Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

ARCHIVÉE - Rapport de vérification définitif - Contrôles généraux du SAP

Nous avons archivé cette page et elle ne sera plus mise à jour.

Vous pouvez la consulter à des fins de recherche ou à titre de référence.

Nous avons archivé cette page et elle ne sera plus mise à jour.

Vous pouvez la consulter à des fins de recherche ou à titre de référence.

Septembre 2011

(ARCHIVÉE - Version PDF - 124 Ko)

Réponse et plan d'action de la direction

Table des matières

Version traduite. La version anglaise de ce rapport doit prévaloir en cas d'incohérence.

Sommaire

Les systèmes de gestion financière sont essentiels à la bonne conduite des activités du gouvernement. Ces systèmes sont conçus pour encourager une bonne gestion financière des ressources publiques, renforcer la probité et la prudence et contribuer à la prise de meilleures décisions, tant au niveau ministériel que gouvernemental. Le système de planification des ressources organisationnelles SAP est actuellement le logiciel de « choix » au sein du gouvernement du Canada et du secteur privé.

L'objectif de la vérification était d'évaluer l'efficacité des contrôles généraux du système SAP de Santé Canada. Bien que Santé Canada soit l'hôte SAP d'un groupe pluricellulaire comprenant cinq autres organismes, la vérification s'est concentrée uniquement sur le système et les données de Santé Canada.

La vérification a été menée par le Bureau de la vérification et de la responsabilisation et des procédures suffisantes et convenables ont été effectuées et des preuves, réunies pour soutenir l'exactitude de la conclusion de la vérification. De plus, les preuves ont été réunies conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada et aux Normes internationales pour les pratiques professionnelles de la vérification interne.

En tant que solution de gestion des finances et du matériel pour le gouvernement du Canada, SAP jouit d'un appui important à Santé Canada et au sein des autres ministères. L'environnement de contrôle ministériel de la gestion et du fonctionnement du SAP est clair et conforme aux recommandations de la direction du gouvernement. Au sein de cet environnement de contrôle existe une unité organisationnelle séparée ayant pour mandat la gestion du fonctionnement du SAP; les rôles et les responsabilités sont bien définis et les employés sont conscients de leur responsabilisation. Les équipes chargées des activités et des technologies de l'information ont établi un partenariat afin de gérer les opérations SAP de façon intégrée.

Les modifications au SAP sont gérées en tant que processus par l'équipe d'affaires ainsi que l'équipe des TI. Bien que les équipes aient déjà mis en place des modifications significatives au SAP, il gagnerait à améliorer le processus de gestion des modifications, pour faciliter les modifications à grande échelle.

Le contrôle des comptes utilisateurs fonctionne assez bien dans l'ensemble, cependant l'équipe de SAP gagnerait à faire des progrès en ce qui concerne l'octroi des privilèges d'accès spécial et l'alignement des dates limites d'utilisation des comptes des usagers temporaires avec celles de la fin des contrats.

Le cadre global de contrôle par lot est conçu de façon à préserver l'intégrité et l'authenticité des données applicatives externes traitées par SAP. Il existe toutefois une préoccupation quant à la séparation des tâches entre le système SAP en ligne et le traitement des opérations par lot. La préoccupation concerne les utilisateurs finaux ayant accès à SAP et ayant la capacité d'entrer des transactions traitées par SAP dans un système source de la direction générale. De plus, les contrôles de concordance par lots ne sont pas utilisés pour les fichiers sources de Santé Canada, il est impossible de vérifier l'exactitude et la complétude des données des opérations.

La sécurité du fonctionnement du SAP est gérée en suivant les directives fixées par le gouvernement, toutefois, l'évaluation des menaces et des risques (ÉMR) actuelle n'est pas à jour et devra être revue. De plus, les tests concernant les conflits liés à la séparation des responsabilités devront être renforcés. Certains conflits potentiels liés à la séparation des tâches n'avaient toujours pas été détectés par l'équipe de SAP. Bien que la vérification ait détecté ce problème, la portée complète de la question exigera du travail en surplus de la part de l'équipe de SAP.

La direction souscrit aux quatre recommandations et a fourni un plan d'action qui servira à renforcer les contrôles généraux du système SAP pour Santé Canada.

1. Introduction

1.1 Contexte

Le Système intégré des finances et du matériel

Les systèmes de gestion financière sont essentiels au contrôle des activités du gouvernement. Ces systèmes sont conçus pour encourager une bonne gestion financière des ressources publiques, renforcer la probité et la prudence et contribuer à la prise de meilleures décisions, tant au niveau ministériel que gouvernemental. Un système bien conçu et bien géré signifie un contrôle efficace et effectif qui permet de réaliser des économies. Le système de planification des ressources organisationnelles SAP est actuellement le logiciel de « choix » au sein du gouvernement du Canada et du secteur privé.

Le gouvernement du Canada dispose d'un centre d'expertise pour les produits commerciaux combinant les finances, la gestion du matériel, des biens, des salaires et des projets et d'autres fonctionnalités; cela comprend particulièrement le logiciel SAP. Il s'agit d'une organisation offrant une vaste gamme de services de soutien et de développement au gouvernement fédéral, permettant ainsi aux employés des ministères de se concentrer sur leurs principales fonctions opérationnelles et de réduire l'investissement ministériel dans l'élaboration d'applications, le soutien des systèmes et la formation. Le centre aide les ministères à respecter les priorités du gouvernement du Canada en mettant à leur disposition un logiciel commun, des outils de normalisation et des procédures de rapport normalisées, afin que les ministères puissent respecter les exigences du gouvernement en matière de production de rapports.

Ce centre, connu sous le nom de « groupe pluricellulaire du Système intégré des finances et du matériel », est le plus important groupe de systèmes partagés au sein du gouvernement du Canada. Il s'agit d'un ensemble d'organisations qui travaillent en équipe dans le but d'améliorer l'efficacité, d'élaborer un système commun et de participer à des activités d'approvisionnement en fonction de règles opérationnelles partagées. Le personnel des ministères oeuvre à la réalisation d'un objectif commun et partage des ressources, dans le but d'optimiser les avantages pour l'organisation. Santé Canada est membre de ce groupe pluricellulaire depuis sa création.

À Santé Canada, il existe certains systèmes sources clés (subventions et contributions, facturation des recettes, ressources humaines et services de voyage) qui transmettent au système financier (SAP) les lots d'opérations à être traités. À son tour, le système SAP envoie les données aux systèmes internes aux fins de rapports et d'analyse financière. Les renseignements financiers ministériels contenus dans le SAP circulent entre les différents systèmes financiers du gouvernement du Canada.

Cadre de contrôle des TI

Dans le domaine des affaires et de la comptabilité, les mesures de contrôle des technologies de l'information (ou mesures de contrôle des TI) représentent des activités de contrôle exécutées par des personnes ou des systèmes. Ces mesures sont conçues pour garantir le respect des objectifs opérationnels. Celles-ci représentent essentiellement un sous-groupe des mesures internes de contrôle d'une organisation. Leurs objectifs sont en lien avec la confidentialité, l'intégrité et la disponibilité des données et la gestion globale des TI. Ces mesures sont souvent divisées en deux catégories : les contrôles généraux des TI et les contrôles des applications des TI. Les contrôles informatiques généraux comprennent les contrôles de l'environnement des TI, des opérations informatiques, de l'accès aux programmes et aux données, de l'élaboration et des modifications des programmes. Les contrôles informatiques des applications des TI sont des contrôles de traitement des opérations parfois appelés « contrôles liés aux données d'entrée, au traitement et aux données de sortie ». Cette vérification se concentrera sur les contrôles informatiques généraux des TI.

1.2 Objectif de la vérification

L'objectif de cette vérification est d'évaluer l'efficacité des contrôles généraux du système SAP de Santé Canada, en mettant l'accent sur la gouvernance, sur la sécurité et sur la gestion des modifications au système.

1.3 Portée et méthode

L'accent a été mis sur la gouvernance et la surveillance, la gestion des changements au système et les contrôles opérationnels, et les mécanismes de sécurité. Bien que Santé Canada soit l'hôte SAP d'un groupe comprenant cinq autres organismes, la vérification s'est concentrée uniquement sur le système et les données de Santé Canada.

Le processus, mis en oeuvre à l'administration centrale, a comporté des entrevues avec des membres du personnel de la Direction générale du contrôleur ministériel, notamment ceux de la Division du contrôle interne et du Système d'applications de gestion intégrée des ressources (SAGIR). Des entrevues ont aussi été menées au sein de la Direction générale des services de gestion auprès des membres de l'équipe de conception et de soutien des TI du SAGIR. Le processus a aussi compris l'examen de certains documents, procédures opérationnelles et configurations techniques en rapport avec le SAP. La vérification s'est limitée aux données financières enregistrées dans SAP par les directions générales et les programmes de Santé Canada au cours de l'exercice 2009-2010.

Le cadre de Control Objectives for Information and Related Technology (COBIT), est un cadre largement utilisé, promulgué par l'IT Governance Institute. Ce cadre définit des objectifs de base et des approches pour l'évaluation en matière de contrôles informatiques généraux et de contrôles des applications des TI. COBIT a servi à définir les pratiques exemplaires dans le cadre de cette vérification.

1.4 Énoncé d'assurance

Selon le jugement professionnel du dirigeant principal de la vérification, des procédures suffisantes et convenables ont été effectuées et des preuves, réunies pour soutenir l'exactitude de la conclusion de la vérification. Les constatations et la conclusion de la vérification sont basées sur une comparaison des conditions qui existaient à la date de la vérification aux critères établis qui ont été approuvés par la direction. Par ailleurs, des preuves ont été réunies conformément aux Normes relatives à la vérification interne pour le gouvernement du Canada et aux Normes internationales pour les pratiques professionnelles de la vérification interne.

2. Constatations, recommandations et réponses de la direction

2.1 Governance et surveillance

2.1.1 Surveillance

Critère de vérification : Un organe de gouvernance adéquat (comité directeur) a été formé afin d'établir l'ordre de priorité des investissements en TI relativement au fonctionnement du SAP et aux infrastructures de soutien.

Santé Canada est membre du programme du Système intégré des finances et du matériel (SIFM), un groupe pluricellulaire du système des services partagés assurant l'intégration des technologies liées à SAP au sein du gouvernement du Canada. Sa structure de gouvernance comporte plusieurs paliers et les ministères membres sont représentés à tous les niveaux.

  • Le Comité directeur du SIFM est l'organe de niveau supérieur qui est responsable de la réussite du programme SIFM et de l'harmonisation stratégique avec les objectifs du gouvernement. Il est constitué de cadres supérieurs de tous les ministères membres et s'apparente à un conseil d'administration.
  • Le Comité de gestion du SIFM est la composante de gouvernance qui recommande les décisions stratégiques et les décisions de financement au Comité directeur du SIFM.  Ce comité est semblable à un comité exécutif.
  • Le Conseil opérationnel du SIFM est l'organe assurant la surveillance technique et opérationnelle qui rend directement compte au Comité de gestion du SIFM.  Il prend des décisions et fait des recommandations fonctionnelles au Comité de gestion du SIFM.
  • Les forums du SIFM sont harmonisés selon les fonctions du SAP et sont à la base de l'expertise en matière d'opérations. Ils rendent compte au Conseil opérationnel du SIFM et ont la responsabilité d'apporter un soutien opérationnel et d'offrir leur contribution en ce qui a trait aux questions fonctionnelles.
  • Le Bureau du programme du SIFM est un organisme de service qui rend compte directement au Comité de gestion et offre des conseils, de l'aide et du soutien à tous les niveaux de gouvernance. Les services offerts comprennent : achat de produits, recherche et tests sur les produits, applications, améliorations, soutien technique, soutien pour la coordination et pour les services de secrétariat (ordre du jour, procès-verbal, etc.) pour les réunions des comités et des forums, services de communication, documentation et formation. Ce groupe a établi un cadre de contrôle qui a été approuvé et mis en oeuvre par Santé Canada.

La structure de gouvernance du SIFM guide, oriente et soutient la prestation continue du programme du SIFM dans l'ensemble du gouvernement. La direction stratégique, les priorités, les activités pluriannuelles et les budgets sont établis pour le programme et approuvés par le Comité directeur du SIFM. Les objectifs stratégiques approuvés pour 2011-2014 sont la normalisation, l'évolution opérationnelle, la communauté du SIFM et l'expansion du groupe pluricellulaire. Parmi les projets de normalisation, on retrouve : l'établissement d'un calendrier avec les ministères pour passer à une même version à jour du progiciel, la stabilisation de cette version à jour, et la réduction du nombre de cas où les ministères s'écartent de la norme. L'évolution opérationnelle comprend l'élaboration et la mise en oeuvre d'une nouvelle fonctionnalité opérationnelle, mais à un rythme plus lent. Le renforcement de la communauté du SIFM inclut l'optimisation de la formation destinée aux experts du SAP et aux utilisateurs de tous les ministères.

Les représentants de Santé Canada jouent un grand rôle au sein du comité, des conseils et des forums du programme du SIFM. Pour chaque comité, des ordres du jour sont préparés par le Bureau du programme du SIFM et sont distribués aux membres. Les procès-verbaux distribués comprennent l'approbation du procès-verbal précédent et de l'ordre du jour, ainsi qu'un examen des mesures de suivi et des décisions prises. De par sa participation aux activités de ce groupe, Santé Canada confirme son appui aux priorités et à l'orientation du programme du SIFM du gouvernement du Canada.

Surveillance de Santé Canada

En tant que propriétaire exploitant du SAP, la Direction générale du contrôleur ministériel (DGCM) doit s'assurer que le système SAP gère bien les ressources et fournit des renseignements pertinents, favorisant ainsi une gestion axée sur les résultats. La DGCM fournit les cadres de travail, les politiques, les systèmes, les pratiques et les outils nécessaires pour soutenir la gestion et le fonctionnement du programme. Elle s'assure aussi de la conformité aux politiques et aux règles financières du gouvernement. Les décisions concernant le fonctionnement et le soutien du produit SAP à Santé Canada suivent la structure de gouvernance ministérielle. En conséquence, tous les projets de TI d'importance majeure, y compris les modifications et les publications touchant au système financier, doivent désormais faire partie du plan d'investissement. La DGCM dispose de plusieurs comités qui assurent la gouvernance du système financier et de ses processus.

La Division des opérations et des systèmes comptables est responsable du soutien des systèmes financiers et transactionnels pour le Ministère. Ses fonctions englobent plusieurs services offerts par les différentes unités organisationnelles. Au sein de la Division des opérations et des systèmes comptables, c'est l'unité du Système d'applications de gestion intégrée des ressources (SAGIR) qui a le mandat de garantir la pleine capacité opérationnelle du système de gestion des finances et du matériel (SAP) du Ministère.

En partenariat, la Direction des services de gestion de l'information (DSGI) de la Direction générale des services de gestion fournit la stratégie ministérielle, les politiques, l'infrastructure, les outils et le personnel dont a besoin Santé Canada pour utiliser efficacement la gestion de l'information et la technologie de l'information aux fins de la prestation des programmes et des services du Ministère. La DSGI doit notamment élaborer, mettre en oeuvre et communiquer des politiques, des normes et des lignes directrices, et faciliter la planification et l'exécution des projets ministériels (y compris le soutien continu et l'entretien). Au Centre de résolution des problèmes, c'est l'équipe des Applications ministérielles et systèmes qui fournit ces services pour appuyer le système de gestion des finances et du matériel du Ministère (SAP). L'équipe de développement et soutien des applications du SAGIR est co-implantée avec le groupe opérationnel du SAGIR et a pour objectif de garantir l'opérationnalité du SAP.

Dans la cadre de son processus de planification annuelle des opérations, l'unité fonctionnelle du SAGIR établit quels sont les améliorations et les projets nécessaires. Pour l'exercice 2010-2011, l'équipe fonctionnelle SAP a soumis deux projets : la mise à niveau du SAP et les modules de Gestion de projets (GP) et de Feuilles de saisie de temps interapplications (FSTI) du SAP. Les deux projets font partie de la liste des projets de TI approuvés pour 2010-2011. La mise à niveau du SAP a été divisée en deux phases. La première a déjà été mise en oeuvre, tandis que la deuxième devrait l'être en 2011-2012.

Les décisions prises par Santé Canada suivent une structure de gouvernance; les décisions relatives à SAP suivent aussi cette structure. De plus, le Ministère suit la direction du groupe pluricellulaire du SIFM du gouvernement du Canada.

2.1.2 Rôles and responsabilités

Critère de vérification : Les responsabilités et les rôles relatifs aux systèmes SAP ont été clairement définis, documentés et compris.

Les responsabilités liées au système de gestion financière (SAP) du Ministère sont réparties entre l'équipe fonctionnelle (Direction générale du contrôleur ministériel) et l'équipe technique (Dirigeant principal de l'information (DPI)). L'équipe fonctionnelle est responsable des processus opérationnels et du service d'assistance lié aux processus opérationnels, à la formation des utilisateurs finaux, à la documentation et aux tests des nouveaux processus opérationnels ou des modifications aux processus existants. L'équipe technique est responsable du matériel, de l'infrastructure, du développement des logiciels et du soutien aux applications.

Le produit SAP comporte plusieurs modules, chacun ayant des fonctions opérationnelles spécifiques. Le SAGIR est composé de huit équipes opérationnelles qui fournissent du soutien fonctionnel relativement aux modules SAP qui ont été mis en oeuvre et qui sont utilisés par Santé Canada. Ces équipes s'occupent aussi de l'intégration des systèmes, des services et de la liaison avec les clients. Les services aux clients comprennent l'administration des comptes utilisateurs et des profils de sécurité dans l'application. Les rôles et les responsabilités sont consignés et appuyés par des documents sur les processus opérationnels et le flux de travail. Cependant, dans la documentation examinée, il n'est pas clair si ces rôles et ces responsabilités ont été officiellement approuvés par la direction.

L'équipe des Applications ministérielles et systèmes, aussi appelée l'équipe des TI du SAGIR, est spécifiquement chargée de collaborer avec les équipes du SAGIR afin de garantir l'opérationnalité des fonctions opérationnelles et des réalisations attendues. Leurs fonctions comprennent la mise en oeuvre et l'entretien de l'outillage automatisé, des systèmes d'opération, des bases de données et des applications (SAP), et l'offre de services d'élaboration des applications permettant d'atteindre les objectifs du SAGIR. L'équipe des TI du SAGIR est divisée en trois groupes distincts : programmation, soutien technique et sécurité. La co-implantation et l'intégration des activités quotidiennes de l'équipe opérationnelle et de l'équipe des TI du SAGIR a engendré une excellente relation de travail.

Grâce à leurs efforts combinés, les deux équipes gèrent plus de 4 000 comptes utilisateurs SAP, desquels environ 2 300 sont de Santé Canada. Les autres sont des utilisateurs externes ou liés au portefeuille de la santé hébergés par le système SAP du Ministère. Les rôles et les responsabilités des administrateurs et des utilisateurs ont été documentés dans le matériel de formation et dans d'autres manuels. Des efforts importants sont faits pour assister ces utilisateurs et garantir la séparation des tâches, afin de réduire les risques.

En ce qui concerne les activités courantes et le soutien du SAP, les rôles et les responsabilités sont définis et les employés sont conscients de leur responsabilisation. La nature intégrée du travail de l'équipe opérationnelle et de l'équipe des TI du SAGIR a engendré un partenariat collaboratif essentiel.

2.1.3 Surveillance et rapport de la direction

Critère de vérification : La direction a établi une surveillance régulière spécifique au système SAP.

Les membres de l'équipe opérationnelle et de l'équipe des TI du SAGIR se rencontrent chaque semaine pour discuter des problèmes relevés. Des procès-verbaux de ces réunions, des décisions prises et des mesures à prendre sont tenus par le personnel du SAGIR. Le gestionnaire du SAGIR et le directeur de la Division des opérations et des systèmes comptables se rencontrent régulièrement pour discuter de tout problème d'importance.

Chaque année, dans le cadre du processus ministériel de planification, le personnel du SAGIR conçoit un plan opérationnel. Bien que l'équipe dresse chaque mois des rapports en regard du plan, le Ministère n'a toujours pas établi de normes de rendement ou de repères pour le SAP. Le plan opérationnel 2011-2012 comprend des mesures clés, comme la mise à niveau du SAP vers la version 6.0 et l'amélioration des caractéristiques du SAP pour appuyer l'Initiative de recouvrement des coûts. Ces deux mesures font aussi partie du plan d'investissement de Santé Canada. De plus, un examen interne de la structure organisationnelle de l'équipe du SAGIR est prévu afin de garantir qu'elle est structurée de façon à assister les différents intervenants.

Le groupe du SAGIR a commencé à se préparer à la mise à niveau du SAP en assurant le soutien nécessaire au gestionnaire de projet. Le gestionnaire de projet devra : préparer un plan de projet, donner des conseils sur la gestion des modifications, et élaborer des stratégies de communication et de formation. L'équipe opérationnelle et l'équipe des TI du SAGIR veilleront à mener ce projet à terme d'ici la fin de l'année civile.

De plus, il a été noté au cours de la vérification que le directeur de la Division des opérations et des systèmes comptables, le directeur de l'équipe des Applications ministérielles et systèmes, le chef du SAGIR et le chef de l'équipe des TI du SAGIR se rencontrent toutes les trois semaines pour effectuer l'examen et le suivi des progrès concernant les initiatives clés liées au système financier et pour discuter des problèmes et des risques relevés.

2.2 Gestion des modifications au système et contrôles opérationnels

2.2.1 Gestion des modifications du SAP

Critère de vérification : Il existe des documents pour appuyer l'approbation par une autorité déléguée de toute évolution ou modification relative au logiciel.

Les procédures et les normes de modification du SAP sont essentielles pour garantir l'exactitude et l'intégrité des renseignements financiers du Ministère. L'utilité de ces renseignements repose sur la capacité à s'adapter aux demandes de modifications engendrées par les décisions stratégiques du Ministère et du gouvernement. La valeur est déterminée par la continuité et la fiabilité des renseignements sauvegardés dans le système financier du Ministère.

Les processus et les flux de travail opérationnels conçus par SAGIR pour la gestion des modifications au logiciel SAP sont bien documentés. L'équipe opérationnelle et l'équipe des TI du SAGIR produisent plusieurs documents et diagrammes qui définissent clairement les responsabilités, le processus global et les sous-processus faisant partie du processus ministériel de gestion des modifications du SAP. Grâce à certains outils, les deux équipes ont aussi adopté des pratiques de gestion saines facilitant l'archivage, le suivi et la production de rapports.

La vérification indique que, lorsque les modifications ont une portée limitée, les documents retraçant les processus d'exécution des tâches et les modifications comprennent des éléments adéquats prouvant que des analyses des répercussions et des tests appuyant les améliorations et les corrections proposées ont été menés. Par contre, les documents concernant les modifications à plus grande portée gagneraient à être plus détaillés, surtout en ce qui concerne les études de répercussions, les tests, la planification et l'établissement des priorités.

Capacité et aptitudes de la boîte à outils

QUI est le Demandeur?
QUI est Responsable de l'élaboration, du contrôle de la qualité et de la mise en oeuvre de la modification?
QUELLE Raison explique la modification?
À QUEL Résultat s'attend-on à la suite de cette modification?
QUELS sont les facteurs de Risque liés à cette modification?
QUELLES Ressources sont nécessaires à la mise en oeuvre de la modification?
QUELS sont les Liens entre cette modification et les autres modifications?

Bien que le Ministère dispose d'un processus de gestion des modifications, il est essentiel que tous les aspects du processus s'articulent efficacement pour permettre un contrôle de la qualité avant que les mesures soient mises en oeuvre. Sans preuve adéquate de suivi du processus, des modifications importantes à SAP risquent de ne pas être mises en oeuvre à temps. Par exemple, en 2010-2011, Santé Canada a, en préparation à la mise à niveau vers la version 6.0, procédé à la conversion à Unicode. La conversion touchait tous les éléments du programme SAP. Toutefois, il n'existait pas de régime officiel du projet pour démontrer les échéanciers fixes et il existait des preuves limitées de l'allocation des ressources. Le Ministère se prépare actuellement à appliquer les prochaines étapes de la mise à niveau vers la version 6.0. Bien que l'équipe opérationnelle du SAGIR ait engagé un gestionnaire de projet ayant de l'expérience dans la mise à niveau du SAP, il sera important que le Ministère adopte une discipline en matière de gestion de projet.

Bien que le groupe du SAGIR ait déjà mis en oeuvre des modifications significatives au SAP, il gagnerait à améliorer le processus de gestion des modifications, pour faciliter les modifications à grande échelle et la gestion quotidienne. Cela fournirait un suivi plus complet des actions de la gestion des modifications prises et de la capture des connaissances opérationnelles existantes advenant le départ de membres expérimentés du personnel. 

2.2.2 Gestion des comptes utilisateurs SAP

Critère de vérification : Les comptes et les privilèges des utilisateurs sont autorisés par une autorité déléguée, et les pistes de vérification sont conservées.

Seuls les utilisateurs autorisés doivent avoir accès aux renseignements cruciaux et confidentiels. L'on y parvient en gérant les comptes utilisateurs de façon à conserver l'intégrité des renseignements et l'infrastructure de traitement. Le logiciel SAP contrôle l'accès à ses opérations et ses ressources grâce à une hiérarchie complexe d'objets et de méthodes d'autorisation, de profils et de profils combinés (pour les utilisateurs multifonctionnels).

Santé Canada fournit l'accès au système financier par l'entremise de la gestion de comptes utilisateurs qui peut être généralisé en quatre catégories d'utilisateurs: les utilisateurs finaux, les utilisateurs temporaires, les utilisateurs du SAGIR, et les utilisateurs liés au soutien technique.

L'équipe opérationnelle du SAGIR s'occupe des processus opérationnels soutenant le contrôle d'accès à SAP, tandis que le groupe responsable de la formation et du soutien aux utilisateurs du SAP s'occupe de la tenue à jour des comptes pour les quatre catégories d'utilisateurs du SAP. Les processus et les flux opérationnels conçus pour gérer et contrôler l'accès à SAP sont similaires à ceux adoptés pour la gestion des modifications. Ces processus sont bien documentés et établissent clairement les responsabilités, les définitions du déroulement des opérations et les exigences en matière de documentation pour chaque compte utilisateur (piste de vérification). Ces processus fonctionnent bien.

La vérification s'est penchée sur les principaux contrôles de la tenue à jour des comptes utilisateurs de SAP qui nécessitent une autorisation afin d'avoir accès au SAP. Les demandes d'accès spécial sont très utilisées lorsqu'une intervention de dépannage est requise. Ces demandes sont habituellement formulées par les membres des équipes de programmation, de sécurité ou de soutien technique du SAP. Les demandes d'accès spécial comportent des risques élevés; elles doivent donc être consignées, surveillées et achevées dans des délais raisonnables. Des rapports hebdomadaires font état sur toutes ces demandes. Depuis 2010, 175 demandes d'accès spécial ont été faites; celles-ci ont été inscrites, surveillées et achevées adéquatement. Cette procédure représente un bon contrôle préventif des menaces et vulnérabilités les plus communes en rapport avec les activités menées par le SAGIR concernant les comptes utilisateurs et les autorisations. Néanmoins, les documents décrivant le but ou l'objectif des demandes d'accès spécial sont parfois vagues et incohérents; le lecteur ne dispose donc pas toujours des renseignements contextuels entourant la demande. Les résultats de la vérification indiquent que, en général, on ne dispose ni de suffisamment de renseignements sur la demande pour prendre une décision éclairée, ni de preuve qu'un examen de sécurité a eu lieu.

Les utilisateurs liés au soutien technique doivent disposer de profils leur permettant de mener des activités de développement et de soutien technique. Les membres de l'équipe de soutien technique doivent parfois apporter des modifications aux données de référence à une échelle qui dépasse les limites d'accès adéquates en matière de répartition des tâches. Pour 50 % des tests menés dans le cadre de la vérification, l'option permettant de vérifier que les privilèges d'accès spécial ont été utilisés conformément à l'usage prévu et autorisé n'était pas activée ou pas mentionnée dans la documentation.

De plus, les dates limites d'utilisation des comptes utilisateurs ne suivent pas de norme établie. Plus particulièrement, les dates limites des comptes des employés temporaires et contractuels sont fixées à 20 ans après la date de début de l'emploi.

Bien que le contrôle des comptes utilisateurs fonctionne dans l'ensemble assez bien, SAGIR gagnerait à renforcer le processus d'octroi des privilèges d'accès spécial et à harmoniser les dates limites d'utilisation des comptes des usagers temporaires avec celles de la fin des contrats.

Recommandation 1

Il est recommandé au sous-ministre adjoint, Direction générale du contrôleur ministériel, de renforcer le contrôle des comptes utilisateurs du système SAP, notamment en ce qui concerne le suivi des demandes d'accès spécial et les dates limites d'utilisation des comptes des employés temporaires.

Réponse de la direction

La direction souscrit à la recommandation.

Bien que tous les détails nécessaires ne soient pas toujours joints au formulaire de demande d'accès spécial, des documents et des communications relatifs au contexte et à la raison des demandes existent sous forme de courriels ou de communications verbales. Ces renseignements supplémentaires permettent à l'approbateur de prendre une décision éclairée. À l'avenir, on rappellera aux employés d'inscrire sur le formulaire le but ou l'objectif de toute demande d'accès spécial. L'équipe de sécurité du SAP mettra à jour ses procédures; l'option de suivi de l'utilisateur sera activée et les résultats seront joints au formulaire de demande d'accès spécial.

Le SAGIR formulera une demande d'élaboration, afin que le formulaire de demande d'accès spécial à SAP inclue dorénavant le statut de l'employé (indéterminé, occasionnel, déterminé, contractuel) et la date de fin de l'emploi ou du contrat; celle-ci constituera la date limite d'utilisation des comptes utilisateurs des employés temporaires ou contractuels.

À court terme, le SAGIR demandera aux agents ministériels responsables de la sécurité du SAP d'utiliser le champ réservé aux commentaires pour inscrire le statut de l'utilisateur (ex. : état d'emploi ou fournisseur) et la date limite d'utilisation appropriée, le cas échéant.

2.2.3 Contrôles par lots

Critère de vérification : Les procédures et le traitement des exceptions relatives au contrôle par lots garantissent la validité, l'exactitude et la complétude des données traitées par SAP.

Les contrôles par lots sont utilisés pour gérer de grandes quantités de données d'opérations. Ils permettent de s'assurer que tous les dossiers du lot sont traités, sans qu'aucun dossier soit traité plus d'une fois. Ils offrent aussi une piste de vérification des transactions. Les systèmes financiers de Santé Canada génèrent des données sur les transactions, telles que les factures des fournisseurs et les engagements de subventions et de contributions, qui sont destinées à être traitées par SAP. Ces données sont transmises par lots appelés « fichiers sources ». Les contrôles par lots aident à garantir la validité, l'exactitude et la complétude des transactions opérationnelles.

Le calendrier de traitement par lots des fichiers SAP de Santé Canada est composé de 60 fichiers d'entrée et de sortie. La majorité de ces fichiers d'interface sont des fichiers d'entrée : rapports sur les données de contrôle de la paye et sur le solde du compte, fichiers sur les ententes interministérielles, etc. Sont aussi inclus au calendrier sept fichiers d'entrée sources de Santé Canada.

La vérification des contrôles par lots s'est limitée aux dossiers d'entrée sources de la Direction. Le cadre de contrôle global du traitement par lots permet aux fichiers d'être transmis par connexion sécurisée et de venir de sources reconnues. La notification des soumissions et du signalement des exceptions est normalisée, et des mesures de protection contre les modifications non autorisées sont en place. Par exemple, les fichiers sources sont chiffrés pendant la transmission. Le protocole de sécurité utilisé est très clair et est bien conçu pour prévenir l'interception illicite des fichiers en transit et éviter les attaques advenant l'interception de fichiers.

Toutes les 15 minutes, le serveur SAP extrait ces fichiers, qui sont traités automatiquement par le système par lots du SAP. Comme mesure de contrôle compensatoire, l'accès aux emplacements où sont transférés les fichiers est restreint au personnel ministériel autorisé. De plus, les résultats du traitement des lots et le signalement des exceptions sont automatiquement envoyés au SAGIR par le système de courriel de Santé Canada. Ces processus automatisés avisent l'équipe des TI et les équipes opérationnelles du SAGIR des résultats du traitement; cela inclut la liste des fichiers traités, l'état de la transmission des fichiers (succès ou échec) et la description de tout échec. Les rôles et les responsabilités de l'équipe des TI et de l'équipe opérationnelle répartissent les responsabilités quant au suivi des activités de traitement par lots et de transmission des fichiers concernant SAP.

Bien que ces contrôles soient en place, un problème relatif à l'accès vient augmenter le risque que des données inexactes ou incomplètes soient traitées par SAP. Le problème concerne les utilisateurs finaux ayant accès à SAP [Exempté en vertu des articles 16(2)(c), 21(1)(a), 21(1)(b)] La section « Surveillance de la sécurité dans SAP » de ce rapport couvre la répartition des tâches de manière plus complète.

Les « pratiques exemplaires » recommandent la mise en oeuvre de contrôles de détection permettant de valider l'exactitude et la complétude des échanges de fichiers informatiques en utilisant des contrôles de concordance par lots. Ces contrôles exigent que les enregistrements en-tête soient transmis avec les données transactionnelles, afin de fournir au receveur un moyen de rapprocher les données reçues. Ces contrôles peuvent inclure des comptes d'enregistrement, des totaux de contrôle des montants en dollars, et des totaux de hachage des données numériques qui ne sont pas présentés en montants de dollars. [Exempté en vertu des articles 16(2)(c), 21(1)(a), 21(1)(b)] L'équipe de vérification a examiné les fichiers externes entrants relatifs à la paye et a constaté que ceux-ci comprennent des contrôles de concordance par lots, tels que le comptage des enregistrements et les totaux mêlés. Des vérifications menées en 2006 et 2007 sur cinq systèmes sources ont conclu que la complétude des données partagées entre ces systèmes et SAP ne pouvait être établie, faute de totaux de contrôle. Ainsi, des rapprochements ont été mis en place dans certains cas, comme mesure provisoire en attendant que de nouveaux systèmes soient installés. Les rapprochements détecteront les problèmes de contrôle après le traitement par SAP; les contrôles par lots détecteront les problèmes avant que les lots ne soient traités par SAP.

Le cadre global de contrôle par lots garantit l'intégrité et l'authenticité des données applicatives externes traitées par SAP. L'environnement SAP de Santé Canada identifie les utilisateurs, sécurise l'accès aux emplacements de transfert des fichiers et utilise des transmissions protégées. Toutefois, certains problèmes pourraient se poser quant à la répartition des tâches entre le traitement fait par SAP et le traitement par lots Le contrôle des lots d'entrée pourrait être renforcé afin de protéger l'exactitude des données du système SAP.

Recommandation 2

On recommande que le sous-ministre adjoint de la Direction générale du contrôleur ministériel renforce le contrôle du traitement par lots des fichiers dans SAP en incorporant les totaux de concordance par lots aux exigences d'interface du SAP.

Réponse de la direction

La direction souscrit à la recommandation.

Comme l'indique le rapport, des rapprochements ont été mis en oeuvre afin de garantir la complétude de données entre les systèmes sources internes de Santé Canada (SC) et SAP. Ces rapprochements garantissent la complétude des données et minimisent les risques. Comme SC prévoit remplacer ses deux applications de subventions et de contributions par un seul système, il ne serait pas rentable de mettre en oeuvre de nouvelles exigences d'interface pour le moment. Le SAGIR préparera de nouvelles exigences d'interface génériques et celles-ci comprendront les totaux de concordance par lots. Les nouvelles exigences seront mises en oeuvre pour toutes les nouvelles interfaces ou lorsque des modifications sont apportées aux interfaces existantes liées aux systèmes sources internes de SC.

2.2.4 Contrôles opérationnels du SAP

Critère de vérification : Les procédures liées aux opérations du système SAP ont été définies de façon à gérer et surveiller efficacement les processus programmés, afin de garantir la précision du traitement des données.

Le SAGIR a pour mandat de mettre en oeuvre les mises à niveau (nouvelles versions), les améliorations et l'entretien du système SAP. Les rôles et responsabilités de l'équipe des TI du SAGIR sont formalisés, connus et à jour. L'équipe a conçu de la documentation technique qui illustre clairement la façon dont s'opère le transfert des lots de fichiers, l'inventaire de matériel et les liens logiques entre les voies de transport, de développement et de production du matériel SAP et autre, et les points d'accès des clients finaux.

De plus, l'équipe des TI du SAGIR a récemment amélioré les contrôles de détection en mettant en oeuvre la notification automatisée par courriel des alertes concernant les applications ou le système. Ces alertes sont déclenchées lorsque des situations jugées anormales sont détectées. Les activités concernant l'infrastructure et les serveurs liés à SAP sont surveillées en continu par quatre employés, qui sont prêts à répondre aux alertes relatives au système et aux applications. Les registres et les rapports surveillés par cette équipe concernent notamment :

  • la disponibilité de stockage et l'utilisation générale des ordinateurs;
  • les opérations d'infrastructure, telles que l'inspection des composantes de la base de données Oracle;
  • l'entretien de la base de données (gestion et sauvegarde);
  • la santé opérationnelle et le statut du serveur du SAP;
  • le traitement nocturne des lots et le signalement des exceptions.

Des procédures liées aux opérations SAP ont été définies et conçues afin de gérer et de suivre efficacement les processus prévus et de garantir la précision du traitement des données. Ainsi, l'équipe des TI du SAGIR veille à ce que les services de TI correspondent aux besoins.

2.3 Mécanismes de protection

2.3.1 Dispositif de sécurité du SAP

Critère de vérification : Les paramètres de configuration, le processus de certification et d'accréditation, et l'évaluation de la vulnérabilité de l'environnement du SAP respectent les normes et les objectifs du CT et du Ministère.

Pour la plupart des systèmes informatiques, des méthodes formelles doivent être utilisées afin de veiller à ce que les dispositifs adéquats de protection des renseignements du système soient en place et respectent les spécifications. Ces dispositifs sont essentiels pour protéger l'environnement et le système contre les accès et les modifications non autorisés, ou contre la destruction. En accord avec les politiques en matière de sécurité et les normes opérationnelles de sécurité du Ministère et du Secrétariat du Conseil du Trésor, les risques relatifs à un système particulier de l'environnement informatique du Ministère doivent être analysés aussi vite que possible au sein du processus d'élaboration, afin que des réponses planifiées puissent être évaluées pour tous les systèmes et les applications de Santé Canada en phase de développement ou de mise à jour. Ces analyses portent le nom « d'évaluations de la menace et des risques (ÉMR) ».

Dans l'ensemble, Santé Canada dispose d'un environnement sécuritaire pour le fonctionnement et le soutien du SAP. Par exemple, SAP est exploité par le réseau actuel de Santé Canada et repose sur des mesures de sécurité en place. Aucune protection supplémentaire contre les intrusions n'a été mise en oeuvre pour SAP; celui-ci dispose de la même protection antivirus que tous les serveurs et postes de travail de SC.

De plus, les paramètres de configuration relatifs à la gestion des mots de passe du système SAP respectent les normes de sécurité du Ministère et du gouvernement. Santé Canada a recours aux dispositifs améliorés de sécurité du SAP, permettant de définir la longueur minimum d'un mot de passe et le nombre d'entrées incorrectes d'un mot de passe entraînant le verrouillage du compte, de comparer les nouveaux mots de passe à une liste de mots de passe inacceptables, et d'obliger le renouvellement du mot de passe après les 60 premiers jours d'utilisation pour conserver l'accès au système.

Les demandes d'élaboration et les demandes de modifications relatives à SAP sont gérées par le SAGIR de façon à garantir un contrôle raisonnable; cet aspect est abordé plus en profondeur dans la section de ce rapport portant sur la gestion des modifications. La gestion des correctifs correspond au processus assurant l'apport des derniers correctifs (notamment ceux relatifs à la sécurité) et la mise à jour du système SAP, du matériel et des logiciels connexes. Les correctifs concernent habituellement trois grands domaines : le système opérationnel, la base de données et le système SAP en tant que tel. Les correctifs ne suivent pas la procédure de gestion des modifications relative aux mises à jour de sécurité. Le SAGIR a plutôt créé pour chaque correctif majeur des documents pratiques s'appuyant sur les notes techniques des fournisseurs du SIFM pluricellulaire et décrivant étape par étape les procédures de mise en oeuvre. Il n'existe actuellement au sein de l'unité aucune procédure officielle de gestion des correctifs; toutefois, aucun correctif majeur n'a été mis en oeuvre depuis plusieurs années.

Bien que les documents pratiques garantissent une certaine cohérence, ceux-ci ne semblent pas avoir été officiellement examinés et approuvés. Plusieurs membres du SAGIR sont relativement nouveaux au sein de l'unité, certains n'ayant que de six à douze mois de service. Comme la mise à niveau vers la version 6.0 du SAP devrait avoir lieu au cours des douze prochains mois, le SAGIR a indiqué qu'il mettra en place une procédure officielle de gestion des correctifs.

En plus de suivre le SAGIR en ce qui a trait au contrôle interne et à la sécurité, Santé Canada devrait aussi évaluer les failles et les faiblesses de son environnement en ce qui concerne la sécurité et le contrôle. L'évaluation des menaces et des risques actuelle n'est pas à jour. Plusieurs autres évaluations et vérifications ont toutefois été menées par l'entremise d'évaluations ou de vérifications de différentes entités. Le Bureau du vérificateur général valide les contrôles informatiques de façon régulière, et le groupe pluricellulaire du SIFM a conduit en 2010 un bilan de santé de la sécurité. Le SAGIR a suivi les recommandations et apporté des mesures correctives afin de minimiser les risques détectés. Le SAGIR a discuté de la nécessité de mettre à jour l'ÉMR avec l'équipe de Santé Canada responsable de la sécurité des TI.

Recommandation 3

Il est recommandé que le sous-ministre adjoint de la Direction générale du contrôleur ministériel, en consultation avec le sous-ministre adjoint de la Direction générale des services de gestion, réalise l'évaluation des menaces et des risques (ÉMR) concernant SAP, en accord avec la Politique de sécurité des TI de Santé Canada.

Réponse de la direction

La direction souscrit à la recommandation.

Le SAGIR et son équipe des TI collaboreront avec la DGSG pour mettre à jour l'ÉMR du SAP, en accord avec la Politique de sécurité des TI de Santé Canada.

2.3.2 Surveillance de la sécurité du SAP

Critère de vérification : Le Ministère a mis en oeuvre des activités de surveillance de la sécurité du SAP conformément aux directives prescrites par le SIFM.

La sécurité du système SAP est régie par des caractéristiques du système et des contrôles imposés par l'environnement. SAP est un logiciel très complexe; plusieurs décisions doivent être prises pendant la mise en oeuvre quant à l'utilisation des caractéristiques du système. Ce processus décisionnel est appelé la « configuration » plutôt que « élaboration » ou « entretien ». La configuration des réglages du SAP détermine quels contrôles de sécurité sont opérationnels. Santé Canada suit les indications du gouvernement du Canada concernant les caractéristiques de sécurité et les contrôles connexes.

Une application opérationnelle aussi importante que SAP requiert une surveillance constante de ses caractéristiques de sécurité. Le profil d'un utilisateur détermine ce qu'il peut faire dans le système SAP. Un utilisateur ne doit pas se voir attribuer plusieurs rôles incompatibles; c'est ce qu'on appelle l'entretien de la séparation des responsabilités. Comme presque tout peut être configuré dans SAP, la surveillance des rôles, des autorisations créées ou modifiées, des actions détaillées des utilisateurs et de la séparation des responsabilités se doit d'être un processus officiel et constant. Le SAGIR dispose d'une équipe ayant pour mandat de surveiller les problèmes potentiels liés à la sécurité du fonctionnement du SAP.

Le SAGIR a adapté un programme de surveillance de la sécurité du SAP, en plus de mettre en oeuvre des activités connexes de surveillance harmonisées aux directives fournies par le SIFM. Cette procédure comprend plus de vingt étapes, qui seront exécutées manuellement ou automatiquement, sur une base hebdomadaire, mensuelle, ou semestrielle.

Maintes données du système SAP se retrouvent dans des tableaux. Les autorisations accordées aux utilisateurs se retrouvent dans un de ces tableaux, ce qui constitue un risque élevé pour Santé Canada. Par conséquent, ce tableau se doit d'être tenu et protégé adéquatement; la séparation des responsabilités des membres de l'équipe de sécurité est donc essentielle. Les responsabilités sont séparées entre l'employé qui tient ce tableau (chef de l'équipe de sécurité) et celui qui effectue les rapports sur la surveillance de la séparation des responsabilités (administrateur de la sécurité informatique).

L'équipe de soutien à la clientèle du SAGIR tient un service d'assistance qui reçoit les demandes de renseignements, les requêtes et les rapports de dérangement des utilisateurs relativement au fonctionnement du SAGIR/SAP par l'entremise de l'exploitation d'un « service d'assistance » local. Les documents de procédures du service d'assistance indiquent clairement comment résoudre ou signaler adéquatement les problèmes. Tous les appels reçus par le Bureau national de service faisant état d'un problème ou concernant une demande de renseignements sont entrés dans l'outil logiciel du bureau de service ministériel. Les billets concernant SAP qui sont envoyés au bureau de service sont transmis au service d'assistance du SAGIR/SAP. Les problèmes sont aussi signalés par courriel, par téléphone ou en personne. Les dix appels relatifs à la sécurité ayant été examinés étaient tous dûment documentés; le type, la catégorie et la classe de l'incident, les descriptions, les impacts, les mesures, le statut et l'historique des modifications étaient spécifiés. La plupart des incidents relatifs à SAP concernent les mots de passe des individuels.

Un élément clé du contrôle des rôles des utilisateurs consiste à tester les impacts des changements relatifs à la séparation des responsabilités. Chaque fois qu'un changement d'autorisation est demandé pour un utilisateur, Santé Canada utilise un outil fourni par le SIFM pluricellulaire pour surveiller les conflits potentiels de séparation des responsabilités. L'équipe de soutien à la clientèle du SAGIR doit assurer le fonctionnement de l'outil servant à tester la séparation des responsabilités et, le cas échéant, veiller au suivi des demandes d'examen par le chef de l'équipe de sécurité et à l'approbation adéquate du gestionnaire demandeur. Cet outil s'inscrit aussi dans l'activité de contrôle semestrielle. [Exempté en vertu des articles 16(2)(c), 21(1)(a), 21(1)(b)]

[Exempté en vertu des articles 16(2)(c), 21(1)(a), 21(1)(b)]

Recommandation 4

Il est recommandé que le sous-ministre adjoint de la Direction générale du contrôleur ministériel prenne des mesures permettant d'améliorer le contrôle de la sécurité du SAP et de régler les conflits de séparation des responsabilités.

Réponse de la direction

La direction souscrit à la recommandation.

Le SAGIR examinera les deux combinaisons de transactions identifiées comme étant problématiques par la vérification, afin de prendre les mesures qui s'imposent.  De plus, le SAGIR communiquera cette observation au Bureau du programme du SIFM, afin d'évaluer quelles améliorations pourraient être apportées à l'outil et de répertorier les pratiques exemplaires relatives à SAP utilisées par les autres ministères et qui pourraient être adoptées par Santé Canada.

3. Conclusion

En tant que solution de gestion des finances et du matériel pour le gouvernement du Canada, SAP jouit d'un appui important à Santé Canada et au sein des autres ministères. L'environnement de contrôle ministériel de la gestion et du fonctionnement du SAP est clair et conforme aux recommandations du SIFM pluricellulaire. Au sein de cet environnement de contrôle existe une unité organisationnelle séparée ayant pour mandat la gestion du fonctionnement du SAP; les rôles et les responsabilités sont bien définis et les employés sont conscients de leur responsabilisation. Les équipes chargées des activités et des technologies de l'information ont établi un partenariat afin de gérer les opérations SAP de façon intégrée.

Les domaines de contrôle examinés sont opérationnels. Par exemple, la gestion du changement suit un processus établi et le contrôle général des comptes utilisateurs fonctionne bien. Les procédures opérationnelles du SAP ont été définies et conçues afin de gérer et de surveiller efficacement les processus prévus et de garantir la précision du traitement des données. Toutefois, dans certains domaines, des améliorations permettraient de renforcer le contrôle et de réduire les risques opérationnels et sécuritaires.

Les modifications relatives à SAP sont gérées en tant que processus au sein des équipes chargées des activités et de l'équipe des TI du SAGIR. Bien que le groupe du SAGIR ait déjà mis en place des modifications significatives au SAP, il gagnerait à améliorer le processus de gestion des modifications, pour faciliter la mise en place des modifications à grande échelle et la gestion quotidienne. Cela aiderait aussi à la rétention du savoir ministériel, advenant le départ de membres expérimentés du personnel.

Bien que le contrôle des comptes utilisateurs fonctionne dans l'ensemble assez bien, SAGIR gagnerait à faire des progrès en ce qui concerne l'octroi des privilèges d'accès spécial et l'alignement des dates limites d'utilisation des comptes des usagers temporaires avec celles de la fin des contrats. Le cadre global de contrôle par lots garantit l'intégrité et l'authenticité des données applicatives externes traitées par SAP. Toutefois, certains problèmes pourraient se poser quant à la séparation des responsabilités entre le traitement fait par SAP et le traitement par lots, et le contrôle des lots d'entrée pourrait être renforcé afin de mieux protéger les données du système SAP.

La gestion de la sécurité du fonctionnement du SAP suit les directives du groupe pluricellulaire SIFM. L'évaluation des menaces et des risques (ÉMR) actuelle n'est toutefois pas à jour et devra être revue. De plus, les tests concernant les conflits liés à la séparation des responsabilités devront être renforcés. En se basant sur les conseils et les outils du groupe pluricellulaire SIFM, le SAGIR a mis sur pied un programme de suivi de la sécurité. [Exempté en vertu des articles 16(2)(c), 21(1)(a), 21(1)(b)]

Dans l'ensemble, le cadre de contrôle de gestion du SAP fonctionne bien. Certaines mesures précises pourraient être prises pour renforcer le cadre en mettant en oeuvre les quatre recommandations.

Appendix A - Champs d'enquête et critères de vérification

Critères de la Vérification des contrôles généraux du SAP
Titre du critère
Critères de vérification
Gouvernance et surveillance
1.1 Surveillance Un organe de gouvernance adéquat (comité directeur) a été formé afin d'établir l'ordre de priorité des investissements en TI relativement au fonctionnement du SAP et aux infrastructures de soutien.
1.2 Rôles et responsabilités Les rôles et les responsabilités relatifs aux systèmes SAP ont été clairement définis, documentés et compris.
1.3 Surveillance et rapport de la direction La direction a établi un suivi régulier spécifique du système SAP.
Gestion des modifications au système et contrôles opérationnels
2.1 Gestion des modifications Il existe des documents pour appuyer l'approbation par une autorité déléguée de toute évolution ou modification relative au logiciel.
2.2 Gestion des comptes utilisateurs Les comptes et les privilèges des utilisateurs sont autorisés par une autorité déléguée, et les pistes de vérification sont conservées.
2.3 Contrôles par lots Les procédures et le traitement des exceptions relatives au contrôle par lots garantissent l'intégrité et l'authenticité des données applicatives externes traitées par SAP.
2.4 Contrôles opérationnels Les procédures opérationnelles du SAP ont été définies et conçues afin de gérer et de suivre efficacement les processus prévus et de garantir la précision du traitement des données.
Mécanismes de protection
3.1 Dispositif de sécurité Les paramètres de configuration, le processus de certification et d'accréditation, et l'évaluation de la vulnérabilité de l'environnement du SAP respectent les normes et les objectifs du gouvernement du Canada.
3.2 Surveillance de la sécurité Le Ministère a mis en oeuvre des mesures de surveillance de la sécurité du SAP, conformément aux directives prescrites par le SIFM.

Annexe B - Grille d'évaluation

La cote et les explications correspondantes résument la situation actuelle pour chaque critère de vérification.
Critère Cote Conclusion
Gouvernance et surveillance
Surveillance S Une supervision est fournie aux niveaux gouvernemental et ministériel.
Rôles et responsabilités S Les rôles et les responsabilités sont clairement définis et compris.
Surveillance et rapport de la direction S Le suivi et les rapports sont exécutés tel qu'il a été prévu.
Gestion des modifications au système et contrôles opérationnels
Gestion du changement S Le processus de gestion des modifications est en place et est opérationnel, mais une meilleure documentation est requise.
Gestion des comptes utilisateurs DLA Les demandes d'accès spécial et les dates limites d'utilisation des comptes pour les employés temporaires pourraient être mieux gérées.
Contrôles par lots DIA Des modifications doivent être apportées aux contrôles par lots, afin de résoudre les problèmes de séparation des responsabilités entre les systèmes sources et SAP.
Contrôles opérationnels S Les procédures relatives aux opérations ont été efficacement conçues et définies.
Mécanismes de protection
Dispositif de sécurité DLA Une évaluation des menaces et des risques relatifs à SAP doit être menée.
Surveillance de la sécurité DAM La surveillance de la sécurité doit être améliorée, afin de détecter et de régler plus facilement les conflits liés à la séparation des responsabilités.

Légende :

  • S = Satisfaisant
  • DLA = Améliorations mineures requises
  • DAM = Améliorations modérées requises
  • DIA = Améliorations importantes requises
  • NS = Insatisfaisant
  • INPÊM = Impossible à évaluer

Annexe C- Fichiers d'interface par lots du SAP

[De l'information sensible à la sécurité a été suprimée conformément aux dispositions de l'exemption de la Loi à l'accès à l'information.]

Détails de la page

Date de modification :