Gouvernement du Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Liens de la barre de menu commune

Au sujet de l'ACIA > Saine gestion de l'Agence > Vérifications

Liens institutionnels

Vérification de la gouvernance de la GI/TI

Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.

Mai 2010

Table des matières

1.0 Résumé

1.1 Introduction

En général, l’information représente un des biens les plus précieux pour les opérations d’une organisation. La gouvernance de la gestion de l’information/de la technologie de l’information (GI/TI) intègre et institutionnalise les bonnes pratiques, afin de garantir que la GI/TI favorisera l’atteinte des objectifs opérationnels en maximisant les avantages, en exploitant les possibilités et en bénéficiant de services commerciaux de meilleure qualité.

Conformément à ce que prévoyait le Plan de vérification 2006-2009, la présente vérification vise, dans le cadre de la Politique sur la vérification interne du Conseil du Trésor du Canada, à donner des assurances à la présidente et à la haute direction à propos de la pertinence et de l’efficacité des modes de gouvernance de la GI/TI. Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.

1.2 Constatations et recommandations

Gouvernance

Constatation 1 : Aperçu des fonctions et des projets

Les actuels comités de gouvernance ne supervisent pas de façon détaillée les fonctions de GI/TI.

Recommandation 1 :

Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs, et d’une série complète de comités d’appui.

Constatation 2 : Gestion de l’information et fourniture des services de TI

La gestion de l’information et la fourniture des services de TI ne sont pas bien planifiées, officialisées ou surveillées.

Recommandation 2 :

Le V.-P., Finances, administration et technologie de l’information devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’information et la prestation des services de TI soient bien planifiées, officialisées et surveillées.

Constatation 3 : Politiques et procédures liées à la GI/TI

On n’a pas établi, approuvé et fait connaître de série complète de politiques/procédures liées à la GI/TI.

Recommandation 3 :

Le V.-P., Finances, administration et technologie de l’information devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.

Contrôles

Constatation 4 : Développement de systèmes

Les systèmes d’information ne sont pas développés à l’aide de pratiques courantes ou conformément à la politique du Conseil du Trésor.

Recommandation 4 :

Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.

Gestion des risques

Constatation 5 : Gestion des initiatives à risque élevé

Les initiatives à risque élevé ne sont pas gérées adéquatement, et les activités liées à la GI/TI ne répondent pas aux attentes du gouvernement en matière de sécurité opérationnelle.

Recommandation 5 :

Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.

1.3 Énoncé d’assurance

Selon mon jugement professionnel en tant que dirigeant principal de la vérification, des procédures de vérification appropriées ont été suivies et des données suffisantes ont été recueillies pour confirmer l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en fonction des critères de vérification établis. Les conclusions ne s'appliquent qu'aux entités examinées et au champ d'étude décrit dans le présent rapport.

1.4 Opinion

À mon avis, la gouvernance de la GI/TI au sein de l’ACIA présente des lacunes créant divers types de risques, qui exigent une amélioration importante des processus de gouvernance, de contrôle et de gestion des risques1.

Peter Everson
Dirigeant principal de la vérification, Agence canadienne d’inspection des aliments

2.0 À propos de la vérification

2.1 Contexte

En général, l’information représente un des biens les plus précieux pour les opérations d’une organisation. La gouvernance de la gestion de l’information/de la technologie de l’information (GI/TI) intègre et institutionnalise les bonnes pratiques, afin de garantir que la GI/TI favorise l’atteinte des objectifs opérationnels en maximisant les avantages, en exploitant les possibilités et en bénéficiant de services commerciaux de meilleure qualité.

2.2 Objectif et portée

Comme cela a été approuvé dans le Plan de vérification 2006-2009, la présente vérification vise, dans le cadre de la Politique sur la vérification interne du Conseil du Trésor du Canada, à donner des assurances à la présidente et à la haute direction à propos de la pertinence et de l’efficacité des modes de gouvernance de la GI/TI.

Cette vérification comprend un examen des activités entreprises par le Bureau du dirigeant principal de l’information (BDPI) entre novembre 2008 et mars 2009.

2.3 Méthodologie

Pour aider les organisations à obtenir les résultats souhaités au chapitre de la GI/TI, on a créé plusieurs cadres de contrôle. La norme baptisée Control Objectives for Information and related Technology (COBIT) est largement acceptée par l’industrie; elle définit les pratiques exemplaires et les spécialistes de la GI/TI l’utilisent comme guide pour superviser et contrôler les activités de GI/TI (voir l’annexe A). Dans le cadre de la présente vérification de la gouvernance de la GI/TI, nous avons respecté la norme COBIT afin de définir les domaines dans lesquels il existe des processus de contrôle à la fois adéquats et efficaces qui fonctionnent comme prévu, et dans lesquels on pourrait apporter des améliorations. La norme COBIT met l’accent sur les éléments suivants :

  • alignement stratégique;
  • création de valeur;
  • gestion des ressources;
  • gestion des risques;
  • mesure du rendement.

Nous avons conçu un programme de vérification en nous basant sur la norme COBIT pour en définir les objectifs et les critères. Nous avons interviewé les employés du Bureau du dirigeant principal de l’information (BDPI) et de l’agent de sécurité du Ministère (ASM) à l’ACIA. Nous avons analysé la conformité de trois systèmes en cours de développement par rapport aux pratiques de développement traditionnelles : le Système informatisé pour l’enregistrement et le suivi des analyses de laboratoire (SIESAL), le Système de vérification de la conformité (SVC) et l’initiative de guichet unique relative aux importations. Les entrevues ont été documentées et les documents, analysés, et l’on a procédé à des essais appropriés afin de corroborer l’information obtenue.

3.0 Constatations et recommandations

3.1 Introduction

Cette section contient les constatations détaillées issues de la vérification de la gouvernance de la GI/TI au sein du BDPI. Ces constatations sont basées sur les éléments probants et les analyses découlant à la fois de notre analyse initiale des risques et de la vérification détaillée.

3.2 Gouvernance

Constatation 1 : Supervision des fonctions et des projets

Les actuels comités de gouvernance ne supervisent pas de façon détaillée les fonctions de GI/TI.

Nous nous attendions à ce que les fonctions de GI/TI soient gérées par des comités chargés de formuler des orientations stratégiques et de passer en revue les principaux investissements pour le compte du Comité de la haute direction. 

Les décisions stratégiques visant les projets sont prises par le Sous-comité de la gestion et de la technologie de l’information (SCGTI), plutôt que par le comité de cadres supérieurs chargés des sciences et de la technologie ou par un comité directeur de la GI/TI composé de cadres supérieurs qui supervise l’atteinte des objectifs opérationnels et stratégiques. Le SCGTI autorise les membres non officiels à prendre des décisions. On n’a pas créé de comité de l’architecture chargé de coordonner l’évolution de l’architecture d’entreprise en ce qui concerne l’information, l’infrastructure, les applications et la sécurité.

D’autres comités, censés participer à l’établissement des priorités de GI/TI et à la surveillance de projets (par exemple, le Comité des applications des secteurs d’activités (CASA), le Comité de soutien intégré et des services gérés (CSISG) et le Comité de l’infrastructure essentielle (CIE)) ne se réunissent pas régulièrement en raison du trop petit nombre de membres.

Notre examen a révélé que la gouvernance n’était pas appropriée, car on n’a pas créé de comité directeur pour un projet d’importance comme le Système de vérification de la conformité (SVC), alors qu’un comité directeur efficace a été créé pour le projet de centre de données. On assigne deux chefs à un même projet lorsque les responsables du développement des systèmes et le secteur d’activité proposent chacun un gestionnaire de projet.

Il peut arriver que les décisions stratégiques et les activités liées à la GI/TI ne tiennent pas totalement compte des objectifs opérationnels de l’Agence. Il peut également arriver que les décisions relatives à un projet de GI/TI ne soient pas prises à temps par le personnel approprié pour mener à bien ce projet avec succès (en temps opportun, dans le respect du budget et en répondant aux exigences des utilisateurs).

Recommandation 1 :

Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs et d’une série complète de comités d’appui.

Constatation 2 : Gestion de l’information et fourniture des services de TI

La gestion de l’information et la fourniture des services de TI ne sont pas bien planifiées, officialisées ou surveillées.

Nous nous attendions à ce que la gestion de l’information et les services de TI soient correctement planifiés et communiqués, et à ce qu’ils s’harmonisent avec la stratégie et les plans opérationnels de l’Agence.

Il n’existe pour l’instant aucune architecture d’information, aucun dictionnaire de données d’entreprise permettant de gérer l’information électronique et aucun système de gestion des contenus d’entreprise.

La planification de la GI/TI est incomplète et ne fait l’objet d’aucune surveillance. Exemples : la planification stratégique de la GI/TI n’est pas liée aux stratégies opérationnelles et techniques; on n’a pas élaboré les plans opérationnels en se basant sur les plans stratégiques ou sur les commentaires des secteurs d’activité. Il n’existe aucun catalogue des services de GI/TI, aucun accord sur les niveaux de service et aucun mécanisme permettant d’établir le coût et le rendement des services.

Les processus de GI/TI ne sont pas officialisés, clairement définis ou approuvés; par ailleurs, on ne les surveille pas pour s’assurer qu’ils répondent aux attentes. Les processus ne sont pas mis en oeuvre de façon cohérente (p. ex., on ne définit pas de procédures de lutte contre les virus, avec des rôles et responsabilités clairement définis, pas plus qu’on ne les surveille ou qu’on ne les corrige au moment opportun).

Il n’existe pas de programme permanent de remplacement et de mise à niveau de l’équipement informatique et des logiciels de bureau. On achète le matériel informatique à l’aide de fonds qui ne peuvent pas être reportés en fin d’année, puis on entrepose ce matériel. Depuis deux ans, on n’a acheté aucun nouvel ordinateur de bureau; les systèmes de base sont donc très vieux et nécessitent un investissement important pour 2009‑2010 et les années suivantes. La mise à niveau planifiée des logiciels de bureau a été reportée par manque de fonds.

L’Agence risque d’offrir des services de TI et de gérer son information de façon coûteuse, inefficace et peu rentable. Elle est tout particulièrement à risque, car elle crée et offre des services basés sur les technologies récentes à l’aide d’une infrastructure de TI vieillissante.

Recommandation 2 :

Le V.-P., Finances, administration et technologie de l’information devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’ information et la prestation des services de TI soient bien planifiées, officialisées et surveillées.

Constatation 3 : Politiques et procédures liées à la GI/TI

On n’a pas établi, approuvé et fait connaître de série complète de politiques et procédures liées à la GI/TI.

Nous nous attendions à ce qu’une série de politiques et procédures existe et ait été approuvée par le Comité de la haute direction, à l’appui de la stratégie de GI/TI. Nous pensions que les politiques et procédures étaient communiquées à tous les employés, qu’elles définissaient clairement les responsabilités et qu’on en examinait périodiquement la pertinence. Nous pensions qu’on avait établi des normes, procédures et pratiques, et qu’on les tenait à jour pour les principaux processus de GI/TI.

De nombreuses politiques et procédures demeurent incomplètes ou ne sont pas approuvées (par exemple : le cadre de sécurité de la TI, le cadre de certification et d’accréditation et la politique d’intervention en cas d’incident de sécurité). La mise en oeuvre de bon nombre des politiques liées à la GI/TI n’a pas fait l’objet d’un suivi.

Par ailleurs, le cadre stratégique provisoire relatif aux finances, à l’administration et à la technologie de l’information (FATI) ne nécessite aucun instrument pour être officiellement approuvé par le Comité de la haute direction de l’ACIA. Par contre, il est approuvé par le Comité de la gestion des ressources et de la surveillance (CGRS).

Il n’existe aucun cadre de politique visant l’ensemble de l’Agence, et chaque direction a adopté son propre ensemble de politiques, sa structure et ses contenus. Le cadre stratégique provisoire relatif aux FATI ne décrit pas les divers instruments stratégiques et leur objet; son contenu n’est donc pas utile.

Les actuelles politiques et procédures de GI/TI ne s’inscrivent pas dans l’approche de renouvellement des politiques du Conseil du Trésor, qui vise à mieux harmoniser les responsabilités et l’obligation de rendre compte au sein du gouvernement fédéral (politiques, directives, normes, lignes directrices, outils).

Les risques associés au fait de ne pas mettre à jour les politiques approuvées sont les suivants : l’obligation de rendre compte, les rôles et les responsabilités ne sont pas clairement définis; il se peut que les employés ne fassent pas toujours leur travail de la même façon, avec le même niveau de qualité et de sorte qu’il puisse être répété.

Recommandation 3 :

Le V.-P., Finances, administration et technologie de l’information devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.

3.3 Contrôles

Constatation 4 : Développement des systèmes

Les systèmes d’information ne sont pas développés à l’aide de pratiques courantes ou conformément à la politique du Conseil du Trésor.

Nous nous attendions à ce qu’on utilise un cadre de gestion des projets de GI/TI – conforme aux politiques du Conseil du Trésor – pour guider le développement des systèmes d’information (en temps opportun, dans le respect du budget et en répondant aux exigences des utilisateurs).

L’actuel cadre de gestion des projets de GI/TI est inadéquat, car il n’inclut pas toutes les phases d’un projet, de la mise en oeuvre initiale à l’obsolescence des systèmes. Par ailleurs, il ne définit pas les pratiques exemplaires de gestion de projets, pas plus qu’il n’intègre les exigences relatives à la sécurité de l’information.

On n’utilise pas ce cadre pour le développement des systèmes d’information. Dans le cas des deux projets de développement que nous avons examinés – Système informatisé pour l’enregistrement et le suivi des analyses de laboratoire (SIESAL) et Système de vérification de la conformité (SVC), nous avons constaté qu’aucune analyse de rentabilisation n’avait été préparée et que ces projets n’étaient pas conformes à la Politique sur l’approbation des projets du Conseil du Trésor. Les pratiques de gestion de projet n’ont pas permis de mener à bien efficacement ces projets. Par exemple, le SIESAL devait coûter initialement 1,2 million de dollars et être terminé en deux ans. Le projet est encore en cours, et son coût total (indiqué dans les notes d’information sur les projets d’immobilisations) est passé de 1,2 million en 2005‑2006 à 4,4 millions en 2006‑2007, à 4,8 millions en 2007‑2008 et à 7,4 millions en 2008‑2009.

Nous avons constaté que les gestionnaires de projet n’adoptaient pas les pratiques énoncées dans la Politique sur la gestion des projets du Conseil du Trésor et ne recevaient pas la formation adéquate. Le Bureau de gestion de projets ne surveille pas de façon efficace les produits livrables associés aux projets.

Si l’on ne respecte pas le cadre approuvé, les projets risquent de continuer à être mis en oeuvre en retard, avec un dépassement de budget et sans répondre aux besoins fonctionnels des utilisateurs.

Recommandation 4 :

Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.

3.4 Gestion des risques

Constatation 5 : Gestion des initiatives à risque élevé

Les initiatives à risque élevé ne sont pas gérées adéquatement, et les activités liées à la GI/TI ne répondent pas aux attentes du gouvernement en matière de sécurité opérationnelle.

Nous nous attendions à ce que la gestion des activités de GI/TI respecte la norme opérationnelle de sécurité du CT intitulée Gestion de la sécurité des technologies de l’information (GSTI). La GSTI est une initiative pangouvernementale qui prévoit de nombreux contrôles de la sécurité de l’information visant à réduire les risques pour l’information détenue par l’Agence.

On n’a pas pris les mesures correctives appropriées dans plusieurs situations à risque élevé :

  • Évaluation de la menace et des risques et évaluation des facteurs relatifs à la vie privée – soit on n’a pas préparé ces évaluations, soit on n’a pas appliqué les exigences en matière de sécurité au centre de données, au réseau et aux applications.
  • On n’a pas mis en place de programme de certification et d’accréditation permettant uniquement l’intégration à l’environnement opérationnel d’une infrastructure et d’applications correctement protégées.
  • Il n’existe aucun plan de continuité des activités et aucun plan de reprise des activités pour les services de GI/TI.
  • Il faut prendre des mesures pour élaborer un ensemble de services de GI/TI et procéder à l’évaluation de l’incidence de ces services sur les activités. Nous avons constaté que les services existants étaient incomplets et inappropriés.
  • Le DPI connaît ces situations à risque élevé et a récemment préparé une analyse des écarts, qui comparait la conformité à la norme GSTI à la situation présentée au SCT. Cet examen a confirmé que le taux de conformité réel à la norme GSTI est de 12 %, et pas de 65 %, comme on l’a indiqué au SCT.

Ces situations à risque élevé créent un profil de risque global en matière de sécurité qui pourrait ne pas être acceptable pour l’Agence. Si elle ne prend aucune mesure, l’Agence demeurera exposée à de nombreuses menaces visant l’information et les biens qu’elle détient, et pourrait être incapable de poursuivre sa mission en cas d’incident.

Recommandation 5 :

Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.

Annexe A : Source des critères de vérification     

Objectifs de vérification fondés sur la norme COBIT

PO – Planification et organisation

  • PO1 Vérifier si la GI/TI est planifiée efficacement au sein de l’organisation et qu’elle est conforme aux stratégies et plans d’activité de l’organisation.
  • PO2 Une architecture de l’information efficace est précisée et maintenue.
  • PO3 Une fonction relative aux services d’information existe pour définir l’orientation technologique à l’appui des activités.
  • PO4 L’organisation de la GI/TI est définie par l’examen des exigences relatives au personnel, aux compétences, aux fonctions, aux responsabilités, aux autorisations ainsi qu’aux rôles, aux attributions et à la supervision.
  • PO5 Un cadre a été établi pour la gestion des programmes d’investissement reposant sur la TI incluant les coûts, les avantages et l’établissement des priorités dans le cadre d’un processus budgétaire et de gestion des dépenses réelles par rapport au budget.
  • PO6 La direction a créé un cadre de contrôle de la TI et a défini et diffusé des politiques à l’échelle de l’organisation visant l’atteinte des objectifs opérationnels et relatifs à la TI, les risques et l’orientation.
  • PO7 Des employés compétents sont recrutés et maintenus en poste pour créer et fournir les services liés à la TI.
  • PO8 Un système de gestion de la qualité est créé et maintenu, incluant des normes et des processus éprouvés d’acquisition et de développement.
  • PO9 Un cadre de gestion du risque TI est créé et maintenu.

AMO – Acquisition et mise en oeuvre

  • AMO1 La nécessité d’une nouvelle application ou fonction doit être analysée avant son acquisition ou son développement pour vérifier si les exigences administratives sont satisfaites d’une manière efficace et efficiente.
  • AMO2 Les applications sont conformes aux exigences opérationnelles.
  • AMO3 Un plan est produit pour l’acquisition, la mise en oeuvre et l’entretien d’une infrastructure technologique qui répond aux exigences opérationnelles techniques et fonctionnelles et qui est conforme à l’orientation technologique de l’organisation.
  • AMO4 Les connaissances sur les nouveaux systèmes sont mises à la disposition des utilisateurs et du milieu de la TI sous forme de documents et de guides, et on donne une formation pour assurer l’utilisation et l’exploitation appropriées des applications et de l’infrastructure.
  • AMO15 Lorsqu’il faut obtenir des ressources en TI (ressources humaines, matériel, logiciels ou services), le processus est mené conformément aux procédures de l’organisation visant l’achat, la sélection des fournisseurs, l’élaboration des ententes contractuelles et l’acquisition proprement dite.
  • AMO16 Tous les changements, y compris les entretiens et les correctifs d’urgence concernant l’infrastructure et les applications dans l’environnement de production sont gérés dans les règles et d’une manière contrôlée.
  • AMO17 Les nouveaux systèmes opérationnels sont mis à l’essai comme il se doit dans un environnement spécialisé en s’appuyant sur les données d’essais pertinentes, la définition des instructions de lancement et de migration, la planification des versions subséquentes et la mise en production, ainsi qu’un examen suivant la mise en oeuvre.

LST – Livraison et soutien technique

  • LST1 Les communications entre la direction et les clients d’entreprise de la TI concernant les services requis sont efficaces parce que ces besoins sont définis dans un accord sur les niveaux de service de TI.
  • LST2 Un processus de gestion par un tiers est en place pour assurer que les services fournis par des tiers (fournisseurs ou partenaires) sont efficaces et qu’ils satisfont aux exigences opérationnelles.
  • LST3 Le rendement et la capacité des ressources en TI sont gérées de façon à examiner régulièrement le rendement et la capacité des ressources en TI.
  • LST4 Des plans de continuité de la TI sont élaborés, maintenus et vérifiés pour fournir en permanence des services liés à la TI.
  • LST5 L’intégrité de l’information est maintenue et les fonds de renseignements sont protégés par un mécanisme de gestion de la sécurité.
  • LST6 Les coûts de la TI sont évalués avec exactitude et attribués à l’activité d’une manière juste et équitable, avec l’accord des utilisateurs fonctionnels.
  • LST7 Tous les utilisateurs des systèmes de TI, y compris les responsables de la TI, reçoivent de l’information et une formation adéquate sur l’utilisation initiale et continue de ces systèmes.
  • LST8 Un service de dépannage efficace et un processus de gestion des incidents sont en place pour répondre aux questions des utilisateurs et régler les problèmes rapidement et efficacement.
  • LST9 Un répertoire des configurations est créé et maintenu pour garantir l’intégrité des configurations du matériel et des logiciels.
  • LST10 Un mécanisme de gestion des problèmes est en place pour détecter et classer les problèmes, analyser les causes fondamentales et résoudre les problèmes.
  • LST11 Les exigences relatives aux données sont définies pour permettre la gestion des données générées par les processus de TI.
  • LST12 Les installations abritant le matériel informatique et le personnel sont adéquatement conçues pour assurer la protection et la sécurité physique des biens et de l’information sensibles.
  • LST13 Le traitement complet et efficace des données nécessite une gestion adéquate des procédures de traitement des données et l’entretien régulier du matériel pour assurer le rétablissement après les erreurs et les pannes.

SE – Surveillance et évaluation

  • SE1 Un processus de surveillance régulière est inclus dans un régime efficace de gestion du rendement de la TI.
  • SE2 Un processus de surveillance est en place pour évaluer efficacement le programme de contrôle interne de la TI grâce à des rapports sur les exceptions, les résultats des auto-évaluations et les examens par des tiers.
  • SE3 Des mécanismes sont en place pour assurer une surveillance efficace de la conformité avec les lois, règlements et exigences contractuelles.
  • SE4 L’établissement d’un cadre de gouvernance efficace fait intervenir la conception de structures organisationnelles, processus, rôles et responsabilités, pour faire en sorte que les investissements en TI sont alignés sur les stratégies et les objectifs d’entreprise.

Annexe B : Réponse de la direction et plan d’action

Réponse général:

Nous sommes d’accord avec les conclusions de la vérification.

Des changements considérables sont apportés à la fonction de GI/TI à l’ACIA depuis que l’on comprend mieux l’importance de cette fonction en ce qui concerne l’orientation et l’efficacité de l’exécution du mandat de l’Agence. Cette transformation doit être soutenue par un engagement cohérent et de tous les instants entre les partenaires responsables de cette fonction – les secteurs d’activité et le BDPI.

Annexe B : Réponse de la direction et plan d?action
Annexe B : Réponse de la direction et plan d’action

Un modèle de gouvernance existe pour cette fonction. Selon le modèle actuel, le DPI est responsable de tous les aspects de la fonction de GI/TI, à l’exception du développement des applications et des systèmes à l’appui d’un secteur d’activité. Dans ce cas, l’obligation de rendre des comptes est double. Les comités existants tentent de favoriser une décision collective. Dans cette équation, le secteur de l’activité est décomposé (composantes individuelles des initiatives individuelles) et il n’encadre pas les changements apportés au système pour son compte par le BDPI. C’est pourquoi le modèle de gouvernance doit être modifié afin de fournir une orientation claire au DPI, en lui demande de rendre compte des résultats.

La vérification a montré qu’il faut renouveler la gouvernance de la GI/TI et établir un modèle de service solide qui définit clairement les obligations de rendre compte au sein de l’ACIA en ce qui concerne l’exploitation, la gestion et le développement des services de GI/TI. Ce nouveau modèle doit définir clairement les rôles, responsabilités et obligations de rendre compte et inclure les secteurs d’activité non seulement à titre de partenaires, mais aussi à titre de « propriétaires » du service. On utilisera un cadre cohérent du point de vue des services pour créer ce modèle des rôles, responsabilités et obligations de rendre compte (voir la structure illustrée dans l’encadré ci-dessus).

La réponse globale de la direction à la vérification donnera lieu à des changements notables au niveau de la gestion et de la supervision de la fonction de GI/TI au sein de l’Agence. Ces changements s’articuleront autour des grands thèmes suivants :

  • Gouvernance globale de la GI/TI à l’ACIA : Fournir des directives claires concernant les responsables des divers éléments du développement de la GI/TI, des activités d’exploitation et d’entretien, et mettre en place un mécanisme de supervision adéquate de ces rôles.
  • Élaborer des normes et définir clairement la responsabilité en ce qui concerne la fourniture des services de GI/TI, fournir les capacités requises pour soutenir ces services et assurer une supervision.
  • Élaborer, prioritairement, un cadre stratégique sur la GI et la TI à la faveur de l’examen global des politiques de fonctionnement de la FATI.
  • Créer et mettre en place une fonction de gestion des projets d’entreprise chargée de définir et de surveiller un cadre de gestion des projets d’entreprise.
  • S’engager à respecter les exigences en matière de sécurité des technologies de l’information, sous réserve des contraintes financières et des capacités du gouvernement du Canada.

Réponse de la direction

Nous sommes d’accord avec les conclusions et les recommandations de la vérification.

Le vice-président, Finances, administration et technologie de l’information (FATI), présentera au président des propositions sur le renouvellement de la gouvernance de la GI/TI fondé sur des rôles, responsabilités et obligations de rendre compte clairement définis en ce qui a trait à la fonction de GI/TI à l’Agence. Ces propositions comprendront la mise en oeuvre d’un mécanisme de supervision des fonctions opérationnelles du DPI par les cadres supérieurs ainsi qu’un modèle de gouvernance qui permettra aux responsables des secteurs d’activité d’encadrer et de superviser les projets reposant sur la GI/TI. On utilisera un cadre cohérent du point de vue des services pour créer ce modèle de rôles, responsabilités et obligations de rendre compte (voir la structure illustrée ci-dessus).

Recommandation

Gouvernance

1. Le V.-P., Finances, administration et technologie de l’information devrait veiller à la création d’un comité de supervision de la GI/TI composé de cadres supérieurs, et d’une série complète de comités d’appui.

Mesures de gestion proposées Représentant(s) responsable(s) Date d’entrée en vigueur
Le BDPI élaborera et fera approuver un modèle de services de GI/TI fondé sur la structure présentée dans l’encadré de la réponse de la direction ci-dessus. Ce modèle permettra au vice-président, FATI, de créer un comité de supervision de la GI/TI composé de cadres supérieurs et des comités d’appui. Dirigeant principal de l’information (DPI)  
1. Élaborer et faire approuver une grille de responsabilités concernant le fonctionnement, le maintien et le développement des services de GI/TI au sein de l’ACIA. DPI 1er trimestre,
exercice 2010-2011
2. Établir un cadre de supervision pour la fonction lorsque le DPI est le responsable. V.-P., FATI 3e trimestre,
exercice 2010-2011
3. Élaborer et faire approuver un cadre de gouvernance fondé sur la structure illustrée dans l’encadré de la réponse la direction ci-dessus pour la fonction lorsque les secteurs d’activité sont les responsables. V.-P., FATI 1er trimestre, exercice
2010-2011
4. Entre-temps, le V.-P., FATI, supervisera des obligations de rendre compte du DPI, et on demandera au CGRS de superviser les obligations de rendre compte des secteurs d’activité responsables ainsi que l’affectation des ressources aux activités de GI/TI, aux projets reposant sur la GI/TI et aux projets liés à la GI/TI. V.-P., FATI  

Réponse de la direction

Nous sommes d’accord.

  • On restructure actuellement les fonctions de planification à l’ACIA et au sein de la FATI dans le cadre du passage à la gestion des ressources et la planification intégrées des secteurs d’activité. La GI/TI n’est pas la seule fonction visée. Le vice-président, FATI, mettra en place des processus de contrôle interne et de planification mieux structurés dans le cadre de la gouvernance renouvelée de la GI/TI.
  • Au sein du BDPI, cela fera intervenir un cadre cohérent axé sur les services de GI/TI et un modèle de services de GI/TI qui définit et explique clairement les rôles, responsabilités et obligations de rendre compte associés à la fonction de GI/TI, aussi bien dans le secteur de la GI/TI que dans les autres secteurs d’activités de l’ACIA.
  • Le BDPI va créer et maintenir les capacités nécessaires pour élaborer des plans d’activités et opérationnels, assurer la gestion financière, créer les contrôles internes et produire des rapports opérationnels intégrés. Ce volet sera séparé de la fonction de gestion de projet.

Recommandation

Gouvernance

2. Le V.-P., Finances, administration et technologie de l’information, devrait renforcer les pratiques de gestion afin de veiller à ce que la gestion de l’information et la prestation des services de TI soient bien planifées, officialisées et surveillées.

Mesures de gestion proposées Représentant(s) responsable(s) Date d’entrée en vigueur
1. Le DPI va créer les capacités de gestion des activités qui fournira la gestion opérationnelle et des activités du secteur. Dirigeant principal de l’information (DPI) Avril 2011
2. Un poste de dirigeant principal de la technologie (DPT) relevant directement du DPI sera créé. Son titulaire sera responsable de la direction et de la fourniture des services de GI/TI aux clients d’une manière efficace et efficience. DPI Juin 2011
3. Le DPI élaborera et fera approuver, par le CGRS ou son successeur, un modèle de services de GI/TI fondé sur la structure illustrée dans l’encadré de la réponse de la direction à la recommandation no 1. DPI 2e trimestre, exercice 2010-2011
4. Un accord sur les niveaux de service (ANS) sera élaboré pour définir les normes de services aux clients et approuvé par le CGRS ou son successeur. DPI Avril 2011
5. Des procédures et des protocoles opérationnels officiels seront élaborés et mis en application par l’intermédiaire du DPT. DPI 4e trimestre, exercice
2010-2011
6. Le V.-P., FATI, supervisera les pratiques opérationnelles du DPI par l’intermédiaire du Comité de gestion des activités (CGA). V.-P. FATI Maintenant
7. Le DPI élaborera un plan en plusieurs étapes pour l’élaboration et la fourniture d’une capacité centrale dans le secteur de la prestation des services. DPI Avril 2011

2e trimestre, exercice
2010-2011

Réponse de la direction :

Nous sommes d’accord.

  • Le vice-président, FATI, est à élaborer un processus pour l’examen et le renouvellement de la politique administrative pour tous les secteurs fonctionnels. L’objectif est d’examiner, de simplifier et de préciser l’environnement de la politique administrative à l’ACIA. La série de politiques sur la GI/TI constitue la priorité.
  • Une série complète de politiques et procédures sur la GI/TI seront élaborées, approuvées, communiquées et surveillées, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor.
  • Les éléments nécessaires à la série de politiques sur la sécurité de la GI/TI seront prioritaires.

Recommandation

Gouvernance

3. Le V.-P., Finances, administration et technologie de l’information, devrait élaborer et mettre en place un cadre stratégique cohérent, en tenant compte du renouvellement de la série de politiques du Conseil du Trésor. Le DPI devrait produire des politiques et procédures approuvées dans l’esprit de ce cadre.

Mesures de gestion proposées Représentant(s) responsable(s) Date d’entrée en vigueur
Élaborer et mettre en oeuvre un cadre stratégique cohérent pour les politiques de GI et de TI. Ce cadre tiendra compte du renouvellement de la série de politiques du Conseil du Trésor, et se penchera d’abord sur les politiques de sécurité de la TI. Dirigeant principal de l’information (DPI)  
1. Dans ce contexte, élaborer un cadre stratégique global de la politique administrative et un plan de mise en oeuvre. V.-P., FATI 1er trimestre, exercice 
2010-2011
2. Élaboration du cadre stratégique –sera approuvé par le CGRS ou son successeur. DPI 1er trimestre, exercice 2010-2011
3. Politiques intégrées dans le cadre : DPI  
  • a. Politiques de sécurité de la TI
    1er trimestre –2e trimestre,    exercice 2010-2011
  • b. Autres politiques de GI et de TI
   2e trimestre –4e trimestre, exercice 2010-2011

Réponse de la direction:

Nous sommes d’accord.

  • La FATI est en train de créer une fonction de gestion des projets d’entreprise au niveau de l’organisation pour fournir des avis et des conseils stratégiques et apporter un soutien aux autres agents de gestion des projets d’entreprise. Cette nouvelle fonction relèvera du vice-président, FATI.
  • L’un des premiers produits livrables sera le Cadre de gestion de projet (CGP) intégré de l’Agence et la politique à l’appui de la nouvelle politique sur Conseil du Trésor sur les investissements et les immobilisations.
  • Le cycle de développement des systèmes au sein du BDPI doit être revu et modernisé pour s’assurer qu’il satisfait aux pratiques exemplaires actuelles de l’industrie et aux exigences du Conseil du Trésor. Par ailleurs, il faut renforcer le rôle des secteurs d’activité qui dirigent des projets reposant sur la GI/TI. Le BDPI fera office d’organe de gouvernance de la gestion de projet.
  • Dans ce contexte, le Cadre de gestion de projet (CGP) au sein du BDPI devra être revu et modernisé pour s’assurer qu’il satisfait aux pratiques courantes et exemplaires dans l’industrie et aux exigences du Conseil du Trésor.

Recommandation

Contrôles

4. Le V.-P., Finances, administration et technologie de l’information, devrait s’assurer que le processus de développement de systèmes satisfait aux pratiques courantes et acceptées par l’industrie, et aux exigences du Conseil du Trésor.

Mesures de gestion proposées Représentant(s) responsable(s) Date d’entrée en vigueur
1. Créer une fonction d’agent de gestion des projets d’entreprise au sein du bureau du V.-P., FATI V.-P., FATI Avril 2010
2. Désigner le CGRS en tant qu’organe de supervision de la gestion de projet. V.-P., FATI Avril 2010
3. Élaborer et fournir un CGP pour l’ACIA. Agent de gestion des projets d’entreprise Juin 2010
4. Mener un examen indépendant des projets reposant sur la GI/TI en cours pour confirmer leur portée, coûts estimés et niveaux d’autorité. V.-P., FATI Juin 2010
5. Créer un tableau de bord pour le CGP. Agent de gestion des projets d’entreprise Sept. 2010
6. Étendre la gestion de projet présentement assurée par le BDPI au niveau de la direction et des gestionnaires de projet/chefs de projet de secteur d’activité. Agent de gestion des projets d’entreprise Sept. 2010
7. Examiner et moderniser le CGP du BDPI pour s’assurer qu’il satisfait aux pratiques courantes et exemplaires de l’industrie et aux exigences du Conseil du Trésor.    
  • a. Examen complet du CGP du BDPI
 DPI 2e trimestre,
exercice 2010-2011
  • b. Modernisation du CGP du BDPI
 DPI 2e trimestre – 4e trimestre, exercice 2010-2011
8. Examen et modernisation du cycle de développement des systèmes au BDPI en tenant compte des pratiques exemplaires (industrie et gouvernement) actuelles concernant les processus acceptés et les approches émergentes du développement de systèmes.    
  • a. Exemple complet du cycle de développement des systèmes
 DPI 2e trimestre, exercice
2010-2011
  • b. Modernisation du cycle de développement des systèmes
 DPI 2e trimestre – 4e trimestre exercice 2010-2011

Réponse de la direction

Nous sommes d’accord.

  • La direction reconnaît sa responsabilité à l’égard de la mise en oeuvre des mesures de sécurité adéquates qui ont été définies en matière de GSTI. On continuera de prendre des mesures proactives et efficaces pour atténuer les risques et protéger l’information et les biens technologiques de l’Agence, particulièrement les éléments les plus vulnérables. On élabore présentement un plan de travail sur la sécurité de la TI qui s’harmonise avec les exigences de conformité globale en vertu de la Politique sur la sécurité du gouvernement.

Recommandation

Gestion des risques

5. Le V.-P., Finances, administration et technologie de l’information devrait s’assurer que les exigences relatives à la GSTI [gestion de la sécurité des technologies de l’information] sont intégralement respectées et qu’on en rend compte avec précision et dans un délai raisonnable.

Mesures de gestion proposées Représentant(s) responsable(s) Date d’entrée en vigueur
1. Un examen de l’état de la conformité aux exigences relatives à la GSTI est en cours, et on élabore présentement un plan d’exécution chiffré. Les progrès relativement à la GSTI sont soumis à deux contraintes : le financement et les capacités au niveau du gouvernement fédéral. Directeur, Sécurité de la TI 1er trimestre,
2010-2011
2. Un plan de sécurité de la TI est en cours d’élaboration, conformément aux exigences de conformité globales en vertu de la Politique sur la sécurité du gouvernement. On s’intéressera aux éléments plus vulnérables, et s’assurer que Sécurité de la TI a un niveau de conformité acceptable aux exigences relatives à la GSTI. Ce plan sera approuvé par le CGRS ou son successeur. DPI 4e trimestre,
2010-2011

1 Cette opinion est basée sur le niveau global d’importance et de risque associé aux principales constatations et recommandations contenues dans le rapport.


Haut de la page
Avis importants