||| |||||| || ||||||||| |||||||. | ||||||| ||||| || ||||||||||||| ||||||| ||||||||||

|||||||||||||||||||||||||||||||||||||||||.||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||||||||||||||||||||||

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.||||||||||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.||||||||||||||||||||||||||||||||||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.||||||||||||||||||||||||||||||||||||||||||||||.||||||| |||||||||||||||||||||||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||||| |||||||||||||||||||||||||||||||||||||||||||||

||||||||||.

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

||||||||||.|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.|||||||||||||||||||||||||

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||.

Recommandation du SMA(Svcs Ex)

3. Afin d’atténuer les risques liés à la sécurité de l’information tout en répondant aux besoins opérationnels, le SMA(GI) devrait envisager :

  • Consulter tous les N1 pour établir les exigences en matière de partage et de transfert d’informations internes et externes;
  • Élaborer et mettre en œuvre un processus permettant le partage, le transfert et le suivi de l’information en temps opportun;
  • Examiner, à travers des initiatives de modernisation en cours, les capacités de surveillance et de contrôles automatisés tout en mettant en œuvre de nouveaux outils de GI.

Retour à la table des matières


Conclusion générale

Un cadre de GI efficace et bien mis en œuvre est essentiel pour le MDN dans cette ère numérique. Il existe de nombreuses possibilités de maximiser la réalisation de nos opérations et de nos mandats en tirant parti d’informations opportunes, précises et accessibles. D’un autre côté, elle crée également un paysage de plus en plus complexe, avec des risques associés qui doivent être bien gérés.

La conception de la structure de gouvernance de la GI du MDN et les principales activités de gestion de la GI appuient les priorités et les objectifs du Ministère en matière de GI et sont conformes aux exigences législatives et politiques prescrites. Les directives et les procédures sont étendues et sont conformes à la Politique et la directive sur les services et le numérique du CT, avec l’inclusion des éléments clés en lien avec la protection des renseignements personnels, la sécurité et la conservation adéquate de l’information. Bien que la structure du comité de gouvernance soit établie avec des organes de gouvernance à plusieurs niveaux, elle pourrait bénéficier de la formalisation de ses pratiques de gestion des risques et de ses rapports pour permettre l’articulation et l’escalade des principaux risques et en soutenant la prise de décision. Le SMA(GI) a déjà pris des mesures pour s’améliorer, comme en témoigne l’examen actuel de sa structure de gouvernance. Une collaboration efficace sera essentielle, conformément à l’obligation d’intégrer les services en se concentrant sur le client, comme le prévoit la nouvelle politique. Le MDN et les FAC ont documenté les RRA pour les principaux intervenants de la GI qui doivent être consolidés pour mieux soutenir les initiatives complexes et interdépendantes.

Le réseau des OGI a un rôle clé à jouer dans le soutien de la mise en œuvre du programme de gestion de l’information, tous les N1 étant généralement dotés de ces postes clés, mais pas nécessairement dans la mesure requise, les OGI ayant de multiples rôles et fonctions. Bien qu’elles soient essentielles pour soutenir la conformité à la GI et atteindre les objectifs du programme de GI, les OGI travaillent en grande partie indépendamment les unes des autres. Elles pourraient également bénéficier de conseils et d’un soutien supplémentaire, en particulier pour l’élaboration de leur plan de GI. D’une manière générale, la GI doit être mieux hiérarchisée.

En ce qui concerne les mécanismes de surveillance et d’amélioration, le bilan de santé est le principal outil pour évaluer la mise en œuvre des initiatives de GI dans l’ensemble de l’Équipe de la Défense, y compris la maturité de la GI. À l’avenir, il sera possible d’exploiter davantage les résultats du bilan de santé afin d’apporter des améliorations continues pour atteindre le niveau de maturité recherché en matière de GI.

L’importance de la gestion du changement est reconnue et elle est souvent essentielle à la réussite de toute initiative, en particulier les initiatives de transformation à grande échelle. Le SMA(GI) devrait envisager de tirer profit des principes fondamentaux de la gestion du changement pour mettre en œuvre ses initiatives en élaborant un processus de gestion du changement qui soit évolutif et reproductible. De plus, les utilisateurs et les intervenants de la GI estiment qu’ils ne sont pas suffisamment formés pour répondre aux besoins du MDN et des FAC.

Enfin, la surveillance des dispositifs qui présentent des risques de sécurité plus élevés existe, ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||. Toute fuite ou violation d’informations peut avoir des conséquences dramatiques, de sorte que des efforts supplémentaires sont nécessaires pour renforcer l’environnement de contrôle du partage des informations, tout en permettant de répondre aux besoins opérationnels.

En général, la conception de la structure de gouvernance de la GI du MDN et les principales activités de gestion de la GI appuient les priorités et les objectifs du Ministère en matière de GI et sont conformes aux exigences législatives prescrites. Il est possible d’améliorer l’efficacité de la structure de gouvernance et des principales composantes de la mise en œuvre du cadre, ainsi que d’améliorer les mécanismes de transfert, de partage et de suivi des informations.

Retour à la table des matières


Annexe A – À propos de l’audit

Les conclusions et les recommandations du présent rapport sont issues de multiples sources de données recueillies tout au long de la phase de planification et de conduite du projet. Ces sources de données ont été vérifiées auprès des bureaux de première responsabilité pour s’assurer de leur validité. La méthodologie utilisée lors de cet audit est la suivante :

Examen des documents

L’équipe d’audit a effectué un examen des politiques internes et gouvernementales, des législations, des directives, des communications, des procédures, des directives et des modèles pertinents. Les documents ont été conservés comme preuves, comme il se doit, et ont été corroborés par d’autres méthodes de collecte de données.

Entrevues

L’équipe d’audit a procédé à des entrevues avec les principaux intervenants. Ces réponses ont été utilisées pour améliorer la compréhension de l’équipe des domaines de préoccupation, des processus et contrôles existants, et des risques.

Sondage

L’équipe d’audit a effectué un sondage auprès d’une série d’intervenants en mettant l’accent sur les exigences en matière de formation. Les résultats ont été utilisés pour étayer l’examen des documents ainsi que les observations des entrevues.

Critères d’audit

  • Le MDN a établi un cadre de GI (y compris les politiques, la gouvernance et les contrôles) conforme aux exigences législatives.
  • Le MDN a mis en œuvre le cadre de la GI à l’échelle de l’organisation.

Objectifs de l’audit

L’objectif de l’audit de la gestion de l’information (GI) était de déterminer si les activités de gestion et les structures de gouvernance actuelles soutiennent la gestion de l’information au sein du ministère.

Portée et calendrier d’exécution de l’audit

La portée de cet audit englobe les structures de gouvernance, les mesures de contrôle et la formation ayant trait à la gestion de l’information d’avril 2020 à septembre 2021 et toute initiative ministérielle liée à la GI. L’audit comprenait l’examen de divers N1 pour tester l’application du cadre de GI et portait en outre la gestion de l’information numérique et papier.

Les travaux de conduite ont commencé en septembre 2021 et se sont achevés en grande partie en mars 2022.

Hors portée

Les éléments suivants ont été exclus de la portée de l’audit :

  • Risque de menaces internes et de fuites d’information;
  • Qualité des informations et des données pour la prise de décisions;
  • Les systèmes, documents et matériel classifiés de la GI ou de la TI;
  • Mise à l’essai de l’accès aux systèmes de TI et des mesures de contrôle de sécurité.

Énoncé de conformité

Les constatations et conclusions figurant dans le présent rapport sont étayées par des preuves d’audit suffisantes et appropriées regroupées conformément à des procédures qui respectent les exigences énoncées dans le document Normes internationales pour la pratique professionnelle de l’audit interne du Institute of Internal Auditors. Par conséquent, l’audit est conforme aux Normes internationales pour la pratique professionnelle d’audit interne du lnstitute of Internal Auditors, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les opinions exprimées dans le présent rapport sont fondées sur les conditions qui avaient cours au moment de l’audit et ne s’appliquent qu’à l’entité examinée.

Retour à la table des matières

 

Annexe B – Modèle international de maturité de la gouvernance de l’information

Tableau B-1. Modèle international de maturité de la gouvernance de l’information

1

Insuffisant

2

En développement

3

Essentiel

4

Proactif

5

Transformationnel

Les problèmes liés à la tenue de documents ne sont pas du tout abordés ou le sont de manière très ponctuelle.

Reconnaître que la tenue de documents a des répercussions sur l’organisation et que celle-ci peut bénéficier d’un programme de gouvernance de l’information mieux défini.

Définir des politiques et des procédures ainsi que des décisions plus spécifiques prises pour améliorer la tenue des dossiers.

Les questions et onsidérations relatives à la gouvernance de l’information sont intégrées dans les décisions opérationnelles de façon régulière, et l’organisation satisfait aisément à ses obligations légales et réglementaires.

Intégration de la gouvernance des renseignements dans l’infrastructure globale de l’organisation et dans ses processus opérationnels, à un point tel que le respect des exigences du programme devient une routine.

Les organisations doivent craindre « que leurs programmes ne répondent pas à l’examen légal ou réglementaire. »

Les organisations sont « encore vulnérables à un examen légal ou réglementaire, car les pratiques sont mal définies et encore largement ad hoc par nature ».

Les organisations « peuvent encore passer à côté de possibilités importantes de rationalisation des activités et de contrôle des coûts. »

Les organisations « devraient commencer à considérer les avantages commerciaux de la disponibilité de l’information dans la transformation de leurs organisations à l’échelle mondiale. »

Les organisations « ont reconnu qu’une gouvernance efficace de l’information joue un rôle essentiel dans la maîtrise des coûts, l’avantage concurrentiel et le service à la clientèle. »

Sommaire du tableau B-1

L’annexe B contient un tableau qui détaille les attentes des différents niveaux de maturité pour la gouvernance d’un système de gestion de l’information.

Ce tableau comporte cinq colonnes et trois rangées, y compris les titres. La première rangée comporte les en-têtes de colonnes. Il faut lire le tableau de gauche à droite pour en connaître le contenu. Les en-têtes de colonnes de gauche à droite sont : 1 Insuffisant; 2 En développement, 3 Essentiel, 4 Proactif et 5 Transformationnel.

La deuxième rangée contient la définition de chaque niveau de maturité de l’information. La colonne à l’extrême gauche indique le niveau de maturité le plus faible, et la colonne à l’extrême droite détaille le système d’information le plus mature.

La troisième rangée détaille ce que chaque niveau des modèles de maturité de l’information signifie pour le ministère évalué.

(Application du modèle ARMA International de maturité de la gouvernance de l’information)

Détails de la page

Date de modification :