Audit des contrôles ciblés de la gestion des dispositifs de stockage des données du Secrétariat du Conseil du Trésor du Canada : rapport final

Table des matières

Énoncé de conformité

Le Bureau de la vérification interne et de l’évaluation (BVIE) a effectué un audit des contrôles ciblés (ACC) de la gestion des dispositifs de stockage des données du Secrétariat du Conseil du Trésor du Canada (SCT). Cet audit est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité du BVIE.

1. Renseignements généraux

1.1 Pouvoirs

L’audit des contrôles ciblés de la gestion des dispositifs de stockage des données du Secrétariat du Conseil du Trésor du Canada fait partie du Plan d’audit triennal axé sur les risques 2015-2017 du SCT qui a été approuvé.

1.2 Contexte

L’ACC est un produit qui vise à fournir une assurance raisonnable que les contrôles clés d’une entité auditée accomplissent la tâche pour laquelle ils ont été conçus. Comparativement à un audit interne type, la portée d’un ACC est définie à l’aide d’approches moins intensives et elle est plus ciblée. Afin qu’elle soit la plus efficace possible, l’ACC requiert que l’entité auditée ait établi des processus de contrôle stables et documentés.

En 2014, le BVIE a réalisé un examen de la sécurité des dispositifs de stockage des données (DSD), ce qui a permis de définir les domaines où la gestion des DSD pourrait être améliorée. Les résultats de cet examen et les améliorations subséquentes que la direction avait apportées aux contrôles ont été pris en considération pour établir la portée de l’ACC.

Les éléments suivants liés à la gestion des DSD faisaient partie de la portée de l’audit : la gestion des actifs, la sécurité matérielle, la gestion des incidents et la sécurité des TI.

1.3 Objectif et portée

L’objectif consistait à évaluer la pertinence et l’efficacité des contrôles clés ayant trait à la gestion des DSD du SCT et de l’information qu’ils contiennent, et à fournir un niveau d’assurance raisonnable pour un ensemble précis de contrôles clés.

La portée de l’ACC se limitait aux contrôles associés aux principaux objectifs de contrôle convenus avec la direction pendant la phase de planification. Les principaux objectifs de contrôle portaient sur les phases suivantes du cycle de vie des DSD : approvisionnement, utilisation, retrait et destruction. Les dispositifs suivants étaient visés par la portée : les ordinateurs portables, les tablettes, les téléphones intelligents (BlackBerry et iPhone), les clés USB à mémoire flash, les ordinateurs de bureau, et les dispositifs multifonctionnels (imprimantes).

Éléments exclus de la portée

Les serveurs qui relèvent de Services partagés Canada ont été exclus de la portée. Les appareils photo numériques, les disques durs portables et les scanneurs ont également été exclus de la portée de l’ACC en raison de leur utilisation restreinte. Les contrôles ayant trait aux téléphones intelligents ont été examinés lorsque ces contrôles relevaient du SCT et non pas de Services partagés Canada.

L’audit portait sur les contrôles mis en place de janvier 2015 à juin 2016.

1.4 Approche et méthodologie

L’approche et la méthodologie ont été conçues pour fournir une assurance raisonnable que l’objectif de l’audit serait atteint. L’audit comprenait divers tests jugés nécessaires pour fournir cette assurance, notamment :

  • des entrevues
  • des revues du processus
  • des essais de contrôle fondés sur des échantillons
  • des analyses de données

2. Résultats

[L’information a été retranchée.]

3. Conclusion

Le chiffrement est un élément clé de la gestion des risques associés à la sécurité de l’information, et l’ACC a permis de déterminer que les contrôles par chiffrement étaient efficaces. Outre le chiffrement, les objectifs des contrôles n’ont pas été atteints dans d’autres domaines de gestion des dispositifs de stockage des données, ce qui pourrait exposer l’organisme à d’autres risques résiduels. [L’information a été retranchée.]

4. Recommandations

Il est recommandé que le Secteur des services ministériels (SSM) du SCT établisse un plan pour améliorer les contrôles liés aux dispositifs de stockage des données, en tenant compte des résultats de l’audit. Afin de faciliter ce processus, le Bureau de la vérification interne et de l’évaluation a formulé quatre recommandations sur le renforcement des contrôles :

[L’information a été retranchée.]

5. Réponse de la direction

La direction a accepté les résultats de l’audit des contrôles ciblés et a établi un plan d’action (voir l’Annexe) afin de donner suite aux recommandations. Le plan d’action de la direction devrait être pleinement mis en œuvre au plus tard le 31 mars 2018.

Annexe – réponses de la direction

[L’information a été retranchée.]

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes :

Déclaration de confidentialité

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :