février 2011
Recommandé le 25 janvier 2011 par le Comité ministérielle de vérification pour l'approbation du sous-ministre
Approuvé par le sous-ministre le 31 janvier 2011
Table des matières
- 1.0 Sommaire
- 2.0 À propos de la vérification
- 3.0 Constatations et recommandations
- 4.0 Annexe A — Critères de vérification utilisés
- Plan d'action de la direction
1.0 Sommaire
1.1 Introduction
La Direction de la gestion du centre de données (GCD) fait partie de la Division des services d'infrastructure (DSI), qui relève du chef de l'informatique. Elle a pour mandat d'optimiser la gestion et l'exploitation du centre de données d'Industrie Canada (CDIC) tout en mettant son leadership et son expertise au service des unités fonctionnelles du Ministère dans le domaine des serveurs, du stockage des données d'entreprise et du courriel.
L'objet de la mission de vérification, approuvé dans le plan de vérification axée sur le risque et confirmé à l'étape de la planification, consistait à donner l'assurance que le CDIC avait mis en place des contrôles adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes du Ministère.
La vérification portait sur tous les aspects du centre de données dans l'édifice C.D. Howe. Elle a aussi examiné la gouvernance, la gestion des risques et les contrôles exercés par la GCD. En outre, les vérificateurs ont évalué la mesure dans laquelle l'autorité fonctionnelle est établie et exercée sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de technologie de l'information (TI) propres aux programmes.
Les vérificateurs n'ont pas examiné les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC (p. ex. à la Place du Portage, dans les Tours Jean-Edmonds et dans les bureaux régionaux). Ils ne se sont pas penchés non plus sur les contrôles d'accès logique se rapportant à des applications, à des bases de données ou à des dispositifs réseau particuliers (p. ex. les concentrateurs, les routeurs, les commutateurs et les coupe-feu).
1.2 Conclusion générale
La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus et aux procédures d'exploitation. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique. Des organismes d'examen surveillent les incidents, les problèmes et les changements. En outre, le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés.
Il serait toutefois possible d'examiner et d'améliorer les pratiques de gestion se rapportant à l'exercice de l'autorité fonctionnelle sur l'exploitation des salles d'ordinateurs et de serveurs du Ministère; le contrôle de l'accès physique au centre de données; et les activités visant à assurer l'exploitation continue du centre de données.
1.3 Principales constatations
Gouvernance
La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus de fonctionnement et aux procédures. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique ainsi que les processus de prestation de services et de soutien de l'ITIL (Information Technology Infrastructure Library). Des organismes d'examen surveillent les incidents, les problèmes et les changements au centre de données. Il y a toutefois matière à amélioration dans le domaine suivant :
Contrôle interne
Le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés. Il y a toutefois matière à amélioration dans les domaines suivants :
Gestion des risques
Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent. Il y a toutefois matière à amélioration dans le domaine suivant :
1.4 Recommandations
- en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
- en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.
1.5 Énoncé d'assurance
Selon mon jugement professionnel en tant que dirigeante principale de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour attester de l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en temps et lieu, en fonction des critères de vérification pré-établis convenus avec la direction. Cette opinion s'applique uniquement aux entités passées en revue et dans le cadre décrit dans le présent rapport. La présente vérification a été menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.
1.6 Opinion de vérification
À mon avis, la Gestion du centre de données d'Industrie Canada comporte des points forts et des points faibles entraînant des risques modérés liés aux processus de gestion des risques, de contrôle et de gouvernance concernant l'assurance de la continuité de la TI, la gestion des biens en fonction du cycle de vie et l'exercice de l'autorité fonctionnelle qui nécessitent l'attention de la direction.
Susan Hart
Dirigeante principale de la vérification,
Industrie Canada
2.0 À propos de la vérification
2.1 Contexte
Direction de la gestion du centre de données
La Direction de la gestion du centre de données (GCD) fait partie de la Division des services d'infrastructure (DSI), qui relève du Bureau de l'informatique. Elle a pour mandat d'optimiser la gestion et l'exploitation du centre de données d'Industrie Canada (CDIC) tout en mettant son leadership et son expertise au service des unités fonctionnelles du Ministère dans le domaine des serveurs, du stockage des données d'entreprise et du courriel. La mission de la GCD est axée sur un renforcement des relations et une collaboration soutenue avec les partenaires, les intervenants et les clients. La mission et la vision de l'organisation s'établissent comme suit :
| Mission | Vision |
|---|---|
| La mission du Bureau de l'informatique consiste à optimiser le rendement du Ministère grâce à une gestion moderne et progressiste des services, des politiques et des ressources en matière de technologie de l'information (TI). | La vision du Bureau de l'informatique consiste à se faire reconnaître en tant qu'organisation fournissant des services de TI de qualité. Dans ce contexte, la GCD s'efforce de fournir à ses clients des services d'infrastructure intégrés de calibre mondial présentant un bon rapport coût-efficacité. |
La GCD gère le CDIC, qui est situé dans l'édifice C.D. Howe. Ses installations de 6 200 pi2 abritent environ 400 serveurs, dont la gestion est principalement assurée par la GCD elle-même et qui servent au stockage de plus de 200 téraoctets de données.
Services de base
Pour s'acquitter de sa mission et réaliser sa vision, la Direction de la GCD fournit les services suivants :
Installations informatiques
Le CDIC est aménagé dans des installations protégées et gérées, qui se trouvent au 235 de la rue Queen, à Ottawa. Il s'agit d'installations à la fine pointe qui font l'objet d'une surveillance continue et sont dotées de systèmes autonomes pour la climatisation, l'extinction des incendies et l'alimentation sans coupure ainsi que de génératrices.
Gestion des serveurs
La Gestion des serveurs gère l'infrastructure des serveurs d'applications d'entreprise et assure le soutien connexe. Dans le cadre du nouveau modèle de prestation de services amélioré, cette équipe a été restructurée en deux groupes distincts, soit Gestion des serveurs Windows et Gestion des serveurs UNIX.
Gestion du stockage
La Gestion du stockage est chargée de stocker les données d'entreprise selon une architecture de réseau de stockage à plusieurs niveaux. Ce groupe met au point les sauvegardes de données et élabore des stratégies d'archivage et de conservation tout en gérant la capacité de stockage des données et en surveillant les tendances en matière d'utilisation.
Messagerie
Les Services de messagerie sont chargés de l'ingénierie et de la gestion des systèmes pour le courriel ministériel.
Infrastructure à clé publique (ICP)
Le service comprend un vaste éventail de capacités, de fonctions et de procédures qui permettent de protéger les systèmes et de communiquer l'information de nature délicate.
2.2 Objectif
L'objet de la mission de vérification, approuvé dans le plan de vérification axée sur le risque et confirmé à l'étape de la planification, consistait à donner l'assurance que le CDIC avait mis en place des contrôles adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes du Ministère.
2.3 Portée
La vérification portait sur tous les aspects des installations du centre de données dans l'édifice C.D. Howe. Elle a aussi examiné la gouvernance, la gestion des risques et les contrôles exercés par la GCD. En outre, les vérificateurs ont évalué la mesure dans laquelle l'autorité fonctionnelle est établie et exercée sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de technologie de l'information (TI) propres aux programmes.
Les vérificateurs n'ont pas examiné les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC (p. ex. à la Place du Portage, dans les Tours Jean-Edmonds et dans les bureaux régionaux). Ils ne se sont pas penchés non plus sur les contrôles d'accès logique se rapportant à des applications, à des bases de données ou à des dispositifs réseau particuliers (p. ex. les concentrateurs, les routeurs, les commutateurs et les coupe-feu).
2.4 Méthode
Les critères de vérification ont été élaborés de manière à donner l'assurance que les contrôles mis en place par la GCD permettent de protéger la confidentialité, l'intégrité et la disponibilité des biens du Ministère liés à la TI. Les vérificateurs ont établi des liens entre les objectifs de contrôle de l'information et des technologies associées (Control Objectives for Information and related Technology — COBIT) et les contrôles de gestion fondamentaux (CGF), si bien que l'évaluation des CGF porte aussi sur les critères de COBIT correspondants. On trouvera à l'annexe A une liste des critères de vérification utilisés.
La présente vérification interne a été menée conformément à la Politique sur la vérification interne du Conseil du Trésor et aux Normes relatives à la vérification interne au sein du gouvernement du Canada. L'approche de vérification s'établissait comme suit :
- Examen de la documentation — Les vérificateurs ont examiné 29 documents clés.
- Entrevues — Ils ont mené 14 entrevues auprès d'employés du chef de l'informatique, de la GCD et de la Gestion des immeubles aux fins de collecte d'information et de corroboration.
Les renseignements ainsi recueillis ont été analysés et évalués par rapport aux critères de vérification établis à l'étape de la planification de la vérification, lesquels ont été communiqués au client.
La vérification sur place s'est déroulée en juin et en juillet 2010.
3.0 Constatations et recommandations
3.1 Introduction
La présente section expose en détail les constatations issues de la vérification de la GCD, qui sont fondées sur les données probantes et les examens découlant l'analyse des risques initiale et de la vérification proprement dite.
3.2 Gouvernance
La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus d'exploitation et aux procédures. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor (SCT) et du chef de l'informatique ainsi que les processus de prestation de services et de soutien de l'ITIL (Information Technology Infrastructure Library). Des organismes d'examen surveillent les incidents, les problèmes et les changements au centre de données.
Il y a toutefois matière à amélioration dans le domaine suivant :
Constatation no 1.0 : Autorité fonctionnelle à un niveau opérationnel
Le chef de l'informatique n'exerce pas pleinement une autorité fonctionnelle, à un niveau opérationnel, sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de TI propres aux programmes. Dans ce contexte, l'expression « autorité fonctionnelle » renvoie au pouvoir de diriger l'exploitation des salles d'ordinateurs et de serveurs du Ministère.
La Directive sur la gestion des technologies de l'information publiée par le Conseil du Trésor en 2009 précise notamment que « le DPI ministériel ou l'équivalent est responsable de ce qui suit :
- élaborer et maintenir des pratiques et des processus ministériels efficients et efficaces en matière de gestion des TI en tenant compte de l'ITIL (Information Technology Infrastructure Library) (en anglais) et du COBIT (Control Objectives for Information and related Technology) (en anglais) et en accordant la priorité à la gestion des biens liés aux TI, au catalogue des services de TI et à l'établissement du prix et des coûts des services de TI, s'il y a lieu;
- Harmoniser les pratiques et les processus ministériels de gestion des TI, et l'architecture de la technologie, avec la stratégie, les orientations, les normes et les lignes directrices du gouvernement fédéral à mesure qu'elles deviennent disponibles et qu'elles évoluent sous la direction de la dirigeante principale de l'information du Canada; […]
- Examiner et évaluer les services de TI sur une base périodique afin de cerner les possibilités d'accroître l'efficience, l'efficacité et la capacité d'innovation, telles que déterminées par la direction en collaboration avec les fournisseurs et les utilisateurs de services, et les autres intervenants.
Le chef de l'informatique a pleine autorité sur l'exploitation et l'entretien du CDIC et en assume l'entière responsabilité, mais il n'exerce pas l'autorité fonctionnelle sur tous les salles d'ordinateurs et de serveurs du Ministère (p.ex. le Centre de recherches sur les communications Canada ou Spectre, technologies de l'information et télécommunications). Dans ce contexte, l'expression « autorité fonctionnelle » renvoie au pouvoir de diriger l'exploitation des salles d'ordinateurs et de serveurs du Ministère en ce qui a trait à la gestion des incidents, des problèmes, des changements et de la diffusion ainsi qu'au contrôle de l'accès et des équipements de contrôle environnemental grâce à l'élaboration, à la communication et à la surveillance de politiques, de directives, de procédures et de normes.
Le chef de l'informatique est responsable de l'infrastructure de TI de base du Ministère et doit s'assurer que les utilisateurs ne créeront aucun risque ni aucun problème de sécurité.
Par suite de l'étude menée par BearingPoint en août 2004, Industrie Canada a adopté une politique selon laquelle l'approvisionnement pour l'infrastructure et la passation de marchés de TI doit toujours être soumise à l'approbation du chef de l'informatique. Ce dernier a toutefois confirmé qu'il y a des cas où les unités fonctionnelles n'appliquent pas la politique de façon uniforme. On observe depuis longtemps une centralisation croissante de la gestion de la TI au sein du Ministère.
Le cadre de gouvernance de la TI ministériel aborde efficacement la planification, la prise de décisions en matière d'investissement et la gestion de projets dans le domaine par l'entremise du Comité de gestion stratégique de la TI (CGSTI) et du Comité de supervision des projets (CSP). Le Comité sur les normes et l'architecture de TI (CNA-TI), sous la présidence du chef de l'informatique, a pour mandat de définir, d'approuver, de mettre en œuvre, de mettre à jour, de promouvoir et de faire appliquer les normes et l'architecture de TI ministérielles à Industrie Canada. Le chef de l'informatique a élaboré des pratiques et des processus pour la GCD, mais il n'a pas veillé pleinement à ce que les pratiques et les processus ministériels en matière de gestion de la TI soient en place dans toutes les salles d'ordinateurs et de serveurs et il n'a pas examiné ni évalué les salles d'ordinateurs et de serveurs du Ministère sur une base périodique afin de cerner les possibilités d'accroître l'efficience, l'efficacité et la capacité d'innovation.
Non seulement on ne respecte pas la Directive sur la gestion des technologies de l'information du Conseil du Trésor, mais aussi le fait qu'aucune autorité fonctionnelle n'est exercée et qu'aucune orientation n'est donnée concernant l'exploitation et l'entretien des installations informatiques du Ministère accroît le risque de pratiques et de processus opérationnels peu uniformes et peu efficaces et de manque d'harmonisation avec les orientations ministérielles et pangouvernementales.
Recommandation no 1.0
Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC.
3.3 Contrôle interne
Le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés.
Il y a toutefois matière à amélioration dans les domaines suivants :
Constatation no 2.0 : Contrôle de l'accès physique au CDIC
Les procédures d'utilisation normalisées concernant l'accès physique au CDIC ne sont pas toujours respectées.
En vertu de la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor, « les ministères doivent contrôler l'accès aux zones d'accès restreint par des mesures au moyen desquelles l'accès ne sera accordé qu'au personnel autorisé ». Conformément à l'article 10.11 de la Politique sur la sécurité du gouvernement, cette norme énonce les exigences de base en matière de sécurité matérielle pour contrer les menaces à la sécurité des employés et des biens du gouvernement ainsi qu'à la prestation des services publics et pour en assurer une mise en œuvre uniforme au sein de l'administration fédérale.
L'édifice C.D. Howe est actuellement protégé par plusieurs mesures de sécurité matérielle et opérationnelle, par exemple des gardiens de sécurité 24 heures sur 24, 7 jours sur 7, un système de télévision en circuit fermé et l'utilisation de lecteurs de cartes de proximité. Selon la procédure documentée concernant l'accès physique au CDIC, il faut notamment signer le registre d'accès et glisser sa carte magnétique dans le lecteur.
En vertu de la procédure concernant ce registre, on doit indiquer les enregistrements de changement de produit chaque fois qu'un employé du chef de l'informatique a accès au centre des données. Les autres employés qui fréquentent le centre de données (p. ex. Gestion des installations d'Industrie Canada ou Gestion des immeubles) doivent préciser la raison de leur visite.
En examinant le registre d'accès, l'équipe de vérification a constaté que les procédures s'appliquant aux employés du chef de l'informatique n'étaient pas toujours respectées. Elle a aussi remarqué que les enregistrements de changement n'étaient pas toujours indiqués et que certains l'avaient été après leur date de fin.
La gestion des droits d'accès au centre de données au moyen des lecteurs de cartes est assurée par le chef de l'informatique et la Direction de la gestion des installations. En examinant un échantillon non statistique d'individus bénéficiant d'un droit d'accès à l'entrée principale du CDIC, au niveau Mezzanine de l'édifice C.D. Howe (tour Est), l'équipe de vérification a constaté que les cartes magnétiques de trois personnes qui avaient quitté le Ministère étaient assorties de droits d'accès et que deux de ces cartes étaient encore actives au moment de la vérification.
Selon les pratiques exemplaires de l'industrie, les droits d'accès aux ressources de TI devraient être accordés uniquement pour répondre aux besoins opérationnels légitimes. En outre, il faut maintenir (et mettre à jour sur une base périodique) en fonction des besoins opérationnels les droits d'accès aux ressources de TI accordés aux employés dont le rôle et les responsabilités ont changé au sein de l'organisation.
Il existe plusieurs niveaux de contrôles de l'accès au centre de données, mais leur efficacité varie selon la rigueur de leur mise en œuvre pour maintenir la certification « Protégé B » du centre de données, protéger les biens liés à la TI et assurer la continuité des services de TI.
Recommandation no 2.0
Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :
- en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
- en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.
Recommandation no 2.1
Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès.
Constatation no 3.0 : Mise à jour en continu des serveurs
L'investissement ponctuel au titre des serveurs acquis entre 2005 et 2007 nécessitera une stratégie de remplacement en 2011–2012.
L'adoption d'une approche axée sur le cycle de vie pour gérer les biens de l'infrastructure de TI répond au besoin de remplacer et de mettre à niveau les biens (« mise à jour en continu »), d'y apporter des modifications et de satisfaire aux exigences des nouvelles initiatives.
D'après le Plan des activités 2010–2011 du chef de l'informatique, la mise à jour en continu de l'infrastructure de TI d'Industrie Canada continue de poser problème. Chaque année, le chef de l'informatique examine l'équipement qui a atteint la fin de sa durée de vie et en prévoit le remplacement en fonction de différents facteurs — caractère essentiel du système, risques, priorités opérationnelles et fonds disponibles. Parmi les biens visés, mentionnons l'équipement de télécommunication, les serveurs, les systèmes de stockage des données et l'équipement connexe. Le chef de l'informatique a bénéficié d'investissements majeurs en 2005–2006 et en 2006–2007 en vertu du Plan d'investissement à long terme du Ministère. L'infrastructure de TI dans laquelle on a investi à l'époque arrive maintenant à la fin de sa durée de vie et le moment est venu de la remplacer.
Un inventaire des serveurs pris en décembre 2009 témoigne de la mise à jour en continu, comme le montre le pourcentage élevé de serveurs de la GCD (87 %) qui datent de quatre ans ou moins, en raison des montants considérables investis entre 2005 et 2007. Ces biens ont généralement une durée de vie de cinq ans1 et, en vertu des pratiques exemplaires, on doit faire des investissements chaque année. Toutefois, l'inventaire indique aussi qu'environ 32 % des serveurs datent de trois ans et 25 % de quatre ans, si bien qu'il faudra les remplacer au cours du prochain exercice (2011–2012).
En 2008, le chef de l'informatique a élaboré une stratégie de remplacement de l'infrastructure pour assurer la mise à jour des biens liés à la TI année après année. Cette stratégie n'a jamais été présentée officiellement à la haute direction.
Le chef de l'informatique concentre actuellement ses efforts sur l'obsolescence des logiciels et de l'infrastructure à l'appui du suivi, par le Secrétariat du Conseil du Trésor, du rapport publié au printemps 2010 par le Bureau du vérificateur général (BVG) sur le vieillissement de l'infrastructure de TI. Comme en fait état le rapport du BVG, « faute d'investissements suffisants et octroyés en temps utile pour moderniser ou remplacer les systèmes vieillissants, la capacité des ministères et des organismes à fournir des services aux Canadiens est menacée ».
Si les serveurs, les systèmes de stockage et les autres biens liés aux TI du CDIC ne sont pas gérés en fonction du cycle de vie, le risque d'interruption des services fournis aux clients du Ministère et à la population se trouve accru, ce qui entraînerait une perte de productivité tout en portant atteinte à la réputation d'Industrie Canada. De plus, le report d'investissements au titre de la mise à jour en continu pourrait avoir pour effet d'accroître considérablement les montants à investir ultérieurement pour remplacer les serveurs et les systèmes de stockage.
Recommandation no 3.0
Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère.
Constatation no 4.0 : Documentation des ententes d'entretien des installations
La GCD n'a obtenu aucune confirmation qu'une entente officielle prévoyant l'entretien du système d'alimentation sans coupure est en place.
Le CDIC est aménagé au niveau Mezzanine de la tour Est de l'édifice C.D. Howe, dont la gestion est assurée depuis le 1er avril 2005 par SNC-Lavalin O&M pour le compte de Travaux publics et Services gouvernementaux Canada (TPSGC).
Certains services d'entretien du centre de données sont assurés par la Direction de la gestion des installations (au sein du Secteur de la fonction de contrôleur et de l'administration), qui collabore avec TPSGC et SNC-Lavalin pour retenir les services d'entrepreneurs aux fins de l'entretien nécessaire d'importants équipements de contrôle environnemental et de soutien (p. ex. systèmes de climatisation ou d'alimentation sans coupure). Ces équipements sont nécessaires pour assurer en permanence l'intégrité et la disponibilité du CDIC.
La GCD fait connaître les besoins à la Direction de la gestion des installations pour qu'elle établisse une entente de service particulière et l'envoie à TPSGC afin de demander un contrat d'entretien. TPSGC transmet ensuite la demande à SNC-Lavalin, qui lance un appel de propositions et évalue les offres reçues pour ensuite conclure un contrat portant sur le service d'entretien demandé.
Toutefois, au moment de la vérification, la GCD n'avait encore obtenu aucune confirmation qu'un contrat avait été conclu pour l'entretien du système d'alimentation sans coupure du CDIC. Faute de confirmation à cet égard, le directeur de la GCD n'a aucune assurance en bonne et due forme que le contrat d'entretien requis est en vigueur.
Recommandation no 4.0
Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants.
Notes
1 Asset Life Cycle Management Tools and Processes, Gartner Research, article no G00153023, 12 décembre 2007. (Retour au renvoi 1)
3.4 Gestion des risques
Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent.
Il y a toutefois matière à amélioration dans le domaine suivant :
Constatation no 5.0 : Plans de continuité de la TI et des activités
Les plans de continuité de la TI et des activités du chef de l'informatique sont incomplets et ils n'ont pas été testés.
En vertu de la Norme opérationnelle de sécurité — Programme de planification de la continuité des activités (PCA) du Conseil du Trésor, les ministères doivent établir un programme de planification de la continuité des activités pour permettre la disponibilité continue :
- des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement. La non-disponibilité de ces biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement.
- de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques.
Comme en font état les objectifs de contrôle de l'information et des technologies associées (COBIT), les plans de continuité visent à réduire l'incidence d'une interruption majeure sur les fonctions et processus opérationnels clés. Ces plans devraient être fondés sur une bonne compréhension des risques liés aux répercussions éventuelles sur l'exploitation et répondre aux exigences en matière de résilience, de traitement d'appoint et de capacité de reprise de tous les services essentiels de TI. Ils devraient aussi prévoir les lignes directrices régissant l'utilisation ainsi que les rôles et responsabilités, les procédures, les processus de communication et l'approche concernant les tests et essais.
L'équipe de vérification a examiné deux plans de continuité des activités (un plan adapté pour la grippe H1N1 et un pour les services du chef de l'informatique). Aucun de ces plans ne contenait tous les éléments requis dans un plan de continuité des activités détaillé. En ce qui a trait au plan de continuité des activités pour les services du chef de l'informatique, les documents sont encore à l'état d'ébauche. En outre, ces plans ne prévoient pas d'approche concernant les tests et essais.
Si aucun plan de continuité de la TI détaillé n'est adopté et mis à l'essai, le risque de défaillance imprévue du centre de données qui nuirait à l'exécution des programmes d'Industrie Canada pendant une période plus longue se trouve accru.
Recommandation no 5.0
Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.
4.0 Annexe A — Critères de vérification utilisés
| Critères | Lien donnant accès à la source acceptée | Résultat de la vérification | |
|---|---|---|---|
| CGF | COBIT | ||
| Gouvernance | |||
| Une structure organisationnelle bien définie et efficace a été mise en place et documentée. | AC-3 | PO4 | Respecté en partie |
| Les obligations redditionnelles de l'organisation à l'appui des initiatives menées en collaboration sont définies de manière officielle. | AC-4 | s.o. | Respecté |
| Gestion des risques | |||
| La direction a documenté son approche en matière de gestion des risques | RM-1 | DS10 | Respecté |
| La direction cerne les risques qui pourraient l'empêcher d'atteindre ses objectifs. | RM-2 | PO9 | Respecté en partie |
| La direction met en évidence et évalue les contrôles en place pour gérer les risques cernés. | RM-3 | M-2, PO9 | Respecté |
| La direction évalue les risques qu'elle a cernés. | RM-4 | PO9 | Respecté |
| La direction prend des mesures en bonne et due forme pour atténuer les risques cernés. | RM-5 | PO9 | Respecté en partie |
| La direction communique de façon appropriée aux principaux intervenants les risques cernés et les stratégies de gestion des risques. | RM-6 | s.o. | Respecté |
| La planification et l'affectation des ressources prennent en compte l'information sur les risques. | RM-7 | s.o. | Respecté |
| Le Ministère s'est doté de politiques et de lignes directrices clairement définies qui concordent avec les politiques gouvernementales. | PP-1 | s.o. | Respecté en partie |
| Contrôle interne | |||
| Par ses actions, la direction montre qu'elle n'acceptera aucune entorse à l'intégrité et à l'éthique de l'organisation. | PSV-1 | s.o. | Respecté |
| Des voies officielles sont en place pour signaler les irrégularités présumées. | PSV-3 | s.o. | Respecté |
| Un budget suffisamment détaillé est établi en temps opportun. | ST-3 | DS6 | Respecté |
| Les prévisions font l'objet d'une surveillance régulière. | ST-4 | s.o. | Respecté |
| Les biens sont gérés en fonction du cycle de vie. | ST-8 | PO5 | Respecté en partie |
| Les biens sont protégés. | ST-9 | DS5 | Respecté en partie |
| Des contrôles appropriés sont en place pour les applications des systèmes. | ST-11 | DS5 | Respecté |
| La répartition des tâches est appropriée. | ST-13 | s.o. | Respecté |
| Des processus et des procédures sont en place pour assurer la continuité de l'information et des systèmes. | ST-19 | AI2, AI3, DS4 | Respecté en partie |
| La direction a établi des processus pour identifier, solliciter, évaluer et gérer les marchés avec des tiers. | ST-22 | s.o. | Respecté |
| L'organisation s'est dotée de processus et de pratiques pour assurer une mise en œuvre appropriée des initiatives de changement. | LICM-2 | AI6 | Respecté en partie |
| L'information sur les initiatives de changement est bien communiquée. | LICM-3 | s.o. | Respecté |
| L'organisation met à profit la technologie de l'information pour améliorer l'accès des utilisateurs et les services qui leur sont offerts. | CFS-4 | AI1 | Respecté |
Plan d'action de la direction
| Recommandation | Mesure prévue ou justification de la décision de ne pas donner suite à la recommandation | Responsable | Date d'achèvement prévue |
|---|---|---|---|
Recommandation no 1.0 Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC. | Réponse no 1.0 Le rapport d'examen stratégique de la GI/TI présenté par BearingPoint en 2004–2005 recommandait que toutes les fonctions de TI relèvent dorénavant du chef de l'informatique et non plus des unités fonctionnelles. La transition a été menée à bien, sauf dans le cas de Spectre, technologies de l'information et télécommunications (STIT) et du Bureau de la concurrence. Un projet est actuellement en cours pour transférer au chef de l'informatique la responsabilité de l'infrastructure de serveurs du Bureau de la concurrence. Le chef de l'informatique exerce une autorité fonctionnelle sur la salle d'ordinateurs où se trouve l'infrastructure de TI du Bureau de la concurrence. Ce dernier et l'Office de protection de la propriété intellectuelle (OPIC) utilisent la même salle d'ordinateurs (Place du Portage), dont la gestion est assurée par le chef de l'informatique. En raison de la nature de son mandat de recherche-développement, le Centre de recherches sur les communications (CRC) a été dispensé de l'examen stratégique de la TI. Il continuera donc d'exercer une autorité fonctionnelle sur sa salle d'ordinateurs. Le risque est atténué grâce à l'utilisation de coupe-feu entre le CRC et le réseau d'Industrie Canada. Le chef de l'informatique exerce une autorité fonctionnelle sur les installations suivantes :
Le chef de l'informatique a adopté des pratiques et des processus de gestion normalisés pour toutes les salles d'ordinateurs sur lesquelles il exerce une autorité fonctionnelle. Le chef de l'informatique travaille en étroite collaboration avec STIT dans le cadre du Projet de modernisation des applications du spectre, initiative de renouvellement qui en est à l'étape de la planification initiale. À mesure que le projet évoluera, le chef de l'informatique et STIT tireront parti de la possibilité de commencer à transférer au chef de l'informatique les fonctions de TI et les responsabilités connexes. | Chef de l'informatique Directeur Général (DG), Division des services d'infrastructures (DSI) | T4 de 2011–2012 En cours conformément au calendrier; développement du Projet de modernisation des applications |
Recommandation no 2.0 Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :
| Réponse no 2.0 L'Exploitation du CDIC mettra en place un examen mensuel du registre d'accès afin de s'assurer que tous les visiteurs du centre respectent les procédures de contrôle d'accès appropriées. En outre, l'Exploitation prendra les mesures suivantes :
| Directeur, Gestion du centre de données (GCD) Directeur, GCD Directeur, GCD Directeur, GCD Directeur, GCD | Février 2011 Février 2011 Février 2011 Chaque année à compter d'avril 2011 En permanence à compter de février 2011 |
Recommandation no 2.1 Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès. | Réponse no 2.1 La Direction de la gestion des installations, qui relève du Secteur de la fonction de contrôleur et de l'administration, conserve son autorité et sa responsabilité en ce qui concerne les systèmes de contrôle de l'accès à la grandeur de l'édifice, y compris le CDIC. L'Exploitation du CDIC continuera de collaborer avec cette direction pour rationaliser et améliorer les processus de contrôle de l'accès au CDIC, notamment pour révoquer l'accès au besoin sans tarder. L'Exploitation du CDIC continuera de concentrer ses efforts en vue d'améliorer son processus et ses procédures de vérification et recommandera des changements en conséquence, notamment :
| Directeur, GCD Directeur, GCD Directeur, GCD Secteur de la fonction de contrôleur et de l'administration (SCA) | Chaque trimestre à compter de maintenant Janvier 2011 En cours À déterminer |
Recommandation no 3.0 Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère. | Réponse no 3.0 Le chef de l'informatique a élaboré une stratégie de remplacement de l'infrastructure dans le cadre de son Cadre de gestion du cycle de vie de la technologie, qui n'a pas encore été pleinement adopté par le Ministère en raison du manque de financement pluriannuel pour pleinement mettre en œuvre le plan établi. La vérification portait sur un sous-ensemble de l'infrastructure de TI (c.-à-d. les serveurs). Dans la foulée du rapport du vérificateur général sur le vieillissement de la TI, le Ministère a récemment examiné de façon approfondie son matériel et ses logiciels. L'examen a confirmé qu'il n'est exposé dans l'immédiat à aucun risque inconnu dans les cas où aucun plan d'atténuation n'était pas déjà en place. En ce qui a trait aux immobilisations, le Plan de TI 2011–2012 prendra en compte les exigences inhérentes à une stratégie de renouvellement à long terme pour tous les composants de l'infrastructure de TI.
| Chef de l'informatique (Planification de la TI, 2011–2012) Chef de l'informatique Chef de l'informatique | T1 de 2011–2012 En cours En cours |
Recommandation no 4.0 Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants. | Réponse no 4.0 Cette recommandation est spécifique aux ententes d'entretien pour les composantes des installations dans le centre de données telles que l'équipement pour le conditionnement d'air, les éléments électriques, et le système d'alerte d'incendie et d'extinction d'incendie. Les contrats d'entretien sont préparés et négociés par la Direction de la gestion des installations en collaboration avec TPSGC et SNC/Lavalin. La Gestion des installations attribue les contrats au soumissionnaire gagnant. Les fonds sont virés annuellement entre la Direction générale du bureau de l'informatique et la Direction de la gestion des installations. Il s'est produit cette année fiscale une situation duquel une entente d'entretien n'a pas été en place pour quelque mois. Le directeur de la GCD améliorera le protocole d'entente actuel avec la Direction de la gestion des installations, qui relève du Secteur de la fonction de contrôleur et de l'administration, pour officialiser les rôles et les responsabilités et définir clairement :
Le protocole d'entente sera examiné et révisé au besoin une fois par an. | Directeur, GCD Directeur, GCD Directeur, GCD | Février 2011 Février 2011 Février 2011 |
Recommandation no 5.0 Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique. | Réponse no 5.0 Le comité du Plan de continuité des activités du Ministère, sous la présidence du SFCA, fournit une tribune où les coordonnateurs des secteurs d'activité visés peuvent analyser et communiquer les plans et priorités de portée générale d'Industrie Canada. Il incombe au chef de l'informatique d'assurer la continuité des services de TI à l'appui des plans et priorités du Plan de continuité des activités du Ministère. Le chef de l'informatique effectue un entretien annuel du CDIC afin d'assurer la fiabilité et la disponibilité des principaux composants utilisés pour exploiter l'installation et, en bout de ligne, l'infrastructure de TI ministérielle. Le Calendrier des activités d'entretien annuel du CDIC, qui fait office de plan de reprise après sinistre de base, est mis à jour, révisé et testé une fois l'an. Cette information est communiquée au personnel du chef de l'informatique chaque année pendant les réunions du Comité consultatif sur les changements avant l'entretien annuel du CDIC. Le programme de continuité des services de TI mis en œuvre par le chef de l'informatique a donné lieu à une analyse des répercussions sur les activités axée sur les besoins en TI des secteurs clients et les stratégies possibles pour donner suite aux constatations issues de cette évaluation. D'après les estimations de catégorie D, un investissement se chiffrant entre 4 et 9 M$ sur trois ans pourrait être nécessaire pour mettre en œuvre ces stratégies. Entre-temps, le chef de l'informatique se penche sur les aspects tactiques communs des recommandations liées à la stratégie dans la mesure où le budget le permet. | Directeur, GCD | Chaque année |