Réponse et plan d’action de la direction : Audit de la gestion des biens de technologie de l’information

Depuis 2017, tous les biens de TI qui ont une valeur financière (au-delà du seuil nominal des faibles valeurs) ou opérationnelle (tous les biens acquis qui pourront contenir des données, y compris les appareils numériques et de mémoire) sont étiquetés et suivis. Un nouveau système de gestion des biens d’entreprise est en cours de développement avec l’intention d’être opérationnel en T3 de 2022-2023. Ceci mettra en place des mesures supplémentaires pour suivre l’utilisation opérationnelle et la protection des biens. Le système SAP demeurera la source officielle d’information pour la rétention et la protection des renseignements financiers liés aux biens.

Bien qu’un système de gestion des biens d’entreprise est en développement, des mesures supplémentaires seront mises en œuvre pour suivre l’utilisation opérationnelle et la protection des biens. La coordination et la liaison comprendront un engagement continu avec les propriétaires, y compris ceux dans des environnements de laboratoire, afin d’assurer la bonne manipulation de tous les biens.

De plus, des technologies sont en place pour atténuer le risque de la mauvaise manipulation des renseignements. Des exemples de ces technologies comprennent l’utilisation continue des capacités du CST, telles que des capteurs basés sur les hôtes et les réseaux, ainsi que des capacités internes, y compris « bitlocker » et la contrôle positive des USB.

1.1 Le processus d’étiquetage des biens matériels de TI est mis à jour depuis 2017.

Terminé

DPI-DGSG
DG chargé pour les opérations en laboratoire

1.2 Mettre en œuvre une capacité de gestion électronique des biens de TI pour le matériel et les logiciels.

T3, 2022-2023

DPI-DGSG

1.3 Réaliser un inventaire de base du matériel et des logiciels en utilisant la capacité de GBTI et s’assurer que les données d’inventaire sont mises à jour en conséquence.

T4, 2022-2023

DPI-DGSG
DG DOF-DGDPF

1.4 Les biens matériels de Services aux Autochtones Canada (SAC) sont transférés depuis l’inventaire du système SAP.

Terminé

DG DOF-DGDPF 

La Norme sur la gestion des biens de Santé Canada définit les biens de TI comme suit : « L’équipement qui est pris en charge par la Direction des services de gestion de l’information, notamment les ordinateurs, les moniteurs, les ordinateurs portatifs, les imprimantes, les numériseurs, les disques durs externes, les projecteurs, les appareils BlackBerry/ANP, les serveurs et l’équipement de serveur. » Elle indique également que les laboratoires spécifiés sont responsables des activités liées à l’acquisition, à la gestion des code-barres et à l’élimination des biens de laboratoire. Les biens de laboratoire dotés de composantes numériques ne correspondent pas à la définition des biens de TI, ne sont pas soumis à la gestion des biens de TI et n’auraient pas dû être inclus dans la portée de l’audit. La DGSG et la DGDPF continueront à travailler auprès des DG chargés des opérations de laboratoire afin d’assurer que les biens sont pris en compte et que les protections nécessaires pour les renseignements sont en place.

2.1 Examiner et mettre à jour les définitions des biens de TI et des laboratoires et définir les responsabilités. Présenter et valider les nouvelles définitions et processus par moyen de la gouvernance actuelle.

T1, 2022-2023

DG DOF-DGDPF 
DPI-DGSG
DG chargé pour les opérations en laboratoire

2.2 Réviser les politiques et les normes relatives aux biens de Santé Canada et de l’ASPC afin de clarifier les rôles et les responsabilités liés à ces politiques et à ces normes, y compris pour tout le matériel de TI de faible valeur et pour le traitement du matériel de laboratoire.

T1, 2022-2023

DG DOF-DGDPF 
DPI-DGSG
DG chargé pour les opérations en laboratoire

2.3 Effectuer une analyse de l’écart entre, d’une part, les politiques, les directives et les PON existantes en matière de GBTI et, d’autre part, les politiques et les normes de l’organisation.

T3, 2022-2023

DPI-DGSG

2.4 Mettre en œuvre et diffuser des politiques, des directives et des PON mises à jour en matière de GBTI sur maSource et tous les autres systèmes pertinents.

T4, 2022-2023

DPI-DGSG

Il existe un certain nombre de discussions avec la gouvernance qui font partie du cycle général de planification des investissements et de la TI. L’équipe d’architecture d’entreprise présente les données de la GPA aux différentes directions générales afin d’éclairer leur planification opérationnelle et d’alimenter le processus de planification des investissements du Ministère. Cela aboutit à des décisions d’investissement au niveau du Comité exécutif pour les immobilisations et les PI. Le processus annuel de planification de la TI complète le processus de planification des investissements et permet d’identifier les risques et les occasions d’investissement à l’appui du cadre de modernisation numérique. Ils sont tous deux examinés par les organes de gouvernance ministériels et approuvés par l’administrateur général.

Un élément clé de la gouvernance des PI ministérielles à SC est le rôle des experts en la matière au niveau des DG pour les quatre classes d’actifs. Une de ces classes d’actifs est le domaine de la GI/TI qui surveille les biens de TI et est mené par le DPI de Santé Canada. Les investissements en la GI/TI qui sont significatifs en valeur monétaire ou sont un risque plus élevé sont présentés à la gouvernance de la PI aux fins d’approbation et sont assignées les capacités et les ressources convenables.

En juillet 2021, l’ASPC a créé un comité au niveau des vice-présidents pour les ressources et les opérations; le comité est responsable du suivi et de la supervision de la planification des investissements, ce qui comprend la gouvernance et la surveillance de l’affectation des ressources financières, des décisions d’investissement et des subventions et contributions, ainsi que l’exercice d’une fonction d’examen critique de la planification financière, opérationnelle et des ressources des directions générales et de l’Agence (achats, TI, locaux, etc.), et le suivi de la mise en œuvre continue des plans approuvés afin de garantir l’harmonisation entre les opérations, les dépenses et les résultats pour la réalisation générale des priorités et des résultats de l’Agence.

3.1 Continuer à s’assurer que les biens de TI sont pris en compte dans le processus de planification des investissements et dans la gouvernance de Santé Canada.

Terminé

DPF-Santé Canada
SMA-DGSG

3.2 S’assurer que les biens de TI sont pris en compte dans le processus de planification des investissements et dans la gouvernance de l’ASPC.

T4, 2021-2022

DPF-ASPC
SMA-DGSG

3.3 S’assurer que le plan annuel de TI comprend une composante de gestion des biens de TI.

Terminé

DPI-DGSG

La DGSG fournit la gestion des logiciels pour Santé Canada et l’ASPC et l’approvisionnement est géré dans le système SAP avec les données provenant directement du Service passerelle : https://servicegateway-passerelledeservice.hc-sc.gc.ca/en/software.html.

Le système de SAP n’a pas la même fonctionnalité que d’autres outils de gestions des biens logiciels et la direction convient qu’un nouveau système est nécessaire pour gérer les logiciels plus efficacement. Toutefois, un audit réalisé en 2019 par KPMG pour le compte d’IBM a révélé une conformité dans 120 cas sur 125, ce qui indique de façon fiable que la gouvernance, les politiques et les processus en place pour la gestion des biens logiciels à Santé Canada et ASPC sont en relativement bon état.

La DGSG travaillera avec la DGDPF pour améliorer la gestion du cycle de vie des logiciels. Un examen des outils et des processus existants dans le cadre de l’analyse des lacunes (voir Produits livrables 2.2 et 2.3) sera pris en compte pour établir les exigences d’une solution intégrée de GBL visant à numériser le processus opérationnel afin de soutenir l’intégrité des données dans le cadre de la gestion des biens.

4.1 Élaborer un document général sur les exigences opérationnelles à l’appui d’une solution de TI intégrée.

T4, 2021-2022

DPI-DGSG

4.2 Examiner les politiques et les processus relatifs aux biens logiciels.

T3, 2022-2023

DPI-DGSG

4.3 Mettre en œuvre la capacité de gestion des biens logiciels.

T3, 2022-2023

DPI-DGSG

Il convient de faire une distinction entre la gestion des applications opérationnelles, du matériel de TI et des logiciels. Le matériel et les logiciels seront traités par l’adoption d’un nouveau système de GBTI.

Des fonctions améliorées de gestion et d’intégration des données, des processus et des capacités de GBTI (logiciels et matériel) seront fournies dans le cadre d’une nouvelle capacité de GBTI (1.2), où les erreurs humaines seront réduites au minimum grâce à l’utilisation des capacités d’automatisation fournies par l’outil. La qualité des données sera également améliorée par le déploiement d’une capacité de découverte qui permettra de trouver et d’identifier les biens matériels et logiciels de TI sur le réseau, fournissant une identification et un suivi des biens en temps réel.

En plus de la mise en œuvre par la DGSG d’une solution de GBTI indépendante pour le suivi et la surveillance du matériel et des logiciels, la DGDPF examinera les mesures de contrôle actuelles des entrées dans le système (SAP) afin de déterminer si d’autres erreurs de saisie de l’utilisateur peuvent être signalées, et elle lancera une demande de modification du système SAP en conséquence.

Comme indique l’audit, le processus de gestion et de suivi des données pour les applications opérationnelles de l’organisation est bon, mais pas cohérent, ce qui entraîne certains problèmes de qualité des données. Il serait également possible de collaborer davantage avec les intervenants, y compris les organes de gouvernance, dans le suivi et la gestion des applications opérationnelles par la GPA. Depuis son introduction en 2017, cependant, le programme de GPA a évolué en ce qui a trait à la gestion des applications opérationnelles et Santé Canada et l’ASPC ont reçu des notes favorables liées au CRG pour le niveau global de maturité en matière de TI, qui inclut la GPA comme facteur d’évaluation.

5.1 Mettre à jour les PON et le matériel de formation pour les outils de suivi des logiciels et du matériel.

T2, 2022-2023

DPI-DGSG

5.2 Améliorer les indicateurs d’erreur d’entrée dans le système.

T1, 2022-2023

DG DOF-DGDPF

5.3 Examiner et affiner l’ensemble de données obtenu dans l’outil de GPA afin de garantir la pertinence des données recueillies et de clarifier qui est responsable de la tenue à jour de chaque point de données parmi tous les propriétaires opérationnels et pour tous les domaines fonctionnels de GI-TI.

T2, 2022-2023

DPI-DGSG

De plus en plus, des mesures sont en place pour assurer que les coûts continus d’entretien sont prises en compte dans les décisions concernant les applications opérationnelles. La gouvernance ministérielle assure des coûts permanents conformément au modèle convenu dans les plans de transition pour les nouvelles applications opérationnelles. Il s’agit d’une condition préalable à l’approbation du point de contrôle 4, conformément au cadre ministériel de gestion de projets. En réponse à la recommandation voulant que les futurs coûts d’entretien permanents soient inclus dans le coût total des nouvelles applications opérationnelles, la DGDPF a créé en 2020, en collaboration avec la DSGI, un outil ministériel de calcul des coûts des projets de TI pour déterminer le coût des nouvelles applications opérationnelles; l’outil a été approuvé par la gouvernance ministérielle, et il comprend un composant permettant de calculer les futurs coûts d’entretien permanents. Une fois les coûts d’entretien permanents calculés, les décisions de financement sont prises. Si l’application opérationnelle fait partie d’une demande de financement du cadre financier, le financement des coûts d’entretien permanents est inclus dans la demande budgétaire et la présentation connexe au Conseil du Trésor.

L’outil de calcul des coûts des projets de TI peut également être utilisé pour déterminer les coûts continus des applications opérationnelles existantes. Pour une application opérationnelle existante, la source de financement pour les coûts d’entretien continus a été établie. Pour une situation dans laquelle la source de financement est insuffisante, l’outil de calcul des coûts des projets de TI peut servir à déterminer le besoin en matière de ressources et les demandes de financement peuvent être présentées à la gouvernance ministérielle pour demander un financement supplémentaire. Le Ministère continuera à examiner les applications d’affaires vieillissantes de TI comme partie de la présentation annuelle de rapport au SCT et évaluer les risques associés aux coûts continus d’entretien.   

Le cadre de gestion du développement des systèmes de TI s’applique aux applications opérationnelles nouvelles ou modifiées et comprend l’élaboration d’un plan de transition (voir ci-dessus). Le cadre a été accepté en tant que produit livrable achevé dans le cadre de la réponse et du plan d’action de la direction (RPAD) à l’audit du développement des systèmes de TI (1.1). Le processus d’assurance de la qualité visant à faire respecter la conformité est en train d’être achevé pour clore cette RPAD (3.4).

6.1 Revoir et mettre à jour le modèle de coûts normalisé.

Terminé

DPI-DGSG
DRCPI-DGDPF-Santé Canada
DG-BDPF-ASPC

6.2 Évaluer le niveau de risque lié au financement insuffisant afin de traiter des coûts continus d’entretien des applications et mettre à jour le modèle normalisé de coûts applications opérationnelles actuelles. Présenter le plan pour combler les lacunes actuelles en financement aux comités de gouvernance des investissements du ministère et de l’agence.   

L’audit met en évidence un manque de contrôle des biens et le risque subséquent d’une éventuelle perte de contrôle des renseignements privés et publics. La direction a noté, après examen, que les renseignements contenus dans ces biens de faible valeur sont sécurisés, en s’appuyant sur les preuves ci-dessous.

Les renseignements stockés sur les clés USB sont sécurisés :

• La perte de contrôle des clés USB et des renseignements contenus sur les clés USB a été identifiée comme un risque potentiel. Depuis 2014, seulement les clés USB sécurisés ont été capables de connecter aux appareils ministériels. Les renseignements sur une clé USB sécurisé ne seront pas accessibles si l’appareil est perdu ou volé en raison qu’ils ne peuvent pas être accédés sans les renseignements ICP du détenteur. Il est aussi impossible d’utiliser une clé USB non émise par le gouvernement sur des appareils numériques gouvernementaux.
• Tous les autres appareils de mémoire de grande capacité sont interdits, sauf si approuvé par l’établissement d’une liste blanche. Une nouvelle diffusée a été émise le 22 avril 2014.

Tous les appareils de Santé Canada et l’ASPC sont chiffrés pour protéger les renseignements si un appareil est perdu, volé ou accédé de façon inappropriée : 

• La fonction de chiffrement BitLocker a été introduite sur les ordinateurs de Santé Canada et de l’ASPC dans le cadre de la mise à niveau de Windows 7 en 2014-2015, et elle continue d’être utilisée. BitLocker protège les données des appareils informatiques en empêchant tout accès non autorisé au disque dur et aux renseignements qu’il contient (élément de preuve R1-1).

Tous les ordinateurs de Santé Canada et de l’ASPC sont dotés de capteurs du CST qui permettent de surveiller les appareils pour les protéger contre le vol et les tentatives d’accès involontaires ou intentionnelles :

• Le CST a mis en œuvre des capacités de capteur basé sur l’hôte au premier trimestre de 2015. Ces capteurs sont présents sur les appareils de TI et détectent toute tentative d’accès involontaire, malveillant ou non approuvé lorsqu’ils sont connectés à un réseau. Les capacités de capteur basé sur l’hôte ont été renforcées par la mise en œuvre de capteurs en réseau et en infonuagique au cours des années suivantes afin de protéger les autres éléments dorsaux de l’infrastructure de TI de Santé Canada et l’ASPC.

La DGDPF examinera la politique actuelle de GBTI sur les biens de faible valeur attrayants et pouvant être suivis. Les responsabilités des SMA et des autres intervenants seront clairement définies dans les politiques et les directives révisées.

7.1 Examiner et mettre à jour la politique actuelle de GBTI pour les biens de TI de faible valeur monétaire afin de déterminer le degré de surveillance basé sur les risques requis.

T4, 2021-2022

DG DOF-DGDPF
DPI-DGSG

7.2 Définir clairement les responsabilités des SMA et des autres intervenants dans les politiques et les directives de gestion des biens révisées.

T1, 2022-2023

DG DOF-DGDPF
DPI-DGSG

La gouvernance liée à la gestion des applications est plus mature que ce qui est représenté. Le rapport d’audit souligne que la Gestion des du portefeuille d’applications de la DSGI manque de collaboration avec les clients des organes de gouvernance. Il convient de noter qu’il existe un certain nombre de discussions avec la gouvernance qui font partie du cycle général de planification des investissements et de la TI.

• L’équipe chargée de la GPA présente les données de la GPA aux différentes directions générales afin d’éclairer leur planification opérationnelle et d’alimenter le processus de planification des investissements du Ministère (voir l’élément de preuve R8-1). Cela aboutit à des décisions d’investissement au niveau du Comité exécutif pour les immobilisations, la planification des investissements et les vulnérabilités ciblées ou les demandes visant la réserve du sous-ministre (voir les preuves à R3).
• Le processus annuel de planification de la TI complète le processus de planification des investissements et permet d’identifier les risques et les occasions d’investissement à l’appui du cadre de modernisation numérique. Ils sont tous deux examinés par les organes de gouvernance ministériels et approuvés par l’administrateur général (voir les preuves à R-3).

8.1 Mobilisation continue par l’intermédiaire des organes de gouvernance pour surveiller et mettre à niveau les biens de TI vieillissants.

En cours

SMA-DGSG
DRCPI-DGDPF-Santé Canada 
BDPF-DG-BDPF-ASPC

8.2 Mettre en œuvre l’engagement sur la Stratégie du nuage et le modèle financier afin de migrer 40 pourcent des applications au niveau Protégé B, intégrité moyenne, disponibilité moyenne (PBMM) et moins dans le nuage public.

T3, 2028-2029

Nota : Les échéanciers correspondent aux plans actuels au niveau du gouvernement du Canada. Des discussions sont en cours, mais ce sont les dates de complétion de la migration de 40 pour cent de ces applications.

DPI-DGSG
DPF-SC
DPF-ASPC

Au cours de l’exercice financier de 2020-2021, la DGSG a mis en œuvre un programme de mise à jour continue du matériel de TI pour les ordinateurs, fondé sur un cycle d’amortissement de cinq ans, pour Santé Canada et l’ASPC. La DGSG continuera de mobiliser les intervenants et de faire évoluer la stratégie de mise à jour continue en collaboration avec SPC dans le cadre des activités de TI d’entreprise.

9.1 La DGSG a mis en œuvre un programme de mise à jour continue du matériel de TI pour les ordinateurs, fondé sur un cycle d’amortissement de cinq ans, pour Santé Canada et l’ASPC.

Terminé

DPI-DGSG

9.2 Travailler avec SPC pour faire évoluer la stratégie de mise à jour continue du matériel de TI vieillissant.

T4, 2021-2022

DPI-DGSG

L’équipe d’architecture d’entreprise de la DGSG est responsable du processus opérationnel de déclassement des applications.

L’équipe d’architecture d’entreprise dispose déjà d’une stratégie de déclassement des applications qui a été élaborée en consultation avec des groupes de la DSGI et de l’extérieur de celle-ci, ainsi qu’avec la participation des responsables opérationnels dans le cadre de divers projets pilotes en 2019-2020. La mise en œuvre plus officielle de la stratégie a commencé en 2020-2021, lorsqu’une description écrite du processus de déclassement et le formulaire connexe destiné au client ont été publiés sur GCpédia.

La participation directe des intervenants pour communiquer le processus de déclassement et les attentes sous-jacentes est encore nécessaire, notamment pour la socialisation et l’intégration aux projets d’investissement en TI par l’intermédiaire des diverses tables de gouvernance.

10.1 L’équipe d’architecture d’entreprise de la DGSG est désignée responsable du processus opérationnel de déclassement des applications.

Terminé

DPI-DGSG

10.2 Améliorer la communication avec les intervenants et l’établissement de rapports sur le déclassement des applications pour tous les projets d’investissement en TI lors des tables officielles de gouvernance relatives aux investissements.

T1, 2022-2023

DPI-DGSG
DPF-Santé Canada
DPF-ASPC