Archivé — Vérification de la Gestion du centre de données

février 2011

Recommandé le 25 janvier 2011 par le Comité ministérielle de vérification pour l'approbation du sous-ministre

Approuvé par le sous-ministre le 31 janvier 2011

Table des matières

1.0 Sommaire

1.1 Introduction

La Direction de la gestion du centre de données (GCD) fait partie de la Division des services d'infrastructure (DSI), qui relève du chef de l'informatique. Elle a pour mandat d'optimiser la gestion et l'exploitation du centre de données d'Industrie Canada (CDIC) tout en mettant son leadership et son expertise au service des unités fonctionnelles du Ministère dans le domaine des serveurs, du stockage des données d'entreprise et du courriel.

L'objet de la mission de vérification, approuvé dans le plan de vérification axée sur le risque et confirmé à l'étape de la planification, consistait à donner l'assurance que le CDIC avait mis en place des contrôles adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes du Ministère.

La vérification portait sur tous les aspects du centre de données dans l'édifice C.D. Howe. Elle a aussi examiné la gouvernance, la gestion des risques et les contrôles exercés par la GCD. En outre, les vérificateurs ont évalué la mesure dans laquelle l'autorité fonctionnelle est établie et exercée sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de technologie de l'information (TI) propres aux programmes.

Les vérificateurs n'ont pas examiné les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC (p. ex. à la Place du Portage, dans les Tours Jean-Edmonds et dans les bureaux régionaux). Ils ne se sont pas penchés non plus sur les contrôles d'accès logique se rapportant à des applications, à des bases de données ou à des dispositifs réseau particuliers (p. ex. les concentrateurs, les routeurs, les commutateurs et les coupe-feu).

1.2 Conclusion générale

La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus et aux procédures d'exploitation. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique. Des organismes d'examen surveillent les incidents, les problèmes et les changements. En outre, le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés.

Il serait toutefois possible d'examiner et d'améliorer les pratiques de gestion se rapportant à l'exercice de l'autorité fonctionnelle sur l'exploitation des salles d'ordinateurs et de serveurs du Ministère; le contrôle de l'accès physique au centre de données; et les activités visant à assurer l'exploitation continue du centre de données.

1.3 Principales constatations

Gouvernance

La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus de fonctionnement et aux procédures. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique ainsi que les processus de prestation de services et de soutien de l'ITIL (Information Technology Infrastructure Library). Des organismes d'examen surveillent les incidents, les problèmes et les changements au centre de données. Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 1.0
Le chef de l'informatique n'exerce pas pleinement une autorité fonctionnelle, à un niveau opérationnel, sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de TI propres aux programmes.

Contrôle interne

Le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés. Il y a toutefois matière à amélioration dans les domaines suivants :

Constatation no 2.0
Les procédures d'utilisation normalisées concernant l'accès physique au CDIC ne sont pas toujours respectées.
Constatation no 3.0
L'investissement ponctuel au titre des serveurs acquis entre 2005 et 2007 nécessitera une stratégie de remplacement en 2011–2012.
Constatation no 4.0
La GCD n'a obtenu aucune confirmation qu'une entente officielle prévoyant l'entretien du système d'alimentation sans coupure est en place.

Gestion des risques

Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent. Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 5.0
Les plans de continuité de la TI et des activités du chef de l'informatique sont incomplets et ils n'ont pas été testés.

1.4 Recommandations

Recommandation no 1.0
Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC.
Recommandation no 2.0
Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :
  • en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
  • en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.
Recommandation no 2.1
Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès.
Recommandation no 3.0
Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère.
Recommandation no 4.0
Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants.
Recommandation no 5.0
Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.

1.5 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeante principale de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour attester de l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en temps et lieu, en fonction des critères de vérification pré-établis convenus avec la direction. Cette opinion s'applique uniquement aux entités passées en revue et dans le cadre décrit dans le présent rapport. La présente vérification a été menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

1.6 Opinion de vérification

À mon avis, la Gestion du centre de données d'Industrie Canada comporte des points forts et des points faibles entraînant des risques modérés liés aux processus de gestion des risques, de contrôle et de gouvernance concernant l'assurance de la continuité de la TI, la gestion des biens en fonction du cycle de vie et l'exercice de l'autorité fonctionnelle qui nécessitent l'attention de la direction.

Susan Hart
Dirigeante principale de la vérification,
Industrie Canada


2.0 À propos de la vérification

2.1 Contexte

Direction de la gestion du centre de données

La Direction de la gestion du centre de données (GCD) fait partie de la Division des services d'infrastructure (DSI), qui relève du Bureau de l'informatique. Elle a pour mandat d'optimiser la gestion et l'exploitation du centre de données d'Industrie Canada (CDIC) tout en mettant son leadership et son expertise au service des unités fonctionnelles du Ministère dans le domaine des serveurs, du stockage des données d'entreprise et du courriel. La mission de la GCD est axée sur un renforcement des relations et une collaboration soutenue avec les partenaires, les intervenants et les clients. La mission et la vision de l'organisation s'établissent comme suit :

La mission et la vision de l'organisation
Mission Vision
La mission du Bureau de l'informatique consiste à optimiser le rendement du Ministère grâce à une gestion moderne et progressiste des services, des politiques et des ressources en matière de technologie de l'information (TI). La vision du Bureau de l'informatique consiste à se faire reconnaître en tant qu'organisation fournissant des services de TI de qualité. Dans ce contexte, la GCD s'efforce de fournir à ses clients des services d'infrastructure intégrés de calibre mondial présentant un bon rapport coût-efficacité.

La GCD gère le CDIC, qui est situé dans l'édifice C.D. Howe. Ses installations de 6 200 pi2 abritent environ 400 serveurs, dont la gestion est principalement assurée par la GCD elle-même et qui servent au stockage de plus de 200 téraoctets de données.

Services de base

Pour s'acquitter de sa mission et réaliser sa vision, la Direction de la GCD fournit les services suivants :

Installations informatiques

Le CDIC est aménagé dans des installations protégées et gérées, qui se trouvent au 235 de la rue Queen, à Ottawa. Il s'agit d'installations à la fine pointe qui font l'objet d'une surveillance continue et sont dotées de systèmes autonomes pour la climatisation, l'extinction des incendies et l'alimentation sans coupure ainsi que de génératrices.

Gestion des serveurs

La Gestion des serveurs gère l'infrastructure des serveurs d'applications d'entreprise et assure le soutien connexe. Dans le cadre du nouveau modèle de prestation de services amélioré, cette équipe a été restructurée en deux groupes distincts, soit Gestion des serveurs Windows et Gestion des serveurs UNIX.

Gestion du stockage

La Gestion du stockage est chargée de stocker les données d'entreprise selon une architecture de réseau de stockage à plusieurs niveaux. Ce groupe met au point les sauvegardes de données et élabore des stratégies d'archivage et de conservation tout en gérant la capacité de stockage des données et en surveillant les tendances en matière d'utilisation.

Messagerie

Les Services de messagerie sont chargés de l'ingénierie et de la gestion des systèmes pour le courriel ministériel.

Infrastructure à clé publique (ICP)

Le service comprend un vaste éventail de capacités, de fonctions et de procédures qui permettent de protéger les systèmes et de communiquer l'information de nature délicate.

2.2 Objectif

L'objet de la mission de vérification, approuvé dans le plan de vérification axée sur le risque et confirmé à l'étape de la planification, consistait à donner l'assurance que le CDIC avait mis en place des contrôles adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes du Ministère.

2.3 Portée

La vérification portait sur tous les aspects des installations du centre de données dans l'édifice C.D. Howe. Elle a aussi examiné la gouvernance, la gestion des risques et les contrôles exercés par la GCD. En outre, les vérificateurs ont évalué la mesure dans laquelle l'autorité fonctionnelle est établie et exercée sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de technologie de l'information (TI) propres aux programmes.

Les vérificateurs n'ont pas examiné les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC (p. ex. à la Place du Portage, dans les Tours Jean-Edmonds et dans les bureaux régionaux). Ils ne se sont pas penchés non plus sur les contrôles d'accès logique se rapportant à des applications, à des bases de données ou à des dispositifs réseau particuliers (p. ex. les concentrateurs, les routeurs, les commutateurs et les coupe-feu).

2.4 Méthode

Les critères de vérification ont été élaborés de manière à donner l'assurance que les contrôles mis en place par la GCD permettent de protéger la confidentialité, l'intégrité et la disponibilité des biens du Ministère liés à la TI. Les vérificateurs ont établi des liens entre les objectifs de contrôle de l'information et des technologies associées (Control Objectives for Information and related Technology — COBIT) et les contrôles de gestion fondamentaux (CGF), si bien que l'évaluation des CGF porte aussi sur les critères de COBIT correspondants. On trouvera à l'annexe A une liste des critères de vérification utilisés.

La présente vérification interne a été menée conformément à la Politique sur la vérification interne du Conseil du Trésor et aux Normes relatives à la vérification interne au sein du gouvernement du Canada. L'approche de vérification s'établissait comme suit :

  • Examen de la documentation — Les vérificateurs ont examiné 29 documents clés.
  • Entrevues — Ils ont mené 14 entrevues auprès d'employés du chef de l'informatique, de la GCD et de la Gestion des immeubles aux fins de collecte d'information et de corroboration.

Les renseignements ainsi recueillis ont été analysés et évalués par rapport aux critères de vérification établis à l'étape de la planification de la vérification, lesquels ont été communiqués au client.

La vérification sur place s'est déroulée en juin et en juillet 2010.

3.0 Constatations et recommandations

3.1 Introduction

La présente section expose en détail les constatations issues de la vérification de la GCD, qui sont fondées sur les données probantes et les examens découlant l'analyse des risques initiale et de la vérification proprement dite.

3.2 Gouvernance

La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus d'exploitation et aux procédures. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor (SCT) et du chef de l'informatique ainsi que les processus de prestation de services et de soutien de l'ITIL (Information Technology Infrastructure Library). Des organismes d'examen surveillent les incidents, les problèmes et les changements au centre de données.

Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 1.0 : Autorité fonctionnelle à un niveau opérationnel

Le chef de l'informatique n'exerce pas pleinement une autorité fonctionnelle, à un niveau opérationnel, sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de TI propres aux programmes. Dans ce contexte, l'expression « autorité fonctionnelle » renvoie au pouvoir de diriger l'exploitation des salles d'ordinateurs et de serveurs du Ministère.

La Directive sur la gestion des technologies de l'information publiée par le Conseil du Trésor en 2009 précise notamment que « le DPI ministériel ou l'équivalent est responsable de ce qui suit :

  • élaborer et maintenir des pratiques et des processus ministériels efficients et efficaces en matière de gestion des TI en tenant compte de l'ITIL (Information Technology Infrastructure Library) (en anglais) et du COBIT (Control Objectives for Information and related Technology) (en anglais) et en accordant la priorité à la gestion des biens liés aux TI, au catalogue des services de TI et à l'établissement du prix et des coûts des services de TI, s'il y a lieu;
  • Harmoniser les pratiques et les processus ministériels de gestion des TI, et l'architecture de la technologie, avec la stratégie, les orientations, les normes et les lignes directrices du gouvernement fédéral à mesure qu'elles deviennent disponibles et qu'elles évoluent sous la direction de la dirigeante principale de l'information du Canada; […]
  • Examiner et évaluer les services de TI sur une base périodique afin de cerner les possibilités d'accroître l'efficience, l'efficacité et la capacité d'innovation, telles que déterminées par la direction en collaboration avec les fournisseurs et les utilisateurs de services, et les autres intervenants.

Le chef de l'informatique a pleine autorité sur l'exploitation et l'entretien du CDIC et en assume l'entière responsabilité, mais il n'exerce pas l'autorité fonctionnelle sur tous les salles d'ordinateurs et de serveurs du Ministère (p.ex. le Centre de recherches sur les communications Canada ou Spectre, technologies de l'information et télécommunications). Dans ce contexte, l'expression « autorité fonctionnelle » renvoie au pouvoir de diriger l'exploitation des salles d'ordinateurs et de serveurs du Ministère en ce qui a trait à la gestion des incidents, des problèmes, des changements et de la diffusion ainsi qu'au contrôle de l'accès et des équipements de contrôle environnemental grâce à l'élaboration, à la communication et à la surveillance de politiques, de directives, de procédures et de normes.

Le chef de l'informatique est responsable de l'infrastructure de TI de base du Ministère et doit s'assurer que les utilisateurs ne créeront aucun risque ni aucun problème de sécurité.

Par suite de l'étude menée par BearingPoint en août 2004, Industrie Canada a adopté une politique selon laquelle l'approvisionnement pour l'infrastructure et la passation de marchés de TI doit toujours être soumise à l'approbation du chef de l'informatique. Ce dernier a toutefois confirmé qu'il y a des cas où les unités fonctionnelles n'appliquent pas la politique de façon uniforme. On observe depuis longtemps une centralisation croissante de la gestion de la TI au sein du Ministère.

Le cadre de gouvernance de la TI ministériel aborde efficacement la planification, la prise de décisions en matière d'investissement et la gestion de projets dans le domaine par l'entremise du Comité de gestion stratégique de la TI (CGSTI) et du Comité de supervision des projets (CSP). Le Comité sur les normes et l'architecture de TI (CNA-TI), sous la présidence du chef de l'informatique, a pour mandat de définir, d'approuver, de mettre en œuvre, de mettre à jour, de promouvoir et de faire appliquer les normes et l'architecture de TI ministérielles à Industrie Canada. Le chef de l'informatique a élaboré des pratiques et des processus pour la GCD, mais il n'a pas veillé pleinement à ce que les pratiques et les processus ministériels en matière de gestion de la TI soient en place dans toutes les salles d'ordinateurs et de serveurs et il n'a pas examiné ni évalué les salles d'ordinateurs et de serveurs du Ministère sur une base périodique afin de cerner les possibilités d'accroître l'efficience, l'efficacité et la capacité d'innovation.

Non seulement on ne respecte pas la Directive sur la gestion des technologies de l'information du Conseil du Trésor, mais aussi le fait qu'aucune autorité fonctionnelle n'est exercée et qu'aucune orientation n'est donnée concernant l'exploitation et l'entretien des installations informatiques du Ministère accroît le risque de pratiques et de processus opérationnels peu uniformes et peu efficaces et de manque d'harmonisation avec les orientations ministérielles et pangouvernementales.

Recommandation no 1.0

Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC.

3.3 Contrôle interne

Le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés.

Il y a toutefois matière à amélioration dans les domaines suivants :

Constatation no 2.0 : Contrôle de l'accès physique au CDIC

Les procédures d'utilisation normalisées concernant l'accès physique au CDIC ne sont pas toujours respectées.

En vertu de la Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor, « les ministères doivent contrôler l'accès aux zones d'accès restreint par des mesures au moyen desquelles l'accès ne sera accordé qu'au personnel autorisé ». Conformément à l'article 10.11 de la Politique sur la sécurité du gouvernement, cette norme énonce les exigences de base en matière de sécurité matérielle pour contrer les menaces à la sécurité des employés et des biens du gouvernement ainsi qu'à la prestation des services publics et pour en assurer une mise en œuvre uniforme au sein de l'administration fédérale.

L'édifice C.D. Howe est actuellement protégé par plusieurs mesures de sécurité matérielle et opérationnelle, par exemple des gardiens de sécurité 24 heures sur 24, 7 jours sur 7, un système de télévision en circuit fermé et l'utilisation de lecteurs de cartes de proximité. Selon la procédure documentée concernant l'accès physique au CDIC, il faut notamment signer le registre d'accès et glisser sa carte magnétique dans le lecteur.

En vertu de la procédure concernant ce registre, on doit indiquer les enregistrements de changement de produit chaque fois qu'un employé du chef de l'informatique a accès au centre des données. Les autres employés qui fréquentent le centre de données (p. ex. Gestion des installations d'Industrie Canada ou Gestion des immeubles) doivent préciser la raison de leur visite.

En examinant le registre d'accès, l'équipe de vérification a constaté que les procédures s'appliquant aux employés du chef de l'informatique n'étaient pas toujours respectées. Elle a aussi remarqué que les enregistrements de changement n'étaient pas toujours indiqués et que certains l'avaient été après leur date de fin.

La gestion des droits d'accès au centre de données au moyen des lecteurs de cartes est assurée par le chef de l'informatique et la Direction de la gestion des installations. En examinant un échantillon non statistique d'individus bénéficiant d'un droit d'accès à l'entrée principale du CDIC, au niveau Mezzanine de l'édifice C.D. Howe (tour Est), l'équipe de vérification a constaté que les cartes magnétiques de trois personnes qui avaient quitté le Ministère étaient assorties de droits d'accès et que deux de ces cartes étaient encore actives au moment de la vérification.

Selon les pratiques exemplaires de l'industrie, les droits d'accès aux ressources de TI devraient être accordés uniquement pour répondre aux besoins opérationnels légitimes. En outre, il faut maintenir (et mettre à jour sur une base périodique) en fonction des besoins opérationnels les droits d'accès aux ressources de TI accordés aux employés dont le rôle et les responsabilités ont changé au sein de l'organisation.

Il existe plusieurs niveaux de contrôles de l'accès au centre de données, mais leur efficacité varie selon la rigueur de leur mise en œuvre pour maintenir la certification « Protégé B » du centre de données, protéger les biens liés à la TI et assurer la continuité des services de TI.

Recommandation no 2.0

Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :

  • en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
  • en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.

Recommandation no 2.1

Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès.

Constatation no 3.0 : Mise à jour en continu des serveurs

L'investissement ponctuel au titre des serveurs acquis entre 2005 et 2007 nécessitera une stratégie de remplacement en 2011–2012.

L'adoption d'une approche axée sur le cycle de vie pour gérer les biens de l'infrastructure de TI répond au besoin de remplacer et de mettre à niveau les biens (« mise à jour en continu »), d'y apporter des modifications et de satisfaire aux exigences des nouvelles initiatives.

D'après le Plan des activités 2010–2011 du chef de l'informatique, la mise à jour en continu de l'infrastructure de TI d'Industrie Canada continue de poser problème. Chaque année, le chef de l'informatique examine l'équipement qui a atteint la fin de sa durée de vie et en prévoit le remplacement en fonction de différents facteurs — caractère essentiel du système, risques, priorités opérationnelles et fonds disponibles. Parmi les biens visés, mentionnons l'équipement de télécommunication, les serveurs, les systèmes de stockage des données et l'équipement connexe. Le chef de l'informatique a bénéficié d'investissements majeurs en 2005–2006 et en 2006–2007 en vertu du Plan d'investissement à long terme du Ministère. L'infrastructure de TI dans laquelle on a investi à l'époque arrive maintenant à la fin de sa durée de vie et le moment est venu de la remplacer.

Un inventaire des serveurs pris en décembre 2009 témoigne de la mise à jour en continu, comme le montre le pourcentage élevé de serveurs de la GCD (87 %) qui datent de quatre ans ou moins, en raison des montants considérables investis entre 2005 et 2007. Ces biens ont généralement une durée de vie de cinq ans1 et, en vertu des pratiques exemplaires, on doit faire des investissements chaque année. Toutefois, l'inventaire indique aussi qu'environ 32 % des serveurs datent de trois ans et 25 % de quatre ans, si bien qu'il faudra les remplacer au cours du prochain exercice (2011–2012).

En 2008, le chef de l'informatique a élaboré une stratégie de remplacement de l'infrastructure pour assurer la mise à jour des biens liés à la TI année après année. Cette stratégie n'a jamais été présentée officiellement à la haute direction.

Le chef de l'informatique concentre actuellement ses efforts sur l'obsolescence des logiciels et de l'infrastructure à l'appui du suivi, par le Secrétariat du Conseil du Trésor, du rapport publié au printemps 2010 par le Bureau du vérificateur général (BVG) sur le vieillissement de l'infrastructure de TI. Comme en fait état le rapport du BVG, « faute d'investissements suffisants et octroyés en temps utile pour moderniser ou remplacer les systèmes vieillissants, la capacité des ministères et des organismes à fournir des services aux Canadiens est menacée ».

Si les serveurs, les systèmes de stockage et les autres biens liés aux TI du CDIC ne sont pas gérés en fonction du cycle de vie, le risque d'interruption des services fournis aux clients du Ministère et à la population se trouve accru, ce qui entraînerait une perte de productivité tout en portant atteinte à la réputation d'Industrie Canada. De plus, le report d'investissements au titre de la mise à jour en continu pourrait avoir pour effet d'accroître considérablement les montants à investir ultérieurement pour remplacer les serveurs et les systèmes de stockage.

Recommandation no 3.0

Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère.

Constatation no 4.0 : Documentation des ententes d'entretien des installations

La GCD n'a obtenu aucune confirmation qu'une entente officielle prévoyant l'entretien du système d'alimentation sans coupure est en place.

Le CDIC est aménagé au niveau Mezzanine de la tour Est de l'édifice C.D. Howe, dont la gestion est assurée depuis le 1er avril 2005 par SNC-Lavalin O&M pour le compte de Travaux publics et Services gouvernementaux Canada (TPSGC).

Certains services d'entretien du centre de données sont assurés par la Direction de la gestion des installations (au sein du Secteur de la fonction de contrôleur et de l'administration), qui collabore avec TPSGC et SNC-Lavalin pour retenir les services d'entrepreneurs aux fins de l'entretien nécessaire d'importants équipements de contrôle environnemental et de soutien (p. ex. systèmes de climatisation ou d'alimentation sans coupure). Ces équipements sont nécessaires pour assurer en permanence l'intégrité et la disponibilité du CDIC.

La GCD fait connaître les besoins à la Direction de la gestion des installations pour qu'elle établisse une entente de service particulière et l'envoie à TPSGC afin de demander un contrat d'entretien. TPSGC transmet ensuite la demande à SNC-Lavalin, qui lance un appel de propositions et évalue les offres reçues pour ensuite conclure un contrat portant sur le service d'entretien demandé.

Toutefois, au moment de la vérification, la GCD n'avait encore obtenu aucune confirmation qu'un contrat avait été conclu pour l'entretien du système d'alimentation sans coupure du CDIC. Faute de confirmation à cet égard, le directeur de la GCD n'a aucune assurance en bonne et due forme que le contrat d'entretien requis est en vigueur.

Recommandation no 4.0

Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants.


Notes

1 Asset Life Cycle Management Tools and Processes, Gartner Research, article no G00153023, 12 décembre 2007. (Retour au renvoi 1)

3.4 Gestion des risques

Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent.

Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 5.0 : Plans de continuité de la TI et des activités

Les plans de continuité de la TI et des activités du chef de l'informatique sont incomplets et ils n'ont pas été testés.

En vertu de la Norme opérationnelle de sécurité — Programme de planification de la continuité des activités (PCA) du Conseil du Trésor, les ministères doivent établir un programme de planification de la continuité des activités pour permettre la disponibilité continue :

  1. des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement. La non-disponibilité de ces biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement.
  2. de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques.

Comme en font état les objectifs de contrôle de l'information et des technologies associées (COBIT), les plans de continuité visent à réduire l'incidence d'une interruption majeure sur les fonctions et processus opérationnels clés. Ces plans devraient être fondés sur une bonne compréhension des risques liés aux répercussions éventuelles sur l'exploitation et répondre aux exigences en matière de résilience, de traitement d'appoint et de capacité de reprise de tous les services essentiels de TI. Ils devraient aussi prévoir les lignes directrices régissant l'utilisation ainsi que les rôles et responsabilités, les procédures, les processus de communication et l'approche concernant les tests et essais.

L'équipe de vérification a examiné deux plans de continuité des activités (un plan adapté pour la grippe H1N1 et un pour les services du chef de l'informatique). Aucun de ces plans ne contenait tous les éléments requis dans un plan de continuité des activités détaillé. En ce qui a trait au plan de continuité des activités pour les services du chef de l'informatique, les documents sont encore à l'état d'ébauche. En outre, ces plans ne prévoient pas d'approche concernant les tests et essais.

Si aucun plan de continuité de la TI détaillé n'est adopté et mis à l'essai, le risque de défaillance imprévue du centre de données qui nuirait à l'exécution des programmes d'Industrie Canada pendant une période plus longue se trouve accru.

Recommandation no 5.0

Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.

4.0 Annexe A — Critères de vérification utilisés

Annexe A — Critères de vérification utilisés
Critères Lien donnant accès
à la source acceptée
Résultat de la vérification
CGF COBIT
Gouvernance
Une structure organisationnelle bien définie et efficace a été mise en place et documentée. AC-3 PO4 Respecté
en partie
Les obligations redditionnelles de l'organisation à l'appui des initiatives menées en collaboration sont définies de manière officielle. AC-4 s.o. Respecté
Gestion des risques
La direction a documenté son approche en matière de gestion des risques RM-1 DS10 Respecté
La direction cerne les risques qui pourraient l'empêcher d'atteindre ses objectifs. RM-2 PO9 Respecté en partie
La direction met en évidence et évalue les contrôles en place pour gérer les risques cernés. RM-3 M-2, PO9 Respecté
La direction évalue les risques qu'elle a cernés. RM-4 PO9 Respecté
La direction prend des mesures en bonne et due forme pour atténuer les risques cernés. RM-5 PO9 Respecté
en partie
La direction communique de façon appropriée aux principaux intervenants les risques cernés et les stratégies de gestion des risques. RM-6 s.o. Respecté
La planification et l'affectation des ressources prennent en compte l'information sur les risques. RM-7 s.o. Respecté
Le Ministère s'est doté de politiques et de lignes directrices clairement définies qui concordent avec les politiques gouvernementales. PP-1 s.o. Respecté
en partie
Contrôle interne
Par ses actions, la direction montre qu'elle n'acceptera aucune entorse à l'intégrité et à l'éthique de l'organisation. PSV-1 s.o. Respecté
Des voies officielles sont en place pour signaler les irrégularités présumées. PSV-3 s.o. Respecté
Un budget suffisamment détaillé est établi en temps opportun. ST-3 DS6 Respecté
Les prévisions font l'objet d'une surveillance régulière. ST-4 s.o. Respecté
Les biens sont gérés en fonction du cycle de vie. ST-8 PO5 Respecté
en partie
Les biens sont protégés. ST-9 DS5 Respecté
en partie
Des contrôles appropriés sont en place pour les applications des systèmes. ST-11 DS5 Respecté
La répartition des tâches est appropriée. ST-13 s.o. Respecté
Des processus et des procédures sont en place pour assurer la continuité de l'information et des systèmes. ST-19 AI2, AI3, DS4 Respecté
en partie
La direction a établi des processus pour identifier, solliciter, évaluer et gérer les marchés avec des tiers. ST-22 s.o. Respecté
L'organisation s'est dotée de processus et de pratiques pour assurer une mise en œuvre appropriée des initiatives de changement. LICM-2 AI6 Respecté
en partie
L'information sur les initiatives de changement est bien communiquée. LICM-3 s.o. Respecté
L'organisation met à profit la technologie de l'information pour améliorer l'accès des utilisateurs et les services qui leur sont offerts. CFS-4 AI1 Respecté

Plan d'action de la direction

Plan d'action de la direction
Recommandation Mesure prévue ou justification de la décision de ne pas donner suite à la recommandation Responsable Date d'achèvement prévue

Recommandation no 1.0

Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC.

Réponse no 1.0

Le rapport d'examen stratégique de la GI/TI présenté par BearingPoint en 2004–2005 recommandait que toutes les fonctions de TI relèvent dorénavant du chef de l'informatique et non plus des unités fonctionnelles. La transition a été menée à bien, sauf dans le cas de Spectre, technologies de l'information et télécommunications (STIT) et du Bureau de la concurrence.

Un projet est actuellement en cours pour transférer au chef de l'informatique la responsabilité de l'infrastructure de serveurs du Bureau de la concurrence. Le chef de l'informatique exerce une autorité fonctionnelle sur la salle d'ordinateurs où se trouve l'infrastructure de TI du Bureau de la concurrence. Ce dernier et l'Office de protection de la propriété intellectuelle (OPIC) utilisent la même salle d'ordinateurs (Place du Portage), dont la gestion est assurée par le chef de l'informatique.

En raison de la nature de son mandat de recherche-développement, le Centre de recherches sur les communications (CRC) a été dispensé de l'examen stratégique de la TI. Il continuera donc d'exercer une autorité fonctionnelle sur sa salle d'ordinateurs. Le risque est atténué grâce à l'utilisation de coupe-feu entre le CRC et le réseau d'Industrie Canada.

Le chef de l'informatique exerce une autorité fonctionnelle sur les installations suivantes :

  • Centre de données d'Industrie Canada (CDIC), 235, rue Queen, niveau Mezzanine, Ottawa : courrier électronique; ic.gc.ca; activités principales incluant les réseaux, bases de données, et serveurs d'applications ministériels; serveurs de fichiers.
  • Centre d'essais d'Industrie Canada (CEIC), 235, rue Queen, 3e étage Ouest, Ottawa
  • Salle d'ordinateurs de Place du Portage, phase II, Gatineau : serveurs de fichiers de l'Office de la propriété intellectuelle du Canada (OPIC); quelques équipements de serveurs d'applications pour OPIC.
  • Salles de serveurs régionales dans les différents bureaux d'Industrie Canada : serveurs de fichiers; équipements de serveurs d'applications.

Le chef de l'informatique a adopté des pratiques et des processus de gestion normalisés pour toutes les salles d'ordinateurs sur lesquelles il exerce une autorité fonctionnelle.

Le chef de l'informatique travaille en étroite collaboration avec STIT dans le cadre du Projet de modernisation des applications du spectre, initiative de renouvellement qui en est à l'étape de la planification initiale. À mesure que le projet évoluera, le chef de l'informatique et STIT tireront parti de la possibilité de commencer à transférer au chef de l'informatique les fonctions de TI et les responsabilités connexes.

Chef de l'informatique

Directeur Général (DG), Division des services d'infrastructures (DSI)

T4 de 2011–2012

En cours conformément au calendrier; développement du Projet de modernisation des applications

Recommandation no 2.0

Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :

  • en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
  • en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.

Réponse no 2.0

L'Exploitation du CDIC mettra en place un examen mensuel du registre d'accès afin de s'assurer que tous les visiteurs du centre respectent les procédures de contrôle d'accès appropriées. En outre, l'Exploitation prendra les mesures suivantes :

  • Modifier les procédures pour les harmoniser avec les exigences d'un centre de données de niveau « Protégé B ».
  • Accroître la sensibilisation, élaborer les lignes directrices régissant le contrôle de l'accès au CDIC et les distribuer à toutes les personnes qui ont actuellement accès au CDIC et à toutes les autres salles d'ordinateurs dont la gestion est assurée par le chef de l'informatique.
  • Mettre en œuvre un processus de notification et communiquer avec les personnes qui ne remplissent pas le registre de façon appropriée et leur indiquer la procédure à suivre.
  • Chaque année, envoyer à tous les clients et visiteurs du CDIC un communiqué rappelant les obligations qui leur incombent et les procédures appropriées en matière de contrôle de l'accès.
  • Communiquer aux nouveaux venus les lignes directrices régissant le contrôle de l'accès au CDIC dans le cadre du processus d'autorisation. Exiger que les personnes qui se rendent dans les salles d'ordinateurs obtiennent au préalablement une approbation du chef de l'informatique, du directeur général de la Division des services d'infrastructure ou du directeur de la Gestion du centre de données.

Directeur, Gestion du centre de données (GCD)

Directeur, GCD

Directeur, GCD

Directeur, GCD

Directeur, GCD

Février 2011

Février 2011

Février 2011

Chaque année à compter d'avril 2011

En permanence à compter de février 2011

Recommandation no 2.1

Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès.

Réponse no 2.1

La Direction de la gestion des installations, qui relève du Secteur de la fonction de contrôleur et de l'administration, conserve son autorité et sa responsabilité en ce qui concerne les systèmes de contrôle de l'accès à la grandeur de l'édifice, y compris le CDIC. L'Exploitation du CDIC continuera de collaborer avec cette direction pour rationaliser et améliorer les processus de contrôle de l'accès au CDIC, notamment pour révoquer l'accès au besoin sans tarder.

L'Exploitation du CDIC continuera de concentrer ses efforts en vue d'améliorer son processus et ses procédures de vérification et recommandera des changements en conséquence, notamment :

  • Examiner chaque trimestre la liste des personnes ayant eu accès au CDIC établie par la Direction de la gestion des installations et la comparer avec la liste des demandes d'accès au CDIC approuvées;
  • établir avec la Direction générale de la gestion des installations et de la sécurité, qui relève du SFCA, un protocole d'entente définissant clairement le rôle et les responsabilités en matière de contrôles de l'accès au CDIC et d'autorisations connexes;
  • Déterminer les mesures correctives à prendre;
  • Harmoniser les processus et les procédures avec les nouvelles procédures ministérielles relatives au retrait de l'effectif pour s'assurer que l'on révoque l'accès au CDIC de tous les employés et les entrepreneurs qui quittent l'organisation. Le système de contrôle de l'accès à l'édifice devrait retirer les droits d'accès à toutes les zones en cas de révocation de l'accès à l'édifice C.D. Howe (y compris le CDIC).

Directeur, GCD

Directeur, GCD

Directeur, GCD

Secteur de la fonction de contrôleur et de l'administration (SCA)

Chaque trimestre à compter de maintenant

Janvier 2011

En cours

À déterminer

Recommandation no 3.0

Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère.

Réponse no 3.0

Le chef de l'informatique a élaboré une stratégie de remplacement de l'infrastructure dans le cadre de son Cadre de gestion du cycle de vie de la technologie, qui n'a pas encore été pleinement adopté par le Ministère en raison du manque de financement pluriannuel pour pleinement mettre en œuvre le plan établi. La vérification portait sur un sous-ensemble de l'infrastructure de TI (c.-à-d. les serveurs). Dans la foulée du rapport du vérificateur général sur le vieillissement de la TI, le Ministère a récemment examiné de façon approfondie son matériel et ses logiciels. L'examen a confirmé qu'il n'est exposé dans l'immédiat à aucun risque inconnu dans les cas où aucun plan d'atténuation n'était pas déjà en place.

En ce qui a trait aux immobilisations, le Plan de TI 2011–2012 prendra en compte les exigences inhérentes à une stratégie de renouvellement à long terme pour tous les composants de l'infrastructure de TI.

  • Le chef de l'informatique révisera le document cadre dans le contexte de sa stratégie de renouvellement des services et de l'établissement des coûts.
  • Le chef de l'informatique continuera de renouveler de façon responsable les biens liés à la TI en prenant en compte les priorités opérationnelles, les risques et les stratégies en place.
  • Le chef de l'informatique continuera de mettre à profit les technologies de virtualisation pour réduire le nombre de serveurs matériels et envisagera de prendre une garantie prolongée pour les serveurs lorsque c'est possible.

Chef de l'informatique (Planification de la TI, 2011–2012)

Chef de l'informatique

Chef de l'informatique

T1 de 2011–2012

En cours

En cours

Recommandation no 4.0

Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants.

Réponse no 4.0

Cette recommandation est spécifique aux ententes d'entretien pour les composantes des installations dans le centre de données telles que l'équipement pour le conditionnement d'air, les éléments électriques, et le système d'alerte d'incendie et d'extinction d'incendie. Les contrats d'entretien sont préparés et négociés par la Direction de la gestion des installations en collaboration avec TPSGC et SNC/Lavalin. La Gestion des installations attribue les contrats au soumissionnaire gagnant. Les fonds sont virés annuellement entre la Direction générale du bureau de l'informatique et la Direction de la gestion des installations.

Il s'est produit cette année fiscale une situation duquel une entente d'entretien n'a pas été en place pour quelque mois.

Le directeur de la GCD améliorera le protocole d'entente actuel avec la Direction de la gestion des installations, qui relève du Secteur de la fonction de contrôleur et de l'administration, pour officialiser les rôles et les responsabilités et définir clairement :

  • Le processus de confirmation des contrats d'entretien et le calendrier connexe;
  • Le processus global — lancement, examen, approbation, passation de marchés et rémunération — relatif aux autorisations de travail portant sur le CDIC;
  • Le processus de facturation et de virement de fonds pour les services rendus et l'équipement d'installation acheté (par exemple : détecteurs de mouvement, pièce de rechange pour le générateur, etc) ainsi que le calendrier connexe.

Le protocole d'entente sera examiné et révisé au besoin une fois par an.

Directeur, GCD

Directeur, GCD

Directeur, GCD

Février 2011

Février 2011

Février 2011

Recommandation no 5.0

Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.

Réponse no 5.0

Le comité du Plan de continuité des activités du Ministère, sous la présidence du SFCA, fournit une tribune où les coordonnateurs des secteurs d'activité visés peuvent analyser et communiquer les plans et priorités de portée générale d'Industrie Canada. Il incombe au chef de l'informatique d'assurer la continuité des services de TI à l'appui des plans et priorités du Plan de continuité des activités du Ministère.

Le chef de l'informatique effectue un entretien annuel du CDIC afin d'assurer la fiabilité et la disponibilité des principaux composants utilisés pour exploiter l'installation et, en bout de ligne, l'infrastructure de TI ministérielle. Le Calendrier des activités d'entretien annuel du CDIC, qui fait office de plan de reprise après sinistre de base, est mis à jour, révisé et testé une fois l'an. Cette information est communiquée au personnel du chef de l'informatique chaque année pendant les réunions du Comité consultatif sur les changements avant l'entretien annuel du CDIC.

Le programme de continuité des services de TI mis en œuvre par le chef de l'informatique a donné lieu à une analyse des répercussions sur les activités axée sur les besoins en TI des secteurs clients et les stratégies possibles pour donner suite aux constatations issues de cette évaluation. D'après les estimations de catégorie D, un investissement se chiffrant entre 4 et 9 M$ sur trois ans pourrait être nécessaire pour mettre en œuvre ces stratégies.

Entre-temps, le chef de l'informatique se penche sur les aspects tactiques communs des recommandations liées à la stratégie dans la mesure où le budget le permet.

Directeur, GCD Chaque année
Date de modification :