Cahier d’information : Comité permanent des comptes publics (PACP) de la Chambre des communes - Rapports 7 et 8 de la vérificatrice générale du Canada
Allocution d’ouverture
Scott Jones, président, Services partagés Canada - Comité permanent des comptes publics (PACP)
En réponse aux rapports du Bureau du vérificateur général sur le programme de Modernisation du versement des prestations et sur la modernisation des systèmes de technologie de l’information
14 décembre 2023
Monsieur le président et membres du Comité, je suis heureux d’être ici pour vous parler des récents rapports de la vérificatrice générale ainsi que des progrès réalisés par Services partagés Canada (SPC) dans la mise en œuvre des recommandations.
Avant de commencer, j’aimerais souligner que nous sommes réunis sur le territoire traditionnel et non cédé du peuple algonquin Anishinaabe.
Je suis accompagné aujourd’hui de Scott Davis, dirigeant principal des finances, et de Shannon Archibald, sous-ministre adjointe de la Direction générale des services d’hébergement.
SPC accueille favorablement les conclusions de l’audit et ses recommandations. Cet audit aidera le gouvernement du Canada à renforcer et à améliorer ses systèmes de technologie de l’information (TI) et ses services d’hébergement.
Monsieur le président, la modernisation des systèmes de TI du gouvernement du Canada exige une approche à l’échelle de l’entreprise et SPC s’est engagé à collaborer avec les ministères et leurs dirigeants principaux de l’information pour y parvenir.
SPC fournit l’infrastructure de TI de base qui permet aux ministères d’héberger leurs applications, afin que la population canadienne ait accès à des programmes et à des services numériques sécurisés.
Bien que SPC soit responsable de l’infrastructure de TI du gouvernement du Canada, il est important de noter que les ministères sont responsables de la modernisation ou de la mise hors service des applications qui sont hébergées sur l’infrastructure de SPC.
SPC a mis en place un plan pour remédier au vieillissement de l’infrastructure, comme l’a souligné le rapport de la vérificatrice générale, et nous y travaillons.
SPC continue de collaborer avec le Secrétariat du Conseil du Trésor et les ministères pour faire progresser les objectifs de modernisation et veiller à ce que l’infrastructure de TI désuète soit remplacée par des solutions d’hébergement modernes et stables.
Dans le cadre de ce processus, nous collaborons avec le SCT, les ministères et leurs dirigeants principaux de l’information pour identifier les applications les plus à risque.
Les investissements réalisés au cours des 2 dernières années nous ont permis de renouveler l’infrastructure de base du gouvernement. Ceci a permis de complètement transformer le réseau central du gouvernement en un réseau moderne.
Pour appuyer la modernisation des applications par les ministères, SPC offre des solutions d’hébergement modernes, y compris des services infonuagiques et des centres de données d’entreprise à la fine pointe de la technologie. Ces solutions modernes sont essentielles pour offrir des services et des programmes numériques aux Canadiens.
Par exemple, SPC travaille sur l’infonuagique privée pour offrir des possibilités de modernisation des applications et des solutions de périphérie pour répondre aux besoins de latence.
Dans le cadre de sa Stratégie de services d’hébergement, SPC continuera de soutenir les applications des ministères tout en améliorant la sécurité et la stabilité des centres de données d’entreprise.
Cette Stratégie de services d’hébergement offrira également des solutions adaptées aux différentes charges de travail et applications. En mettant l’accent sur l’innovation, la durabilité et la cybersécurité, nous nous assurons de servir efficacement la population canadienne tout en établissant des partenariats plus solides et en inspirant confiance.
Dans le cadre du Programme de modernisation du versement des prestations d’Emploi et développement social Canada (EDSC), SPC fournit la connectivité infonuagique sous-jacente et les véhicules d’approvisionnement connexes.
Plus précisément, SPC est responsable de la conception et de la modernisation de l’infrastructure numérique afin d’appuyer la modernisation des versements des prestations par le biais d’une planification, d’une supervision et d’une gouvernance rigoureuses des projets.
SPC continue de travailler en étroite collaboration avec EDSC pour fournir des conseils et avis sur les diverses composantes de la solution numérique
Afin de mieux communiquer et collaborer avec tous les ministères du gouvernement, SPC a lancé « Le numérique ensemble ». Ce plan vise à accélérer les progrès dans les domaines des services numériques, de la connectivité, de l’hébergement et de la cybersécurité.
M. le président, SPC reconnaît la nécessité d’une modernisation efficace et rentable. Dans le cadre du plan « Le numérique ensemble », nous identifions et priorisons les initiatives qui répondent aux priorités du gouvernement, tout en nous alignant sur les objectifs de modernisation numérique et notre approche d’entreprise.
Il s’agit d’un parcours qui sera alimenté à la fois par la modernisation à grande échelle des plateformes existantes et par l’amélioration continue de la façon dont les Canadiens interagissent avec la technologie pour accéder aux services.
La mise hors service de l’infrastructure existante est complexe et nécessite une collaboration avec les ministères afin de s’assurer qu’il n’y a pas d’interruption des applications opérationnelles critiques.
En travaillant ensemble et en tirant parti des forces de ses partenaires, SPC peut relever les défis complexes auxquels le gouvernement est confronté et fournir des solutions novatrices qui entraînent des changements positifs et sûrs pour la population canadienne.
Monsieur le président, en résumé, SPC a un plan pour offrir une infrastructure de TI stable et pour assurer la connectivité d’un bout à l’autre du pays. Nous continuerons à chercher des moyens d’innover et de nous améliorer. Toutefois, pour réaliser cette vision, des investissements continus seront nécessaires.
Nous serons heureux de répondre à vos questions.
Merci.
Réaliser le numérique ensemble
Objet
Services partagés Canada (SPC) a un nouveau plan stratégique qui guidera les opérations : moderniser l’écosystème de technologie de l’information (TI) du gouvernement du Canada (GC) et mettre en œuvre de nouvelles capacités.
Messages clés
- L’initiative « Réaliser le numérique ensemble » oriente les efforts pour simplifier les opérations, tirer parti de solutions communes et mettre en œuvre des capacités modernes, afin que les ministères et organismes puissent offrir des services à la population canadienne de manière efficace.
- L’approche est de fournir des services numériques, de connectivité et d’hébergement sécurisés et fiables qui permettent aux fonctionnaires de collaborer sans heurt dans l’ensemble du GC afin de servir la population canadienne.
- La mise en œuvre orientera le Ministère et les intervenants vers une destination commune : moderniser la prestation des programmes et des services à la population canadienne.
Si l’on insiste
Si l’on insiste sur le calendrier de l’initiative :
- Depuis 2019, SPC est guidé par un ensemble de principes de base qui mettent l’accent sur une approche pangouvernementale pour gérer et améliorer l’écosystème des TI.
- Cela s’est avéré être un moyen efficace de fournir des services et d’orienter les opérations ministérielles vers un modèle d’entreprise.
- La nécessité de continuer à évoluer et à construire est motivée par l’environnement de travail hybride postpandémique, les changements technologiques constants et les attentes croissantes des Canadiens à l’égard des services numériques.
Si l’on insiste sur les prochaines étapes :
- « Réaliser le numérique ensemble » se concentre sur la communication de plans clairs et transparents dans tous les domaines clés de l’entreprise.
- SPC continuera d’élaborer et de peaufiner ses activités liées à « Réaliser le numérique ensemble » en mobilisant les intervenants du GC, y compris le dirigeant principal de l’information du Secrétariat du Conseil du Trésor (SCT), les administrateurs généraux et les dirigeants principaux de l’information des ministères.
- SPC travaillera aussi avec des intervenants externes et des partenaires de l’industrie afin d’identifier des occasions de collaborer à l’élaboration de solutions qui répondront aux besoins du GC.
Contexte
- Dans le cadre de son mandat de consolidation et de normalisation de l’infrastructure de TI du gouvernement, SPC a continué de faire évoluer et d’améliorer sa façon d’offrir des services partagés de TI à ses partenaires et clients.
- Aujourd’hui, l’environnement de travail hybride postpandémique, les changements technologiques constants et la nécessité croissante de fournir des services numériques sont tous à l’origine de la nécessité de continuer à faire évoluer notre approche tout en tirant parti des réussites et des leçons apprises des 4 dernières années.
Audit du BVG portant sur la modernisation des systèmes de technologie d’information – Plan d’action de la direction de SPC
Recommandation | Plan d’action de la direction | Responsable | Échéancier |
---|---|---|---|
Services partagés Canada (SPC) devrait :
|
1. Développer une preuve de conception/préliminaire d’un modèle FINOPS et de processus de collecte de données
|
Direction générale du dirigeant principal des finances (DGDPF) | 31 décembre 2024 |
2. Rapports stratégiques
|
DGDPF | 30 avril 2024 | |
3. Mises à jour régulières et rapports d’avancement
|
DGDPF | 30 avril 2024 | |
|
1. Élaborer et mettre en œuvre un cadre décisionnel fondé sur des données probantes pour la hiérarchisation et l’exécution des projets de migration de la charge de travail existants pour :
|
Programme de Migration de la charge de travail – Direction générale de la gestion et de l’exécution
Gestion des installations des centres de données – Direction générale des services d’hébergement (DGSH) |
Complété 31 août 2024 |
2. Élaborer et mettre en œuvre un modèle complet de calcul des coûts pour les projets de migration des charges de travail existantes. |
Programme de Migration de la charge de travail – DGGEP |
Complété | |
3. Travailler avec le SCT et les organisations partenaires pour établir les priorités, planifier et calculer le coût de la migration des applications restantes du GC dans les anciens centres de données vers des solutions d’hébergement optimales. | Programme de Migration de la charge de travail – DGGEP en collaboration avec DGSH | 30 septembre 2024 | |
4. Élaborer un cadre décisionnel pour hiérarchiser les fermetures des anciens centres de données | Gestion des installations des centres de données – DGSH | 31 mars 2024 |
Remarques sur le contexte :
- SPC est responsable de « l’infrastructure », comme mentionné dans la recommandation; les partenaires et les clients sont responsables des applications qui s’exécutent sur l’infrastructure de SPC.
- Certaines applications et/ou infrastructures existantes devront être conservées pour répondre aux exigences opérationnelles et de programme de certains ministères. L’analyse recommandée devrait exclure ces cas, sinon les résultats pourraient être trompeurs. Le défi est que ces « cas » ne seront pas identifiés tant que SPC ne travaillera pas avec un ministère pour planifier sa migration.
Rapport de la vérificatrice générale du Canada sur la modernisation des systèmes de technologie de l’information (TI)
Objet
Le 19 octobre 2023, la vérificatrice générale du Canada a déposé au Parlement un rapport qui comprend un chapitre sur la modernisation des systèmes de technologie de l’information (TI). L’objectif de l’audit était de déterminer si le Secrétariat du Conseil du Trésor (SCT) et Services partagés Canada (SPC) ont dirigé et soutenu la modernisation efficace des systèmes de TI dans l’ensemble du gouvernement. L’audit comprend 5 recommandations, notamment une qui s’adresse à SPC et les 4 autres au SCT.
Faits saillants
- L’audit a trouvé que le SCT et SPC n’ont pas fourni aux organisations fédérales le leadership et le soutien nécessaires pour moderniser les TI désuètes. Une meilleure surveillance ainsi qu’un plan d’action concret et un plan de financement sont nécessaires pour prioriser les systèmes critiques et relever les défis qui pourraient survenir pendant la modernisation.
- L’audit a noté que SPC a fait certains progrès sur la modernisation de l’infrastructure de TI du gouvernement du Canada (GC), qui ont été accélérés par la pandémie COVID-19. SPC est responsable de l’infrastructure, les clients sont responsables de leurs applications.
- SPC progresse en élaborant des feuilles de route décrivant son travail avec les intervenants afin d’atteindre l’excellence en matière de technologies et d’opérations.
- Les feuilles de route guideront la prestation de services de SPC. Elles définiront les étapes clés, et apporteront de la prévisibilité et de la clarté sur l’avenir pour les services de connectivité, d’hébergement, numériques et de cybersécurité.
Messages clés
- SPC accueille favorablement les résultats de l’audit et les recommandations de la vérificatrice générale du Canada. Cet audit aidera le GC à renforcer et à améliorer ses systèmes de TI et ses services d’hébergement.
- SPC réalisera une analyse globale des répercussions des technologies existantes, y compris les applications et leur infrastructure de soutien.
- SPC améliorera l’alignement du processus de la priorisation des travaux de modernisation informatique de l’ensemble du gouvernement sur les besoins des partenaires et des clients. Ceci sera fait dans le but de maximiser l’efficience et la sécurité de la prestation de services tout en atténuant les risques associés à la technologie existante.
Au sujet des services d’hébergement
- SPC jette les bases d’un avenir numérique en fournissant à ses partenaires des solutions d’hébergement sécurisées, intelligentes, évolutives et fiables afin qu’ils puissent offrir des services à la population canadienne de manière efficiente.
- SPC modernise l’infrastructure de TI en fermant des centres de données désuets et en offrant à ses partenaires des solutions de rechange modernes en matière d’hébergement.
- SPC offre à ses partenaires et à ses clients des solutions d’hébergement fiables et évolutives. Ces solutions comprennent l’infonuagique, des centres de données d’entreprise et des solutions étendues d’informatique de pointe, qui permettent aux ministères de fournir des programmes et services à la population canadienne au pays et à l’étranger.
Recommandation découlant de l’audit pour Services partagés Canada (SPC)
Partie 1 : analyser les répercussions financières et non financières liées au maintien en activité des applications et de l’infrastructure existantes comparativement a la migration des applications modernisées vers une infrastructure nouvelle ou modernisée.
- SPC réalisera une analyse des répercussions du maintien en service des applications et de l’infrastructure désuètes pour accroître sa compréhension du travail nécessaire pour entretenir ces systèmes.
- Cette analyse orientera les décisions de SPC afin d’assurer que la transition cadre avec les objectifs de rentabilité et de modernisation.
Partie 2 : en collaboration avec le Secrétariat du Conseil du Trésor du Canada et les ministères et organismes, entreprendre un examen et un exercice de hiérarchisation (y compris des budgets et des échéanciers provisoires) visant à moderniser et à assurer la migration des applications existantes vers une nouvelle infrastructure de soutien et fermer les centres de données existants toujours en activité.
- SPC appuiera le SCT dans la réalisation de cet examen et de cet exercice de hiérarchisation.
- Comme illustré dans l’initiative « Réaliser le numérique ensemble » , SPC s’est engagé à travailler en collaboration avec ses partenaires et ses clients pour atteindre les objectifs de modernisation communs.
- SPC reconnaît que la modernisation doit être efficiente et rentable. Il cernera et priorisera les initiatives qui répondent le mieux aux priorités du GC tout en s’harmonisant aux objectifs de modernisation numérique et à son approche d’entreprise.
- SPC continue de collaborer étroitement avec le SCT et ses partenaires pour faire progresser les objectifs de modernisation et s’assurer que les systèmes de TI obsolètes du gouvernement soient remplacés par des solutions d’hébergement stables et modernes, comme le démontrent des programmes tels que la modernisation des applications et la migration de la charge de travail.
- Au mois de juin 2023, SPC avait fermé 450 des 720 anciens centres de données, contribuant ainsi à la mise en place d’un gouvernement numérique moderne, agile et sécurisé qui répond aux attentes de la population canadienne.
Si l’on insiste
Si l’on insiste sur la responsabilité financière :
- SPC prend sa responsabilité financière au sérieux. SPC aide ses partenaires et clients à fournir leurs programmes et services à la population canadienne en fournissant une infrastructure de TI sécurisée, moderne et fiable.
- SPC est responsable de l’infrastructure, mais ses partenaires et ses clients sont responsables des applications hébergées sur l’infrastructure.
- SPC reconnaît que certaines applications et infrastructures désuètes doivent être maintenues dans les anciens centres de données afin de répondre aux exigences opérationnelles et aux programmes actuels. SPC travaillera avec le SCT pour déterminer une stratégie de modernisation optimale au cas par cas.
Contexte
- Cet audit fait suite au rapport de 2010 du vérificateur général sur le vieillissement des systèmes de technologie de l’information.
- En 2011, SPC a été créé et chargé de moderniser et de consolider l’infrastructure informatique à l’échelle du gouvernement.
- En 2013, le SCT a introduit le logiciel de gestion de portefeuilles d’applications pour surveiller et suivre l’état des applications au sein des ministères et organismes.
- Lancé en 2021, le Plan stratégique des opérations numériques du GC se concentre sur la modernisation de la façon dont le gouvernement remplace, construit et gère les principaux systèmes de technologie de l’information.
Modernisation du versement des prestations
Objet
Aperçu du rôle de Services partagés Canada (SPC) dans la réalisation du programme de Modernisation du versement des prestations (MVP) à Emploi et Développement social Canada (EDSC).
Messages clés
- La modernisation de la technologie et des systèmes est un élément fondamental afin de faire progresser la prestation en ligne des programmes et des services à la population canadienne, tels que la sécurité de la vieillesse, l’assurance-emploi et le régime de pensions du Canada.
- Le rôle de SPC, dans le cadre du programme de Modernisation du versement des prestations mené par EDSC, est principalement de fournir la connectivité en nuage sous-jacente et des mécanismes d’approvisionnement.
- La principale responsabilité de SPC est de concevoir et de moderniser l’infrastructure numérique afin de soutenir la MVP par le biais d’une planification rigoureuse de projet, de la surveillance et de la gouvernance.
- SPC accueille favorablement les conclusions de l’audit de la vérificatrice générale. Cet audit aidera le gouvernement du Canada (GC) à renforcer et à améliorer ses systèmes de technologie de l’information (TI) et ses services d’hébergement.
Si l’on insiste
Si l’on insiste sur l’orientation actuelle :
- L’accent initial est d’abord mis sur la modernisation numérique de la prestation de la sécurité de la vieillesse.
- SPC dispose d’une équipe dédiée qui collabore avec EDSC pour assurer la réussite du programme.
Contexte
Rôles et responsabilités par ministère :
Services partagés Canada (SPC)
- L’engagement et la surveillance du projet pour l’intégration de la plateforme infonuagique.
- L’engagement et l’intégration d’initiatives clés liées à la MVP, telles que l’approvisionnement en centres d’appels et en solutions de gestion d’identité.
- Un soutien continu pour la modernisation de l’infrastructure clé et de la solution.
- Fournir des informations, des commentaires et des conseils à EDSC tout au long du cycle de vie du programme et participer à la gouvernance du programme.
- L’engagement des experts en la matière à l’interne et au sein de l’industrie pour soutenir la MVP.
Secrétariat du Conseil du Trésor (SCT)
- Fournit la surveillance requise pour le projet à EDSC et SPC.
Emploi et Développement social Canada
- Responsable de la gestion et du soutien des applications nouvellement construites et de leurs données.
Outils capables d’extraire des données d’appareils fournis par les ministères fédéraux
Objet
Les médias et les membres du parlement (MP) ont rapporté des inquiétudes concernant l’utilisation d’outils capable d’extraire des données d’appareils mobiles et autres appareils émis par le gouvernement du Canada (GC). Bien que les médias font référence à un logiciel espion, ceci n’est pas une description fidèle de l’utilisation de ces outils par Services partagés Canada (SPC).
Faits saillants
- Les ministères utilisent des outils d’enquêtes numériques dans le cadre d’enquêtes administratives. Ces enquêtes sont menées en vertu de l’article 7 de la Loi sur la gestion des finances publiques, conformément à la Politique sur la sécurité du gouvernement et sous l’autorité du dirigeant principal de la sécurité (DPS) de SPC.
- SPC utilise des outils d’enquêtes numériques afin d’enquêter sur des allégations crédibles d’actes répréhensibles commis par des employés du GC dans le cadre d’une enquête administrative officielle.
- Au début d’une enquête, le DPS fait appel à l’équipe d’enquête de SPC pour recueillir des éléments de preuve et les confirmer et assurer l’impartialité de la collecte de données.
- Les outils d’enquêtes numériques sont utilisés dans des environnements contrôlés. Les appareils électroniques sont amenés dans une zone physiquement séparée, de niveau secret, où les outils sont utilisés pour l’analyse. Les appareils sont entreposés dans un coffre-fort d’enquête accessible uniquement à quelques employés de l’équipe d’enquête.
- Tout au long du processus, l’employé qui fait l’objet de l’enquête est informé de chaque étape, et l’équité procédurale est une priorité.
Messages clés
- SPC prend très au sérieux la protection de la vie privée des employés et de tous les Canadiens, tout en assurant la sécurité des réseaux du GC.
- SPC utilise les outils d’enquêtes numériques seulement sur les appareils émis par le gouvernement et dans le cadre de circonstances précises.
- Les outils d’enquêtes numériques sont utilisés dans le cadre de 2 scénarios précis :
- Lorsqu’il y a des allégations crédibles d’acte répréhensible commis par un employé;
- Afin de recueillir des éléments de preuve à la demande des forces de l’ordre à l’appui d’une enquête légale (par exemple : ordonnance judiciaire, mandat et assignation à comparaître).
- Toutes les enquêtes administratives sont menées sous l’autorité du DPS de SPC, conformément aux procédures d’exploitation standard du Ministère.
- Sous aucune circonstance, SPC n’étendra l’utilisation des outils d’enquêtes numériques au-delà du cadre d’un mandat d’enquête.
Si l’on insiste
Si l’on insiste sur l’utilisation de ces outils :
- Les outils d’enquêtes numériques ne sont pas déployés à distance ni utilisés à des fins de surveillance.
- Au cours des 2 dernières années, les outils d’enquêtes numériques n’ont été utilisés que 6 fois par SPC, dans le cadre d’enquêtes administratives obligatoires sous la responsabilité du DPS.
- Voici quelques exemples d’allégations qui pourraient mener à une enquête :
- Doute quant à l’utilisation d’un appareil gouvernemental pour parcourir du contenu inapproprié sur le Web;
- L’installation d’un logiciel malveillant sur un appareil;
- Doute quant à la falsification des demandes d’heures supplémentaires.
- Ces outils ne sont utilisés qu’à des fins d’examen en cas de soupçon d’acte répréhensible ou pour assurer la sécurité des réseaux gouvernementaux dans l’intérêt des Canadiens.
Si l’on insiste sur l’approvisionnement :
- En tant que fournisseur de services de TI pour le GC, les contrats de SPC peuvent être utilisés non seulement par SPC directement, mais aussi par les ministères et organismes que SPC appuie.
- Les ententes contractuelles relatives à ces produits de surveillance des appareils peuvent également être utilisées par d’autres ministères du GC.
Contexte
Les médias ont commencé à faire rapport de l’utilisation de « logiciels espions » par 13 ministères du gouvernement pendant la semaine du 29 novembre 2023, en suggérant que les organismes du gouvernement « ignorent » le mandat fédéral qui consiste à effectuer une évaluation des facteurs relatifs à la vie privée (EFVP). Depuis les rapports des médias, le Comité permanent de l’accès à l’information, de la protection des renseignements et de l’éthique a accepté de réaliser une étude sur l’utilisation de ces outils à partir du 29 janvier. SPC a été désigné comme l’un des témoins qui se présenteront au comité dans le cadre de l’étude.
Diversité et inclusion dans l’approvisionnement
Objet
Le gouvernement du Canada (GC) s’est fixé comme priorité d’augmenter la diversité et l’inclusion dans l’approvisionnement.
Faits saillants
- En 2022-2023, Services partagés Canada (SPC) a attribué des contrats à 343 petites et moyennes entreprises (PME) différentes. Parmi ces PME, 325 étaient canadiennes.
- Un total de 1,167 milliard de contrats financés par SPC a été attribué à des PME, pour une valeur totale de 1,163 milliard à des PME canadiennes.
- Un total de 1 598 de contrats financés par SPC a été attribué à des PME, de ce nombre, 1 575 ont été attribués à des PME canadiennes.
Messages clés
- SPC crée de nouvelles occasions pour les groupes sous-représentés afin qu’ils puissent participer aux marchés publics fédéraux en testant la mise en œuvre de considérations socio-économiques dans les achats où il peut y avoir moins d’occasions.
- « S’élancer » est une initiative d’approvisionnement social dirigée par SPC avec le soutien de TECHNATION, une association nationale de l’industrie technologique. « S’élancer » vise à accroître la diversité des fournisseurs auxquels sont attribués les contrats du gouvernement fédéral.
- SPC a attribué 17 contrats et a préqualifié 8 autres entreprises dans le cadre de l’initiative « S’élancer ».
- Parmi ces entrepreneurs :
- 32 % sont des microentreprises (c’est-à-dire ayant 4 employés ou moins) et 68 % sont de petites entreprises;
- 68 % sont détenues ou dirigées par des membres de minorités visibles;
- 52 % sont détenues ou dirigées par des femmes;
- 8 % sont détenues ou dirigées par des personnes en situation de handicap.
Participation de Services partagés Canada à l’application ArriveCAN
Objet
L’application ArriveCAN continue de faire l’objet d’un examen minutieux.
Faits saillants
- L’application ArriveCAN a été développée pour le gouvernement du Canada (GC) afin de faciliter les mesures de contrôle aux frontières pendant la pandémie de COVID-19.
- Le programme a fait l’objet d’un examen minutieux en raison de son coût, de son efficacité et des erreurs signalées dans son fonctionnement.
- SPC a attribué 7 contrats au nom de l’Agence des services frontaliers du Canada (ASFC) pour soutenir l’application ArriveCAN. Il est important de noter que c’est l’ASFC qui a inclus les coûts de ces contrats dans ses propres rapports.
Messages clés
- Services partagés Canada (SPC) offre des services numériques aux ministères et organismes du GC. Pour ce faire, SPC fournit des réseaux et assure la sécurité de ceux-ci. SPC fournit aussi des centres de données et des services infonuagiques, des services de communications numériques et des outils informatiques pour permettre aux organisations fédérales d’assurer la prestation efficace de programmes et de services à la population canadienne.
- Le rôle principal de SPC était de soutenir les opérations d’ArriveCAN en permettant la connectivité entre le nuage et les centres de données et en fournissant un accès aux biens et services informatiques.
- Pour ce faire, SPC a pris les mesures suivantes :
- permettre à l’application d’échanger des informations entre le nuage et les centres de données du GC;
- assurer que les connexions soient sécurisées et que les informations de la population canadienne soient protégées;
- fournir à l’ASFC des mécanismes contractuels pour l’acquisition de biens et de services informatiques à l’appui de l’application ArriveCAN.
Si l’on insiste
Si l’on insiste sur le rôle de Services partagés Canada (SPC) dans le développement d’applications :
- SPC a le mandat de développer des applications uniquement pour son propre ministère.
- SSPC soutient d’autres organisations en s’assurant que les applications qu’elles développent sont hébergées de façon sécuritaire dans les centres de données du GC ou, si elles sont hébergées dans le nuage, qu’elles peuvent communiquer de façon sécuritaire avec les centres de données du GC.
Si l’on insiste sur les contrats de SPC à l’appui d’ArriveCAN :
- Un contrat existant à l’échelle du GC, d’une valeur de 87 000 $, a été mis à profit pour fournir la connectivité du réseau de base.
- PC a attribué 7 contrats au nom de l’ASFC pour soutenir ArriveCAN. Il est important de noter que c’est l’ASFC qui a inclus les coûts de ces contrats dans ses divers rapports.
- Les contrats portaient sur des services infonuagiques, des licences de logiciels, des services de cybersécurité et du matériel micro-informatique.
- Six des 7 contrats ont été attribués de façon compétitive.
- Un contrat de 39 998,00 $ a été attribué à un fournisseur unique pour des licences d’un logiciel de numérisation qui utilise l’appareil photo des téléphones portables.
Intégrité de la chaîne d’approvisionnement
Objet
La présence et/ou l’accès au marché canadien de produits des technologies de l’information et de la communication (TIC) fabriqués par des entités détenues par des Chinois ont suscité des inquiétudes. Des personnes prétendent que certaines de ces entités ont des liens directs avec le gouvernement chinois. Par exemple, des entreprises telles que Huawei et Lenovo sont souvent citées.
Faits saillants
- Un certain nombre de ministères et d’organismes jouent un rôle dans la cybersécurité, notamment le Secrétariat du Conseil du Trésor (SCT) du Canada (SCT), Services partagés Canada (SPC), le Centre de la sécurité des télécommunications (CST), Sécurité publique Canada (SP), la Gendarmerie royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS) et le ministère de la Défense nationale (MDN).
- Tous les ministères et organismes ont la responsabilité d’assurer la cybersécurité au sein de leur organisation. Le SCT, SPC et le CST sont les principales parties prenantes chargées de veiller à ce que la posture de cybersécurité du gouvernement soit efficace et en mesure de s’adapter à l’évolution des menaces.
Messages clés
- Le gouvernement du Canada (GC) prend très au sérieux la protection des renseignements personnels ainsi que la sécurité de son infrastructure de réseau et de tous les appareils qui y accèdent.
- SPC effectue une vérification de l’intégrité de la chaîne d’approvisionnement, avec le soutien du CST, pour tous les achats de technologies de l’information (TI).
- Cette évaluation assure la sécurité de l’infrastructure informatique du GC.
Si l’on insiste
Si l’on insiste sur la vérification de la chaîne d’approvisionnement :
- SPC se fie au Centre canadien de cybersécurité (CCC) (qui fait partie du CST) comme le centre d’excellence gouvernemental de vérification de l’intégrité de la chaîne d’approvisionnement.
- La fonction de vérification de la chaîne d’approvisionnement a été établie en 2012 et s’assure que les biens et services acquis sont protégés le mieux possible contre les cybermenaces.
- La vérification de la chaîne d’approvisionnement s’applique à l’approvisionnement dans 4 domaines : le courrier électronique, les centres de données, les réseaux et les appareils informatiques de bureau (tels que les ordinateurs portables, les imprimantes et les appareils cellulaires).
- Non seulement ces domaines sont essentiels au fonctionnement du gouvernement, mais ils sont aussi les principales cibles des cybermenaces.
- SPC travaille continuellement à améliorer les défenses contre les cybermenaces au Canada en collaborant avec des partenaires à l’échelle du gouvernement pour se préparer à tous types de cyberincidents.
Contexte
- Le 6 juin 2023, un article a été publié dans La Presse sous le titre « Faut-il avoir peur des appareils Lenovo? »
- Selon l’article, le GC n’a pas interdit les appareils de Lenovo.
- Le CST est cité dans l’article. Le CST confirme que le GC n’a pas interdit les appareils de Lenovo et mentionne qu’il évalue les appareils au cas par cas.
- Le SCT assure la supervision stratégique de la gestion des événements liés à la cybersécurité du gouvernement.
- SPC fournit l’infrastructure de sécurité informatique (conception, déploiement et exploitation). En collaboration avec le SCT et le CST, SPC assure également la sécurité et la protection des renseignements personnels dès la conception dans le cadre de la mise en place de nouveaux services. La sécurité des biens et des services est évaluée par le CST et SPC au cours du processus d’approvisionnement.
- Le CST héberge le CCC qui surveille les systèmes et les réseaux à la recherche d’activités malveillantes et de cyberattaques, et il dirige la réponse opérationnelle aux événements liés à la cybersécurité.
- SP dirige la politique et la stratégie nationales en matière de cybersécurité.
- La GRC est le principal service d’enquête sur tous les incidents liés à la cybersécurité qui concernent la cybercriminalité réelle ou présumée d’origine non étatique contre l’infrastructure du GC.
- Le SCRS est chargé d’enquêter sur les menaces contre les systèmes d’information et les infrastructures essentielles posées par des acteurs étatiques étrangers et des terroristes.
- Le MDN/Forces armées canadiennes est chargé de traiter les cybermenaces, les vulnérabilités ou les incidents de sécurité contre ou sur les systèmes militaires.
Bloquer tiktok, wechat et kaspersky
Objet
Le gouvernement du Canada (GC) a bloqué les applications TikTok, WeChat et Kaspersky de tous les appareils mobiles émis par le gouvernement.
Messages clés
- L’utilisation et le choix des outils numériques par le GC sont examinés de façon continue pour faire face à l’environnement de risque en constante évolution et pour garantir que les réseaux et les données du gouvernement restent sécurisés et protégés.
- Il a été déterminé par la sous-ministre (SM) et dirigeante principale de l’information du Canada (DPIC) du Secrétariat du Conseil du Trésor (SCT) que les applications TikTok, WeChat et Kaspersky présentent un risque inacceptable pour la vie privée et la sécurité.
- Services partagés Canada (SPC), qui gère les appareils mobiles du GC, a bloqué TikTok, WeChat et Kaspersky de tous les appareils mobiles émis par le gouvernement.
Si l’on insiste
Si l’on insiste sur le rôle de Services partagés Canada (SPC) dans l’interdiction des applications :
- SPC a bloqué l’application TikTok conformément aux instructions de la SM du SCT et DPIC le 27 février 2023.
- De plus, SPC a bloqué les applications WeChat et Kaspersky conformément aux instructions de la DPIC le 30 octobre 2023.
Contexte
- Le 27 février 2023, la SM du SCT et DPIC a annoncé que, conformément aux responsabilités en vertu de la section 4.4.1.9 de la Politique sur les services et le numérique, l’utilisation de l’application TikTok sera bloquée sur les appareils du GC à compter de 17 h, heure de l’Est, le 27 février 2023.
- Cette décision a été prise après un examen du comportement de l’application par rapport à nos normes de protection de la vie privée et de sécurité, et elle a une incidence sur toutes les organisations assujetties à la Politique sur les services et le numérique.
- Le 30 octobre 2023, la DPIC a pris la décision de bloquer les applications WeChat et Kaspersky sur tous les appareils mobiles du gouvernement.
- La décision a été prise après avoir déterminé que les applications présentaient un risque inacceptable pour la vie privée et la sécurité.
Aperçu de la cybersécurité
Objet
La cybersécurité est une responsabilité partagée entre Services partagés Canada (SPC), le Secrétariat du Conseil du Trésor – Bureau du dirigeant principal de l’information (SCT-DPI) et le Centre de la sécurité des télécommunications (CST), qui héberge le Centre canadien pour la cybersécurité (CCC).
Messages clés
- SPC travaille continuellement afin que les réseaux du gouvernement du Canada (GC) demeurent sûrs, sécuritaires et accessibles pour la population canadienne.
- SPC applique des mesures de cybersécurité afin d’identifier les acteurs malveillants et de prévenir leur accès aux réseaux du gouvernement en utilisant des pare-feu, des analyses de réseau, des antivirus, des anti-maliciels, ainsi que des outils et des services d’identification et d’authentification.
- La cybersécurité est une responsabilité partagée entre SPC, le CST, le SCT ainsi que les ministères et organismes.
- Lorsqu’un événement de cybersécurité se produit, SPC et ses partenaires réagissent de manière cohérente, coordonnée et opportune pour assurer la sécurité et la résilience des programmes et de la prestation de services du GC.
- SPC est responsable de la planification, de la conception, de la construction, de l’exploitation et du maintien de services d’infrastructure de sécurité informatique d’entreprise efficaces, efficients et adaptés afin de sécuriser les données et les systèmes du GC sous sa responsabilité.
Si l’on insiste
Si l’on insiste sur les investissements actuels et futurs en matière de cybersécurité :
- Le gouvernement investit 220,1 millions de dollars, sur une période de 7 ans, afin que SPC réponde à l’environnement des cybermenaces, qui est en constante évolution.
- Le financement proposé servira à renforcer les capacités technologiques et humaines, à identifier et à évaluer les vulnérabilités, ainsi qu’à fournir de nouvelles capacités d’entreprise qui permettront aux organisations du GC de continuer à fournir des services à la population canadienne en toute sécurité.
- Les fonds permettront à SPC de faire ce qui suit :
- acquérir et déployer de nouveaux outils de cybersécurité pour réduire les menaces envers l’infrastructure du GC. Ces outils vont :
- aider à identifier toutes les façons dont une menace pourrait potentiellement accéder à l’environnement d’une organisation,
- fournir une évaluation centralisée des vulnérabilités et identifiera les mesures d’atténuation (comme des mises à niveau de logiciels ou des correctifs),
- fournir un processus proactif qui surveille l’efficacité des contrôles de sécurité. SPC pourra simuler une cyberattaque et identifier les faiblesses avant qu’elles ne puissent être exploitées par une menace;
- soutenir la sécurité de l’infonuagique en permettant la surveillance de la conformité des mesures de sécurité du GC;
- appuyer la mise en œuvre des priorités de la feuille de route sur la cybersécurité de SPC;
- moderniser l’approche du gouvernement en ce qui a trait à la cybersécurité;
- soutenir les efforts associés du SCT pour renforcer la cybersécurité du gouvernement par le biais de la stratégie et du plan de mise en œuvre de la cybersécurité d’entreprise du GC.
- acquérir et déployer de nouveaux outils de cybersécurité pour réduire les menaces envers l’infrastructure du GC. Ces outils vont :
- Les responsabilités de SPC comprennent les réseaux du gouvernement, le courrier électronique, les centres de données et l’infrastructure de TI classifiée.
Si l’on insiste sur les responsabilités de Services partagés Canada (SPC) par rapport à celles du Centre de la sécurité des télécommunications (CST) :
- Bien que la plupart des systèmes de sécurité utilisés pour protéger l’infrastructure des TI du GC soient conçus et gérés par SPC, le CST utilise un éventail de solutions pour compléter les systèmes de sécurité gérés par SPC.
- En bref, SPC assure que le GC est protégé par des solutions commerciales à la fine pointe de la technologie alors que le CST comble le fossé entre les solutions commerciales et les adversaires les plus sophistiqués.
- Tandis que SPC fournit l’infrastructure de sécurité informatique, le CST surveille les systèmes et les réseaux pour détecter les activités malveillantes et les cyberattaques. Le CST dirige les réponses opérationnelles du gouvernement aux incidents relatifs à la cybersécurité.
Si l’on insiste sur un événement lié à la cybersécurité :
- SPC a du personnel, de la technologie et des processus en place pour protéger les systèmes et il travaille en collaboration avec le SCT, le CST et les ministères afin de détecter les cybermenaces et d’y répondre.
- Lorsqu’un événement lié à la cybersécurité se produit, SPC et ses partenaires réagissent de manière cohérente, coordonnée et opportune pour assurer la sécurité et la résilience des programmes et de la prestation de services du GC.
- Les risques de cyberattaques sont persistants et exigent une vigilance constante.
Rapport de la vérificatrice générale sur la cybersécurité des renseignements personnels dans le nuage
Objet
En novembre 2022, la vérificatrice générale du Canada a présenté au Parlement un rapport comprenant un chapitre sur la cybersécurité des renseignements personnels dans le nuage. L’audit incluait Services partagés Canada (SPC), Services publics et Approvisionnement Canada (SPAC), le Centre de la sécurité des télécommunications (CST) et le Secrétariat du Conseil du Trésor (SCT). L’audit a présenté 5 recommandations, dont 4 adressées au SCT et 1 formulée conjointement à SPC et SPAC. En mars 2023, SPC a comparu devant le Comité permanent des comptes publics (PACP), avec le SCT et le CST, pour répondre aux questions au sujet de l’audit. Le Comité s’est montré satisfait des progrès de SPC et a encouragé le ministère à poursuivre les mesures prévues, y compris l’automatisation des mesures de sécurité.
Faits saillants
- L’audit a mis en évidence les aspects suivants :
- Il y avait des faiblesses dans les contrôles des ministères pour prévenir les cyberattaques, les détecter, et intervenir en conséquence.
- Les rôles et responsabilités en matière de cybersécurité infonuagique étaient imprécis et incomplets.
- Le SCT n’avait pas fourni de modèle d’établissement des coûts des services infonuagiques aux ministères ou n’avait pas proposé de méthode en matière de financement.
- SPAC et SPC n’avaient pas inclus de critères environnementaux dans le cadre de leurs processus d’approvisionnement en services infonuagiques.
- SPC permet l’adoption intelligente de l’infonuagique dans tous les ministères afin qu’ils puissent exploiter les avantages de la technologie infonuagique en offrant :
- un accès facile et sécurisé aux services infonuagiques
- une connexion sécurisée au réseau entre les applications du gouvernement hébergées dans le nuage et les centres de données du gouvernement
- un soutien et une orientation opérationnels
- Certaines exigences strictes relatives à la sécurité, comprenant des mesures de sécurité liées à l’infonuagique, doivent être satisfaites avant que les ministères puissent commencer à stocker des données dans le nuage.
- Au moment du dépôt du rapport, SPC avait entrepris le développement de la validation automatisée des mesures de protection infonuagiques du gouvernement du Canada (GC), permettant ainsi de démontrer de manière cohérente et précise la conformité des mesures de sécurité au SCT.
- À l’automne 2023, SPC a débuté le déploiement progressif, à l’échelle du GC, de la solution de la validation automatisée des mesures de protection infonuagiques. Le déploiement sera fait par phase dont la première sera complétée au premier trimestre de 2024-2025 et représentera plus de 80 % de la présence infonuagique du GC. Dans l’intérim, le processus manuel reste en place.
- SPAC et SPC harmonisent leur approche en matière d’approvisionnement infonuagique. Des modèles d’approvisionnement infonuagiques qui comprennent des clauses contractuelles standard et des conditions de durabilité pour les fournisseurs de services infonuagiques ont été développés.
- SPC a également collaboré avec le SCT dans le cadre de la mise en œuvre de son plan d’action de la direction en réponse à cette vérification.
Messages clés
- SPC a accepté les recommandations de la vérificatrice générale. Cet audit a aidé SPC à renforcer son cadre opérationnel pour les services infonuagiques.
- La protection des renseignements et des systèmes du gouvernement est une responsabilité partagée entre 3 organisations : le CST par l’intermédiaire du Centre canadien pour la cybersécurité, le Bureau du dirigeant principal de l’information du GC via le SCT (SCT – DPI) et SPC. Collectivement, ce groupe souscrit à une vision et à un plan gouvernemental en matière de cybersécurité.
- Le GC a un rôle critique à jouer dans la protection de l’information des Canadiens. Il a mis en œuvre une approche pour gérer les risques de sécurité dans le nuage. Cette approche protège les données et les renseignements personnels de la population canadienne au moyen d’une série d’instruments de politique qui guident les ministères lorsqu’ils adoptent des services infonuagiques.
- SPC est conscient que des menaces et vulnérabilités continuent de surgir. Bien que les ministères soient tenus de satisfaire aux exigences en matière de mesures de sécurité avant de stocker des données, la surveillance des mesures de sécurité doit être un processus continu.
Si l’on insiste
Si l’on insiste sur l’approvisionnement en services infonuagiques :
- SPC donne accès à 8 fournisseurs de services infonuagiques (FSI) qui ont été présélectionnés en fonction d’exigences en matière de sécurité et d’autres critères.
- Ces ententes-cadres fournissent aux ministères des modalités normalisées et des services infonuagiques qui ont été évalués par le Centre canadien pour la cybersécurité et le Programme de sécurité des contrats.
Si l’on insiste sur la sécurité infonuagique :
- La protection et la confidentialité des données du gouvernement qui sont stockées et traitées dans le nuage sont une priorité absolue pour SPC.
- Des mesures qui imposent le lieu de résidence des données et la manière dont elles sont contrôlées sont également en place.
- Des processus sont en place pour s’assurer que des exigences et des normes de sécurité précises sont respectées lors de l’attribution de contrats infonuagiques.
- Pour assurer une utilisation sécurisée des services infonuagiques, chaque ministère doit mettre en œuvre et maintenir des mesures de sécurité précises.
- SPC surveille activement le respect des exigences en matière de sécurité.
Contexte
Proportionnellement, le nuage représente un faible pourcentage des solutions d’hébergement d’applications. Plus de 90 % de toutes les applications sont hébergées dans des centres de données gérés par le GC, et le reste dans le nuage.
SPC agit à titre de centre d’excellence pour les services infonuagiques à l’échelle du gouvernement, fournissant une expertise technique et des outils pour guider les clients.
La vérificatrice générale a entrepris cet audit, car :
- L’information stockée numériquement, soit sur place dans des centres de données ou dans le nuage, est exposée à des risques de compromission.
- Les ministères font passer leurs applications logicielles et leurs bases de données au nuage. Certaines de ces applications et bases de données contiennent des renseignements personnels de la population canadienne. Les ministères doivent conjuguer leurs efforts pour protéger ces renseignements contre de nombreux risques, y compris des cyberattaques.
- Les atteintes à la cybersécurité sont à la hausse, et des contrôles robustes pour les prévenir, les détecter et intervenir en conséquence peuvent en réduire le risque.
Stratégie d’informatique en nuage et voie d’avenir
Objet
Le gouvernement du Canada (GC) fait évoluer son approche quant à l’utilisation des services infonuagiques.
Faits saillants
- L’approche de « l’informatique en nuage d’abord » a été mise en place en 2018. Celle-ci incitait les ministères à considérer par défaut le nuage comme modèle d’hébergement des applications.
- Depuis, le GC a appris que le nuage n’est pas le bon modèle d’hébergement dans tous les cas.
- En raison de la consommation grandissante du nuage dans l’ensemble du GC, l’orientation politique passera de « l’informatique en nuage d’abord » à « l’informatique en nuage intelligente ».
- Au fur et à mesure que la nouvelle Stratégie d’informatique en nuage est déployée à l’échelle du GC, des séances de mobilisation seront organisées avec plusieurs intervenants, y compris avec l’industrie.
- Conformément au mandat qui lui a été confié par la loi, la nouvelle Stratégie d’informatique en nuage fera en sorte que Services partagés Canada (SPC) assurera le fonctionnement de services d’hébergement sous forme de centres de données et de nuage.
- La nouvelle orientation aidera les ministères et les organismes à moderniser leurs technologies de l’information (TI) et à améliorer la prestation de programmes et de services à la population canadienne.
Messages clés
- Le GC a adapté l’orientation de sa Stratégie d’informatique en nuage d’une approche du « nuage d’abord » (c’est-à-dire que les ministères et organismes doivent privilégier le modèle infonuagique comme modèle de prestation des TI) au « nuage intelligent » (c’est-à-dire qu’ils doivent utiliser le modèle infonuagique lorsque l’aspect financier et l’analyse de rentabilisation pointent vers cette solution).
- La nouvelle Stratégie d’informatique en nuage permettra d’assurer que le GC utilise ses ressources informatiques de manière efficiente.
- Elle aidera les ministères et les organismes à moderniser les TI en tenant compte de la viabilité financière et en garantissant une prise de décision cohérente dans l’ensemble de l’entreprise.
- La nouvelle Stratégie d’informatique en nuage est alignée avec le mandat et les forces de SPC à titre de fournisseur commun de services informatiques pour le GC.
Contexte
- Depuis 2019, le GC a utilisé le nuage pour moderniser son environnement informatique, répondre aux demandes urgentes et assurer la prestation de services à la population canadienne. Aujourd’hui, environ 10 % des systèmes sont hébergés dans le nuage. De nombreuses réussites et leçons tirées ont été possibles grâce aux organisations qui ont intégré les services infonuagiques.
- L’utilisation croissante du nuage a révélé des difficultés dans la façon dont nous gouvernons, utilisons, finançons et achetons des services infonuagiques.
- La nouvelle Stratégie d’informatique en nuage et le modèle de financement élaborés par le Bureau du dirigeant principal de l’information sont fondés sur :
- les leçons tirées des 7 dernières années de l’adoption du nuage au GC;
- les conclusions et les recommandations des rapports de la vérificatrice générale sur la sécurité des renseignements personnels dans le nuage et la modernisation des TI;
- la consultation des ministères qui utilisent le nuage soit; le ministère des Finances, Services publics et Approvisionnement Canada, le Bureau du contrôleur général et SPC;
- un examen externe.
- L’orientation de la nouvelle Stratégie d’informatique en nuage est conforme au mandat de SPC qui est de fournir des services de TI modernes, sécuritaires et fiables aux ministères et organismes fédéraux. Cette approche s’harmonise avec l’Ambition numérique du GC ainsi que les feuilles de route de SPC qui font partie de l’approche « Réaliser le numérique ensemble ».
Initiative des ressources humaines et de la paie de la prochaine génération
Objet
Services partagés Canada (SPC) a dirigé la phase initiale de l’initiative des ressources humaines et de la paie de la prochaine génération (ProGen RH et paie) afin d’évaluer la viabilité d’une solution commerciale de RH et de paie pour le gouvernement du Canada (GC).
Faits saillants
- Le budget 2018 a annoncé l’intention du gouvernement de s’éloigner du système de rémunération actuel et d’explorer les options pour une solution qui sera mieux adaptée à la complexité des RH et de la structure de rémunération du gouvernement fédéral.
- Le budget 2019 a réaffirmé l’engagement du GC en annonçant la prochaine étape de collaboration avec les fournisseurs et les intervenants pour développer les meilleures options, y compris des projets pilotes qui ont permis de procéder à des évaluations supplémentaires avec certains ministères et organismes, tout en évaluant la capacité des fournisseurs pour la livraison de résultats.
- ████████████████████ ████████████████████ ████████████████████████████████████████ ██████████
- En mai 2019, une fois cette analyse terminée, le SCT a soumis une proposition de financement hors cycle pour des tests plus approfondis au moyen de projets pilotes, sollicitant 113,1 millions de dollars de nouveau financement sur trois ans.
- Le 1er avril 2020, l’équipe ProGen RH et paie a été transférée du SCT à SPC. SPC a demandé le financement disponible de 113,1 millions de dollars (y compris pour les locaux) dans le cadre de la présentation au Conseil du Trésor de 2021 pour terminer la phase 1 de l’initiative.
- L’objectif de l’initiative ProGen RH et paie était d’évaluer la viabilité d’une solution commerciale de RH et de paie pour remplacer le système de paie actuel du GC et plus de 33 systèmes de RH actuellement en utilisation à travers le GC.
- Dans le cadre de la phase 1 de l’initiative, SPC a terminé les tests de solution au printemps 2023 et le rapport des conclusions à l’été 2023.
- Le rapport éclairera l’élaboration d’une approche intégrée des RH et de la paie de l’entreprise pour le GC, actuellement en cours d’élaboration par le Centre de coordination de la paie de l’entreprise de Services publics et Approvisionnement Canada (SPAC).
- Le 26 juin 2023, le premier ministre a nommé un sous-ministre délégué à SPAC pour se concentrer sur la coordination de la paie de l’entreprise.
- En juillet 2023, SPAC a assumé la direction fonctionnelle de l’équipe de projet de l’initiative ProGen RH et paie alors qu’elle entamait la phase suivante, et le 20 novembre 2023, l’organisation de l’initiative ProGen RH et paie a été officiellement transférée de SPC à SPAC, permettant à l’équipe de poursuivre son travail important sur la prochaine phase des RH et de la paie de l’entreprise.
Messages clés
- Les fonctionnaires du Canada méritent d’être payés avec exactitude et à temps, à chaque fois.
- L’objectif de l’initiative ProGen RH et paie était d’évaluer la viabilité d’une solution commerciale de RH et de paie pour remplacer le système de paie actuel au GC et plus de 33 systèmes de RH actuellement en utilisation à travers le GC.
- L’initiative ProGen RH et paie a testé une solution commerciale par rapport à un certain nombre de scénarios complexes qui représentent les exigences du GC en matière de RH et de paie.
Ces tests ont été entrepris avec les ministères et organismes partenaires pour garantir que l’initiative teste des scénarios complexes qui reflètent leur réalité quotidienne. Tous les tests ont eu lieu dans un environnement simulé, distinct du système existant utilisé pour payer les employés. - Les tests ont été complétés au printemps 2023 et le rapport final sur les résultats a été élaboré à l’été 2023.
- Les résultats indiquent que la solution testée (Ceridian Dayforce) répond déjà à la grande majorité des exigences requises en matière de RH et de paie.
- L’initiative a également identifié un certain nombre de pratiques complexes en matière de RH et de paie qui devront être changées pour permettre au GC d’adopter une solution commerciale. Notamment, la normalisation et la simplification des règles de RH et de paie seront essentielles pour réussir la mise en œuvre de toute solution commerciale.
- Le rapport éclairera l’élaboration d’une approche intégrée des RH et de la paie de l’entreprise pour le GC en cours d’élaboration à SPAC.
Si l’on insiste
Si l’on insiste sur le rôle de Services partagés Canada (SPC) :
- SPC était responsable de la phase 1 (recherche et expérimentation), qui comprenait la conception, l’exploration et la mise à l’essai de solutions potentielles par des experts des secteurs des ressources humaines et de la paie.
- L’approche de la phase 1 a permis de tirer des leçons sur ce que le GC, en tant qu’entreprise, pourrait devoir changer pour être en mesure de tirer efficacement parti d’une solution commerciale de RH et de paie.
- À l’été 2023, SPAC a assumé la direction fonctionnelle de l’équipe de projet de l’Initiative ProGen RH et paie alors qu’elle entamait la phase suivante, et le 20 novembre 2023, l’organisation ProGen RH et paie a été officiellement transférée de SPC à SPAC.
Si l’on insiste sur le coût :
- L’initiative évalue le coût total de possession des principales composantes d’un système de RH et de paie à mesure que la voie à suivre est élaborée.
- Le coût total d’un nouveau système, y compris les coûts opérationnels permanents de transition ainsi que les coûts permanents, sera déterminé une fois qu’une solution aura été jugée viable.
Si l’on insiste sur les contrats :
- ProGen RH et paie a testé une solution, avec le fournisseur, par rapport à la complexité des exigences en matière de RH et de paie du GC.
- Pour ce faire, l’équipe a utilisé un processus d’approvisionnement agile pour progresser et s’adapter rapidement aux circonstances changeantes.
- Grâce à ce processus d’approvisionnement novateur, 3 fournisseurs qualifiés ont été choisis (SAP, WorkDay, et Ceridian), avec la possibilité de passer à un autre fournisseur préqualifié, si nécessaire.
- Cette option a été utilisée pour passer à un nouveau fournisseur (Ceridian) pour la recherche et l’expérimentation.
Contexte
- ProGen RH et paie a utilisé un processus d’approvisionnement agile pour aller de l’avant et s’adapter rapidement aux circonstances changeantes. Grâce à ce processus d’approvisionnement innovant, les 3 fournisseurs qualifiés ont été choisis (SAP, WorkDay, et Ceridian) pour la solution ProGen RH et paie, avec la possibilité de passer à un autre fournisseur préqualifié, si nécessaire. En août 2021, cette option a été utilisée pour migrer vers un nouveau fournisseur (Ceridian) pour la recherche et l’expérimentation.
- Au printemps 2021, après avoir complété le premier contrat avec SAP Canada Inc., le GC a entamé des négociations avec SAP pour poursuivre le reste des activités de la phase 1. Incapable de parvenir à un accord mutuel avec SAP, le GC a choisi le prochain fournisseur préqualifié, signant un contrat avec Ceridian le 14 septembre 2021.
- Comme le financement de la phase 1 a expiré le 31 mars 2023, SPC a soumis une proposition de financement pour poursuivre les activités visant à terminer la phase 1 et à commencer la phase 2. Le budget 2023 a alloué 41 millions de dollars (y compris les locaux) en financement à SPC pour poursuivre les travaux requis pour prendre une décision éclairée sur l’avenir des RH et de la paie.
- Au 4 octobre 2023, 23,8 millions de dollars de ce financement supplémentaire ont été consacrés à cette initiative dans le cadre de la phase 1 pour terminer les activités de recherche et d’expérimentation et commencer à travailler sur la recommandation au GC sur les RH et la paie.
- Dans le cadre de la phase 1 de recherche et d’expérimentation, les activités suivantes ont été réalisées :
- test de la solution pour soutenir l’évaluation de la viabilité;
- rédaction du rapport de conclusion, qui analyse les résultats des tests sur la viabilité technique de la solution.
- Le financement de la phase 2 a été utilisé pour différentes activités, notamment :
- l’analyse d’options pour appuyer une recommandation au GC sur les RH et la paie;
- l’intégration de l’initiative à la stratégie d’entreprise en matière de RH et de paie, sous l’autorité de SPAC.
- Le 14 octobre 2020, la sélection du ministère du Patrimoine canadien pour la phase exploratoire de l’initiative RH et paie de nouvelle génération a été annoncée. Patrimoine canadien a été choisi comme ministère pilote pour la phase exploratoire, car l’organisation offre une bonne représentation des complexités des ressources humaines du gouvernement, y compris les multiples groupes professionnels, la représentation régionale, les heures supplémentaires, et d’autres considérations.
- Le 27 juillet 2021, le GC a annoncé l’élargissement des tests pour inclure le ministère des Pêches et des Océans, la Garde côtière canadienne et Développement économique Canada pour les régions du Québec, et en 2022, on a aussi inclus Relations Couronne-Autochtones et Affaires du Nord Canada et Services aux Autochtones Canada.
- L’équipe de ProGen RH et paie a également mobilisé une grande représentation d’employés de 27 ministères à travers une grande variété de forums, tels que des présentations, des séances d’information et plus de 2 100 cas RH et paie ont été testés.
Détails de la page
- Date de modification :