ARCHIVÉE - Réponse et plan d'action de la direction – Vérification des contrôles généraux du SAP

Septembre 2011

Vérification des contrôles généraux du SAP
Recommandations
Réponse et mesures prévues par la direction
Produits livrables
Date d'achèvement prévue
Responsables
Recommandation 1 

Il est recommandé au sous-ministre adjoint, Direction générale du contrôleur ministériel (DGCM), de renforcer le contrôle des comptes utilisateurs du système SAP, notamment en ce qui concerne le suivi des demandes d'accès spécial et les dates limites d'utilisation des comptes des employés temporaires.

La direction souscrit à la recommandation.

Bien que tous les détails nécessaires ne soient pas toujours joints au formulaire de demande d'accès spécial, des documents et des communications relatifs au contexte et à la raison des demandes existent sous forme de courriels ou de communications verbales. Ces renseignements supplémentaires permettent à l'approbateur de prendre une décision éclairée. À l'avenir, on rappellera aux employés d'inscrire sur le formulaire le but ou l'objectif de toute demande d'accès spécial. L'équipe de sécurité du SAP mettra à jour ses procédures; l'option de suivi de l'utilisateur sera activée et les résultats seront joints au formulaire de demande d'accès spécial.

Le SAGIR formulera une demande d'élaboration, afin que le formulaire de demande d'accès spécial à SAP inclue dorénavant le statut de l'employé (indéterminé, occasionnel, déterminé, contractuel) et la date de fin de l'emploi ou du contrat; celle-ci constituera la date limite d'utilisation des comptes utilisateurs des employés temporaires ou contractuels.

À court terme, le SAGIR demandera aux agents responsables de la sécurité du SAP pour la Division d'utiliser le champ réservé aux commentaires pour inscrire le statut de l'utilisateur (ex. : état d'emploi ou fournisseur) et la date limite d'utilisation appropriée, le cas échéant.

Envoi d'un courriel aux employés du SAGIR pour leur rappeler d'inscrire sur le formulaire le but ou l'objectif de toute demande d'accès spécial. L'approbateur devra s'assurer que les documents nécessaires sont joints au formulaire de demande. Septembre 2011 DGCM-SAGIR
Mise à jour des procédures de sécurité du SAP liées aux demandes d'accès spécial. Septembre 2011 DGCM-SAGIR / Direction générale des services de gestion (DGSG)-Équipe des technologies informatiques (TI) du SAGIR
Mise à jour du formulaire de demande d'accès aux utilisateurs du SAP (base de données de Lotus Notes). Mars 2012 DGCM-SAGIR, DGSG-Équipe des TI du SAGIR- Centre de résolution des problèmes de la Direction des services de gestion de l'information (DSGI)- Applications et systèmes ministériels
Mise à jour des instructions de sécurité du SAP concernant les demandes d'accès spécial et signalement du changement aux agents responsables de la sécurité du SAP pour la Division. Septembre 2011 DGCM-SAGIR
Recommandation 2

On recommande que le sous-ministre adjoint, DGCM, renforce le contrôle du traitement par lots des fichiers dans SAP en incorporant les totaux de concordance par lots aux exigences d'interface du SAP.

La direction souscrit à la recommandation.

Comme l'indique le rapport, des rapprochements ont été mis en oeuvre afin de garantir la complétude de données entre les systèmes sources internes de Santé Canada (SC) et SAP. Ces rapprochements garantissent la complétude des données et minimisent les risques. Comme SC prévoit remplacer ses deux applications de subventions et de contributions par un seul système, il ne serait pas rentable de mettre en oeuvre de nouvelles exigences d'interface pour le moment. Le SAGIR préparera de nouvelles exigences d'interface génériques et celles-ci comprendront les totaux de concordance par lots. Les nouvelles exigences seront mises en oeuvre pour toutes les nouvelles interfaces ou lorsque des modifications sont apportées aux interfaces existantes liées aux systèmes sources internes de SC.

Documents d'exigences d'interface génériques par lots mis à jour. Décembre 2011 DGCM-SAGIR, DGSG-Équipe des TI du SAGIR
Recommandation 3

Il est recommandé que le sous-ministre adjoint de la Direction générale du contrôleur ministériel, en consultation avec le sous-ministre adjoint de la Direction générale des services de gestion, réalise l'évaluation des menaces et des risques (ÉMR) concernant SAP, en accord avec la Politique de sécurité des TI de Santé Canada.

La direction souscrit à la recommandation.

Le SAGIR et son équipe des TI collaboreront avec la DGSG pour mettre à jour l'ÉMR du SAP, en accord avec la Politique de sécurité des TI de Santé Canada.

Mise à jour de l'évaluation des menaces et des risques (ÉMR) pour SAP. Mars 2012 DGCM-SAGIR / DGSG-Équipe des TI du SAGIR, en collaboration avec l'équipe de sécurité des TI de la DSGI-DGSG
Recommandation 4

Il est recommandé que le sous-ministre adjoint de la Direction générale du contrôleur ministériel prenne des mesures permettant d'améliorer le contrôle de la sécurité du SAP et de régler les conflits de séparation des responsabilités.

La direction souscrit à la recommandation.

Le SAGIR examinera les deux combinaisons de transactions reconnues par la vérification comme étant problématique, afin de prendre les mesures qui s'imposent. De plus, le SAGIR communiquera cette observation au Bureau du programme du SIFM, afin d'évaluer quelles améliorations pourraient être apportées à l'outil et de répertorier les pratiques exemplaires relatives à SAP utilisées par les autres ministères et qui pourraient être adoptées par Santé Canada.

Examen des combinaisons de transactions ayant été reconnues par la vérification comme étant problématique, et mesures de suivi basées sur les risques cernés. Octobre 2011 DGCM-SAGIR / DGSG-Équipe des TI du SAGIR
Améliorations au tableau de contrôle de la séparation des pouvoirs du SAP, fondées sur l'évaluation faite avec le Bureau du programme du SIFM et sur les pratiques exemplaires des autres ministères. Juin 2012 DGCM-SAGIR / DGSG-Équipe des TI du SAGIR
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :