2007-722 Vérification des processus de gestion de la configuration à TPSGC (Rapport final)

Le 19 mars 2009

Table des matières

• Points principaux
• Introduction
• Objectif de la vérification
• Observations

  • Une solution de gestion de la configuration répondant aux besoins de Travaux publics et Services gouvernementaux Canada (TPSGC) n'a pas été définie

  • Des procédures de configuration cohérentes n'ont pas été établies pour soutenir la gestion et l'enregistrement des changements dans le répertoire des configurations

  • Le processus de gestion de la configuration est très modérément intégré aux autres processus de la Bibliothèque pour l'infrastructure des technologie de l'information (BITI) et à la gestion de la sécurité

  • Il n'y a pas d'examen périodique des données de configuration de la Base de données organisationnelle de gestion des configurations (BDOGC) afin de vérifier et de confirmer l'intégrité des configurations actuelles et historiques

  • La portée du projet et du système de BDOGC avait été mal communiquée

  • Aucun rôle n'a la responsabilité d'exercer un contrôle centralisé des éléments de configuration et de s'assurer que les titulaires des éléments de configuration suivent un processus de gestion de la configuration cohérent

  • Les biens Technologie de l'information (TI) de TPSGC ne sont pas tous enregistrés dans le système de Gestion des biens TI

  • Les systèmes essentiels de TPSGC n'ont pas été identifiés

  • Un cadre de suivi et de contrôle des licences de logiciel à l'échelle du ministère n'a pas été établi

  • La configuration des ordinateurs personnels attribue des droits d'administrateur à l'utilisateur

  • Il n'y a pas de système de suivi global des autorisations d'exploitation provisoires relativement aux services partagés de TI

• Conclusion
• Recommandations et plan d'action de la direction
• À propos de la vérification

Points principaux

Points examinés

i. La gestion de la configuration se définit comme étant l'enregistrement et la mise à jour détaillés de renseignements qui décrivent les systèmes et les réseaux informatiques utilisés dans une organisation, y compris tous les composants matériels et logiciels. Ces renseignements précisent généralement les versions et les mises à jour des logiciels appliqués aux systèmes en place, de même que les emplacements et les adresses réseau des périphériques. La gestion de la configuration vise à déterminer tous les composants importants de l'infrastructure, à réunir et à gérer les détails de ces composants de même qu'à fournir de l'information fiable et actualisée à d'autres secteurs des technologies de l'information (TI).

ii. La base de données de gestion des configurations (BDGC) constitue le centre de gestion de la configuration; on y effectue la sauvegarde et le suivi des renseignements sur les composants, incluant leurs versions et leurs états, de même que des renseignements sur les relations entre les composants. Ces composants TI sont appelés éléments de configuration (EC). Les EC peuvent comprendre le matériel, les licences de logiciel, les composants de réseau, les serveurs, les documents, les procédures, les accords sur les niveaux de service, etc. La BDGC d'une entreprise peut être une solution de base de données unique (généralement désignée sous le nom de Base de données organisationnelle de gestion des configurations (BDOGC) ou une série de BDGC intégrée que l'on nomme Base de données de gestion des configurations fédérée (BDGCF).

iii. La gestion de la configuration est apparentée à la gestion des biens de la technologie de l'information. La gestion des biens capture et tient à jour les données rattachées aux biens TI, notamment le matériel et les logiciels de même que leur emplacement. La gestion de la configuration capture et effectue également la mise à jour des renseignements concernant les relations entre les biens TI, ce qui n'est habituellement pas assuré par la gestion des biens liés à la technologie de l'information.

Importance

iv. Un processus de gestion de la configuration solide soutient la gestion et le contrôle adéquats de l'infrastructure des TI du ministère. En l'absence de renseignements fiables provenant de la gestion de la configuration, il devient difficile de déterminer en temps opportun les impacts sur les systèmes essentiels, ce qui pourrait ultimement entraîner des défaillances dans les systèmes et retarder la remise en état de ces systèmes.

v. Le processus de gestion de la configuration soutient d'autres processus clés de la Bibliothèque pour l'infrastructure des technologie de l'information (BITI), notamment la gestion du changement, la gestion de la disponibilité et la gestion de la sécurité. À cet égard, il est important qu'une gestion de la configuration soit en place pour faciliter la remise en état des systèmes en cas de défaillance. La gestion de la configuration aide le ministère à identifier les caractéristiques de son matériel et de ses logiciels. Pour des motifs de rendement et de sécurité, il est nécessaire de connaître ces caractéristiques afin que le ministère puisse déterminer quels matériels ou logiciels doivent être mis à jour.

Constatations

vi. Travaux Publics et services gouvernementaux Canada (TPSGC) a plusieurs répertoires de gestion des configurations; cependant, ils ne précisent pas quels systèmes sont essentiels à TPSGC. Bien que TPSGC ait déterminé les services qui lui sont essentiels, TPSGC ne les a pas mappé avec les applications essentielles qui soutiennent ces services. De plus, les applications n'ont pas été mappé avec les éléments essentiels de l'infrastructure des TI. Compte tenu de ce qui précède, on ne sait pas si les priorités seraient attribuées aux systèmes appropriés lors de la remise en état des systèmes après sinistre.

vii. Les processus actuels de gestion de la configuration à l'échelle de TPSGC sont incohérents dans l'ensemble de l'organisation en ce qui a trait aux systèmes vérifiés. Il y a de nombreux répertoires servant à la gestion de la configuration (bases de données, feuilles de calcul, miniprogrammes) et utilisés par différents groupes et organisations à travers TPSGC. Il existe peu de communication ou de synergie au sein des répertoires et organisations. Les données stockées dans ces répertoires varient en matière de qualité, d'exhaustivité et de précision.

viii. En avril 2006, la Direction générale des services d'infotechnologie (DGSIT) a lancé le projet pilote d'une Base de données organisationnelle de gestion des configurations (BDOGC). Ce projet visait à créer un répertoire central permettant de stocker les données de tous les composants TI pertinents, et ce, pour tous les groupes et intervenants de l'infrastructure. La base de données a été mise en place en juin 2008 et il est prévu qu'elle demeure fonctionnelle; cependant, on n'envisage pas de l'améliorer davantage, car le projet de développement de BDOGC a été archivé en raison d'un manque de financement. La BDOGC et les autres systèmes actuellement en place à TPSGC ne permettent de répondre qu'à une partie des besoins de TPSGC.

Recommandations et plan d'action de la direction

Réponse de la direction des services d'infotechnologie

La Direction générale des services d'infotechnologie considère que les résultats de la vérification reflètent de façon juste et exacte l'état des processus de gestion des configurations pour les secteurs vérifiés. La Direction générale des services d'infotechnologie a l'intention d'agir suite aux recommandations de la vérification en mettant en place le plan d'action de la gestion décrit ci-dessous.

Le président-directeur général de la Direction générale des services d'infotechnologie devrait :

• 1. Établir un processus de gestion des configurations cohérent qui fournit une information fiable et à jour. Ce processus de gestion des configurations devrait être intégré aux autres processus de la Bibliothèque pour l'infrastructure de la technologie de l'information, de même qu'à la gestion de la sécurité. Le processus devrait identifier les rôles et les responsabilités, supporter l'identification des systèmes essentiels et fournir de l'information pour soutenir la remise en état d'un système en cas de défaillance.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 1.1 La mise en œuvre de la Bibliothèque pour l'infrastructure des technologies de l'information (BITI) par la Direction générale des services d'infotechnologie (DGSIT) est un processus continu. Le processus courant de gestion de la configuration sera mis à jour afin d'assurer qu'il permette l'identification des systèmes essentiels, et qu'il fournisse l'information permettant la récupération de ces systèmes en cas de défaillance. Cette action sera complétée le 30 juin 2009.

  • 1.2 La DGSIT établira une feuille de route générale, un plan de mise en œuvre de bout en bout, intégrée aux processus de la Bibliothèque pour l'infrastructure des technologies de l'information et à la gestion de la sécurité. On trouvera entre autres une évaluation de haut niveau des fonds nécessaires au traitement intégral de la recommandation. Cette action sera complétée le 29 mai 2009.

  • 1.3 La DGSIT préparera une analyse de rentabilisation et la présentera au chef des finances en vue d'obtenir l'approbation du Ministère en ce qui concerne l'approche la plus appropriée et la plus rentable pour la mise en œuvre du processus de gestion de la configuration. Cette action sera complétée le 31 juillet 2009.

  • 1.4 Si les fonds mentionnés dans l'analyse de rentabilisation sont refusés, intégralement ou partiellement, la DGSIT informera le comité ministériel compétent des répercussions qu'engendrera cette décision. En l'absence de fonds, il se peut que le processus de gestion de la configuration ne soit pas totalement intégré à la Bibliothèque pour l'infrastructure des technologies de l'information, mais la DGSIT veillera à ce que le processus inclut les rôles et les responsabilités, permette de déterminer les systèmes essentiels et fournisse l'information permettant la récupération de ces systèmes en cas de défaillance. Cette action sera complétée le 31 mars 2010. Un processus de gestion de la configuration qui n'est pas totalement intégré aux autres processus de la Bibliothèque pour l'infrastructure des technologies de l'information et à la gestion de la sécurité réduit la capacité de TPSGC de gérer efficacement ses services de technologie de l'information (TI). Ce risque diminuera à mesure que la DGSIT continuera la mise en œuvre de la Bibliothèque pour l'infrastructure des technologies de l'information.

  • 1.5 Si l'analyse de rentabilisation présentée dans le point 1.3 ci-dessus est approuvée, la DGSIT mettra en œuvre intégralement, pour ses éléments d'infrastructure courants et opérationnels, un processus de gestion de la configuration cohérent, totalement intégré aux disciplines de la Bibliothèque pour l'infrastructure des technologies de l'information. Cette action sera complétée le 30 septembre 2010.

  • 1.6 Si l'analyse de rentabilisation présentée dans le point 1.3 ci-dessus est approuvée, la DGSIT mettra en œuvre intégralement un processus de gestion de la configuration, cohérent et détaillé, pour toutes les applications opérationnelles. Cette action sera complétée le 30 septembre 2010.

• 2. Établir une base de données organisationnelle de gestion des configurations ou une base de données de gestion des configurations fédérée qui répond aux besoins de l'ensemble du ministère.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 2.1 La DGSIT continuera de développer et d'améliorer progressivement ses processus courants de gestion de la configuration reliés à sa base de données organisationnelle de gestion des configurations (BDOGC), basée sur My Structured Query Language (MS SQL). L'information contenue dans cette base de données définit actuellement les configurations des ordinateurs centraux et des processeurs de moyenne puissance de la DGSIT. La BDOGC sera mise à jour afin de traiter les exigences en gestion de la configuration des éléments d'infrastructure suivants : réseaux, stockage et bureautique et courrier électronique. Les données relatives à la gestion de la configuration de ces éléments d'infrastructure seront migrées dans la BDOGC. La DGSIT veillera à ce que tous les systèmes de TI essentiels puissent être suivis à travers une ou plusieurs basses de données. Cette action sera complétée le 30 novembre 2009.

  • 2.2 La DGSIT préparera une analyse de rentabilisation visant la réalisation d'une étude approfondie destinée à satisfaire aux exigences en gestion de la configuration de l'ensemble du Ministère. Cette action sera complétée le 30 novembre 2009.

  • 2.3 La DGSIT préparera ensuite une analyse de rentabilisation et la présentera à l'organe exécutif compétent pour obtenir les fonds et l'approbation qui permettront de poursuivre dans la direction convenue et avec les délais et les fonds convenus. Au moyen de cette analyse de rentabilisation, on cherchera à obtenir l'approbation du Ministère en vue de réaliser le processus de gestion de la configuration ministériel, lequel permettra de satisfaire aux exigences en gestion de la configuration de l'ensemble du Ministère et d'obtenir les fonds nécessaires. Les risques résiduels associés aux différentes options présentées dans l'analyse de rentabilisation seront clairement définis dans le document en question. Cette action sera complétée le 28 février 2010.

  • 2.4 Selon la décision du Ministère, la DGSIT mettra sur pied une base de données ou plusieurs bases de données reliées entre elles, qui respectent les exigences en gestion de la configuration de l'ensemble du Ministère, en tenant compte des fonds approuvés. Cette action sera complétée le 30 septembre 2010.

  • 2.5 Si les fonds précisés dans l'analyse de rentabilisation sont refusés intégralement ou partiellement, la DGSIT informera les comités ministériels compétents des répercussions qu'engendrera cette décision. La DGSIT informera périodiquement le Comité directeur de la gestion de l'information (GI) et de la technologie de l'information ministérielle de l'état des risques résiduels. Cette action sera complétée le 30 septembre 2010.

• 3. Rechercher l'accord de l'ensemble du ministère pour adopter une approche normalisée de gestion des licences de logiciel et des biens TI et assurer le contrôle de toutes les licences de logiciel.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 3.1 En présentant un dossier au comité de la gouvernance compétent, le PDG de la DGSIT cherchera à obtenir l'acceptation de l'ensemble du Ministère pour une approche normalisée de la gestion et du suivi des licences logicielles et de la gestion des biens de TI. Celle-ci comprend la détermination des modifications nécessaires ou la création de nouveaux instruments de politique et de gouvernance permettant une approche normalisée des licences logicielles et de la gestion des biens de TI^{Note de bas de page 1}. Cette action sera complétée le 30 mai, 2009.

  • 3.2 La DGSIT préparera une analyse de rentabilisation détaillée, la présentera au chef des finances et cherchera à obtenir, par le biais du processus de gouvernance :

    • 3.2.1 l'approbation de poursuivre en utilisant un système centralisé de gestion et de suivi du matériel et des licences, permettant ainsi la gestion des biens de TI. Ce système inclurait le cadre de gouvernance, le transfert des attributions de budget et les processus administratifs de haut niveau;

    • 3.2.2 les fonds nécessaires réservés à l'achat de matériel, de logiciels et d'outils connexes permettant la gestion et le suivi des licences logicielles et la gestion des biens de TI;

    • 3.2.3 l'approbation de poursuivre en optimisant l'investissement en cours dans le système GBTI^{Note de bas de page 2} (système de Gestion des biens de la technologie de l'information) – soit un système de gestion des biens intégral. Les biens relevant du système GBTI sont les biens de TI définis dans la note 1. Cette activité sera complétée le 30 juillet 2009.

  • 3.3 Si l'analyse de rentabilisation n'est pas approuvée, la DGSIT mettra en œuvre le SGBTI dans un environnement décentralisé tout en conservant un régime strict pour la gestion de ses biens matériels et logiciels mentionnés dans la note 1. Un environnement décentralisé signifie que des instances extérieures à la DGSIT continueront à diriger les étapes de la gestion du cycle de vie des biens et que la DGSIT gérera uniquement les biens sous son contrôle. Il restera le risque que TPSGC, et non la DGSIT, n'utilise pas suffisamment une partie des licences logicielles acquises. Voir la note 2 pour les échéances.

  • 3.4 Si la recommandation est approuvée par le comité de gouvernance ministériel, la DGSIT préparera, fera approuver et publiera les instruments de politique nécessaires, ainsi que les normes et les lignes directrices associées en vue de mettre en œuvre cette recommandation à l'échelle du Ministère. Cette action sera complétée le 30 mars 2010.

  • 3.5 Si la recommandation est approuvée par le comité de gouvernance ministériel, la DGSIT mettra en œuvre un processus complet de gestion des biens de TI couvrant tous les biens de TI de TPSGC selon les directives du processus de gouvernance ministériel. Cette action sera complétée le 30 septembre 2010.

  Note 1 : Biens matériels et logiciels s'inscrivant dans la portée du programme de GBTI

  Infrastructure : Serveurs, pare-feu, routeurs/passerelles, réseaux de stockage (SAN), ordinateurs centraux, blocs d'alimentation sans coupure (ASC), génératrices, commutateurs, équilibreurs de charge (liste non exhaustive)

  Appareils d'impression : Imprimantes, serveurs d'impression

  Appareils sans fil : Appareils Blackberry, téléphones cellulaires, téléavertisseurs

  Postes de travail : Ordinateurs de bureau reliés à un réseau, moniteurs, portables

  Logiciels : Logiciels standard (y compris les licences)

  Note 2 : Définition de la GBTI :

  La GBTI permet d'assurer la gestion des biens de TI de TPSGC du berceau à la tombe ou, si l'on parle du cycle de vie de GBTI, de la demande d'achat initiale d'un bien de TI jusqu'à l'élimination de celui-ci. La fonction de GBTI comprend l'élaboration et la tenue à jour de politiques, de normes, de processus, de systèmes et de mesures qui permettent au CCGB (Centre de compétences en gestion des biens), pour le compte de TPSGC, de gérer le portefeuille des biens de TI du Ministère pour ce qui a trait aux risques, aux coûts, au contrôle, à la gouvernance de la TI, à la conformité et aux objectifs de rendement des activités. La GBTI est une approche axée sur les processus qui permet de mettre à jour un référentiel de GBTI en fonction des changements qui sont apportés à un bien de TI tout au long de son cycle de vie et qui découlent d'une activité de processus. Le référentiel de GBTI joue un rôle essentiel dans la fourniture, aux divers intervenants de GBTI, de l'information qui permet à ces derniers de prendre des décisions tactiques et stratégiques relativement à la prestation des services de TI.

  La phase 1 a permis d'établir un dépôt unique de GBTI utilisé pour la production de rapports sur les biens de TI de la DGSIT, de mettre en œuvre un ensemble d'outils de découverte de GBTI et d'opérationnaliser une équipe de rapprochement (janvier 2007 à mars 2007 - terminé).

  La phase 2 a permis d'établir un dépôt unique de GBTI utilisé pour la production de rapports sur les biens de TI de TPSGC, et d'élaborer des rapports mensuels sur les biens de TI, ainsi que des procédures et des processus nouveaux/améliorés visant à tenir le référentiel de GBTI à jour (avril 2007 à septembre 2007 - terminé).

  La phase 3 était axée sur l'amélioration des procédures et des processus permettant d'accroître l'exactitude des données liées à la GBTI et de réduire le nombre d'interventions manuelles (octobre 2007 à mars 2008 - terminé).

  Les phases 4 et 5 du projet de GBTI permettront de soutenir la réalisation des trois principaux éléments livrables ci-dessous (avril 2008 à mars 2009 – en cours) :

  1. un programme de gestion des biens logiciels de TPSGC;
  2. un tableau de bord pour la production de rapports sur la GBTI;
  3. des procédures et des processus officiels en ce qui concerne les biens matériels et logiciels (réception, renouvellement continu, gestion des changements et élimination), qui permettront de poursuivre l'intégration des pratiques exemplaires au projet de GBTI en faisant en sorte que toutes les activités à accomplir dans le cycle de vie d'un bien de TI soient visées le plus possible par la GBTI.

  La DGSIT progresse actuellement vers une sixième phase. On est encore en train de planifier cette phase, mais on a l'intention que celle-ci englobe une mise en œuvre de bout en bout de la GBTI pour TPSGC.

• 4. Étudier la possibilité de limiter les droits des utilisateurs quant à la gestion des ordinateurs personnels, dans la mesure du possible.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 4.1 La DGSIT lancera une étude pour examiner la possibilité de limiter les droits d'administration des utilisateurs d'ordinateurs personnels qui inclura l'identification de la méthode de financement la plus pertinente. Cette action sera complétée le 30 novembre, 2009.

  • 4.2 Se reposant sur les recommandations tirées de l'étude, la DGSIT limitera les droits d'administration des utilisateurs sur les ordinateurs personnels. Cette action sera complétée le 30 mars 2010.

• 5. Veiller à ce que l'autorité de certification des services partagés de technologie de l'information assure un contrôle de toutes les autorisations d'exploitation provisoires de l'infrastructure des services partagés de TI.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 5.1 La DGSIT officialisera le rôle d'autorité de certification (AC) des services partagés de TI; elle établira et mettra en œuvre aussi des processus afin de veiller à ce que toutes les autorisations d'exploitation provisoires soient suivies de manière précise. Cette action sera complétée le 30 novembre 2009.

Réponse de la direction des services ministériels, des politiques et des communications

Le sous-ministre adjoint de la Direction générale des services ministériels, des politiques et des communications accepte la recommandation visant à ce que la Direction générale des services ministériels, des politiques et des communications s'assure qu'un mappage des services essentiels aux applications essentielles et des applications essentielles à l'infrastructure essentielle soit effectué afin de supporter les systèmes essentiels de Travaux Publics et Services gouvernementaux Canada. Vous trouverez ci-dessous le plan d'action de la Direction générale des services ministériels, des politiques et des communications qui sera mis en place en réponse à la vérification.

Le sous-ministre adjoint de la Direction générale des services ministériels, des politiques et des communications devrait :

• 1. Le sous-ministre adjoint de la Direction générale des services ministériels, des politiques et des communications devrait : S'assurer de faire un mappage des services essentiels aux applications essentielles et des applications essentielles à l'infrastructure essentielle permettant une identification des systèmes essentiels de TPSGC.

  Réponse de la Direction générale des services ministériels, des politiques et des communications. La Direction générale des services ministériels, des politiques et des communications accepte la recommandation et elle prendra les mesures suivantes :

  • 1.1 Phase I : Identification des services essentiels et réalisation d'analyses des répercussions sur les affaires, y compris le mappage des exigences en matière de technologie de l'information. Ce processus comprend 23 étapes formelles. Aux fins du plan d'action, elles sont résumées ainsi :

    • 1.1.1 Tenir des réunions de lancement et des séances d'information
    • 1.1.2 Fournir de la formation
    • 1.1.3 Actualiser et réviser les analyses des répercussions sur les opérations
    • 1.1.4 Étudier en détail les analyses des répercussions sur les opérations
    • 1.1.5 Donner un atelier sur le mappage des besoins en matière de TI
    • 1.1.6 Finalisation et approbation formelles des analyses des répercussions sur les opérations.

    La phase I sera divisée en deux vagues. La première vague comprend : la Direction générale de la comptabilité, de la gestion bancaire et de la rémunération (DGCGBR), Direction générale des approvisionnements (DGA), Bureau de la traduction (CT), Direction générale des ressources humaines (DGRH), Direction générale des biens immobiliers (DGBI) et Direction générale des services d'infotechnologie (DGSIT). La deuxième vague comprend toutes les autres directions générales, les régions et Services de vérification Canada. La phase I, vague un est terminée. La phase I, vague deux a commencé en janvier 2009 et devrait être terminée en avril 2009.

  • 1.2 Phase II : Identification des liens entre les applications et l'infrastructure de TI. Cette phase sera aussi divisée en deux vagues, à l'aide de la même répartition qu'à la phase I. Première vague : DGCGBR, DGA, CT, DGRH, DGBI et DGSIT. Deuxième vague : Toutes les autres directions générales, les régions et Services de vérification Canada. La phase II, vague un a commencé en janvier 2009 et devrait être terminée en mars 2009. Phase II, vague deux devrait être terminée juillet 2009.

Introduction

1. La Direction générale des services d'infotechnologie (DGSIT) de TPSGC est l'organisme responsable de la gestion des services et des produits informatiques à TPSGC ainsi que de certains services et produits informatiques pour l'ensemble du gouvernement. Les responsabilités du Secteur de la gestion et de la prestation des services (SGPS) de la DGSIT comprennent notamment l'ajout, la modification, le remplacement et l'entretien des configurations de systèmes pour tous les systèmes exploités dans le contexte de TPSGC – détenus par TPSGC à titre de propriétaire ou autrement.

2. Afin de gérer de manière plus efficiente et plus efficace le service de soutien en matière de technologie de l'information et d'améliorer la qualité des services fournis aux clients internes et externes, la DGSIT se dirige progressivement vers un cadre de travail utilisant la bibliothèque pour l'infrastructure des technologies de l'information (BITI) pour la gestion et la prestation des services. La BITI est reconnue dans l'industrie comme présentant les meilleures pratiques en matière de gestion des services de TI. Elle a pour but de répondre efficacement aux besoins des clients, d'assurer la qualité des services et de minimiser les coûts grâce à une bonne gestion des services de TI. BITI divise les activités en processus, lesquels, lorsqu'ils sont utilisés conjointement, permettent d'optimiser le niveau de soutien et de prestation des services fournis par TPSGC. Un de ces processus concerne la gestion des configurations. La gestion des configurations sert d'appui aux neuf autres processus de la BITI, de même qu'à la gestion de la sécurité. Les autres processus de la BITI sont les suivants : la gestion des incidents, la gestion des problèmes, la gestion des changements, la gestion des versions, la gestion des niveaux de service, la gestion financière des services TI, la gestion de la capacité, la gestion de la continuité des services de TI et la gestion de la disponibilité.

3. La gestion des configurations comprend les activités de base suivantes : la planification – planifier et préciser le but, la portée, les objectifs, les politiques et les procédures de la gestion des configurations; l'identification – sélectionner et identifier les structures et les éléments de configuration relevant de l'infrastructure TI (notamment en ce qui concerne les titulaires, les attributs, les dépendances et les relations entre les éléments de configuration); le contrôle de la configuration – garantir que seuls les éléments de configuration identifiables et autorisés sont acceptés et enregistrés dans la base de données de gestion des configurations (BDGC) tout au long du cycle de vie; la production du rapport sur l'état actuel – faire le suivi de l'état des composants tout au long du cycle de vie des éléments de configuration (par exemple « en développement », « en opération » et « hors service »); et la vérification – examiner et vérifier la mise en œuvre de la gestion des configurations en vue de s'assurer que les bonnes données sont enregistrées dans la BDGC.

4. La gestion de la configuration est apparentée à la gestion des biens de la technologie de l'information. La gestion des biens capture et tient à jour les données rattachées aux biens TI, notamment le matériel et les logiciels de même que leur emplacement. La gestion de la configuration capture et effectue également la mise à jour des renseignements concernant les relations entre les biens TI, ce qui n'est habituellement pas assuré par la gestion des biens liés à la technologie de l'information.

5. Trois systèmes ont été inclus dans le cadre de cette vérification, à savoir le système de Gestion des biens TI (GBTI), le Système d'information de moyenne puissance et la Base de données organisationnelle de gestion des configurations. Le système GBTI est utilisé par la DGSIT afin de gérer certains biens TI de TPSGC, depuis l'achat initial jusqu'à l'aliénation éventuelle. Il est important que le système GBTI fournisse des données à la base de données de gestion des configurations (BDGC), car TPSGC peut ainsi réaliser une meilleure gestion de ses services, lesquels sont tributaires des biens TI. Le Système d'information de moyenne puissance possède la plus grande collection centralisée d'éléments de configuration de TPSGC. Finalement, la Base de données organisationnelle de gestion des configurations a été sélectionnée parce qu'elle répond aux besoins en matière de configuration de cinq éléments d'infrastructure (moyenne puissance, ordinateur central, réseaux, mémoire et bureautique et messagerie), et ce, dans un même répertoire.

6. En avril 2006, un projet pilote a été lancé pour la création d'une base de données organisationnelle de gestion des configurations. Cette Base de données de gestion des configurations a été désignée au départ sous le nom de base de données de gestion des configurations fédérée (BDGCF), puis modifiée sous le nom de Base de données organisationnelle de gestion des configurations (BDOGC). Les avantages à tirer de ce projet sont notamment la réduction des coûts d'entretien, des renseignements sur les biens et les associations (y compris en ce qui a trait aux obligations juridiques et contractuelles) actualisées et exactes, disponibles en temps opportun, ainsi que la réduction des risques liés aux changements imprévus à l'infrastructure de TI. En juin 2008, il a été décidé d'interrompre le financement du projet de BDOGC. Étant donné que la BDOGC a été mise sur pied et est destinée à être exploitée, le projet est actuellement archivé et aucun travail ni développement supplémentaire ne sera effectué sur le projet à l'exception de l'ajout d'éléments de configuration en provenance du groupe de stockage des données.

Objectif de la vérification

7. La présente vérification interne visait à évaluer l'efficacité et l'efficience des processus actuels de gestion de la configuration à TPSGC.

8. Les trois systèmes compris dans la portée de la vérification sont les suivants : le système de gestion des biens TI, le Système d'information de moyenne puissance et la Base de données organisationnelle de gestion des configurations.

9. Pour obtenir plus de renseignements sur l'objectif, la portée, l'approche et les critères, voir la section « À propos de la vérification » à la fin du présent rapport.

Observations

Une solution de gestion de la configuration répondant aux besoins de TPSGC n'a pas été définie

10. Une solution de gestion des configurations destinée à une organisation de la taille de TPSGC nécessite l'utilisation d'une ou de plusieurs BDGC. Une BDGC est un répertoire où on effectue la sauvegarde et le suivi des renseignements sur les composants, incluant leurs versions et leurs états, de même que des renseignements sur les relations entre les composants. Il est important que la solution réponde aux besoins de TPSGC afin de gérer l'infrastructure de TI de façon efficace. Par exemple, une telle solution permettrait à TPSGC de s'assurer que toute modification apportée à un système ne nuit pas aux autres systèmes. Elle permettrait également à TPSGC d'assurer une meilleure gestion des systèmes essentiels. Nous nous attendions à ce qu'il y ait utilisation d'une BDOGC ou d'une base de données de gestion des configurations fédérée (BDGCF) qui répond aux besoins de TPSGC.

11. Nous avons observé ce qui suit :

• Il n'existe pas de BDGC unique ou de multiples BDGC intégrées à TPSGC permettant de desservir l'ensemble de TPSGC.

• La DGSIT a mis sur pied une Base de données organisationnelle de gestion des configurations; cependant, ce ne sont pas tous les groupes de la DGSIT recourant à la gestion de la configuration qui l'utilisent. Un certain nombre de groupes utilisent des feuilles de calcul électroniques pour former leur répertoire de gestion de la configuration.

• Un groupe au sein de la Direction générale des services d'infotechnologie (DGSIT) n'a pas satisfait entièrement ses besoins en matière de gestion de la configuration.

12. Il n'y a pas à TPSGC une solution de gestion de la configuration qui réponde à tous les besoins de cet organisme. Cette situation réduit la capacité de TPSGC à assurer une gestion plus efficace de ses services de TI.

Des procédures de configuration cohérentes n'ont pas été établies pour soutenir la gestion et l'enregistrement des changements dans le répertoire des configurations

13. Les procédures relatives à la configuration précisent de quelle manière le personnel doit créer et mettre à jour les données dans les répertoires de gestion des configurations. Des procédures de configuration cohérentes assurent l'intégrité et l'exactitude des données et facilitent la production des rapports. Nous nous attendions à trouver des procédures de configuration cohérentes permettant la gestion et l'enregistrement des changements dans le répertoire des configurations.

14. Nous avons observé que la Base de données organisationnelle de gestion des configurations possède quelques procédures pour assurer la gestion et l'enregistrement des changements aux éléments de configuration. Certains secteurs de l'infrastructure de la DGSIT utilisent leurs propres répertoires accompagnés de procédures qui varient, au lieu de se servir de la Base de données organisationnelle de gestion des configurations (BDOGC). De plus, les données de la BDOGC sont incomplètes et sont, dans certains cas, inexactes.

15. Par conséquent, TPSGC n'a pas un portrait complet et intégré des données de base des éléments de configuration de ses systèmes et services. Cette situation compromet la qualité et l'exhaustivité de l'information pouvant être fournie aux neuf autres processus de la BITI grâce à un processus de gestion de la configuration, ce qui réduit la capacité de TPSGC à assurer une gestion la plus efficace possible de ses services de TI.

Le processus de gestion de la configuration est très modérément intégré aux autres processus de la BITI et à la gestion de la sécurité

16. Les processus individuels sont souvent combinés pour exécuter une action; en conséquence, il est nécessaire d'intégrer les processus. L'intégration des processus de la BITI augmente l'efficience du fournisseur de services de TI. Nous nous attendions à ce que le processus de gestion de la configuration ait été intégré aux neuf autres processus de la BITI et à la gestion de la sécurité.

17. Nous avons observé ce qui suit :

• Le processus de gestion de la configuration utilisé pour la Base de données organisationnelle de gestion des configurations est très faiblement intégré aux neuf autres processus de la BITI de même qu'à la gestion de la sécurité.

18. L'absence d'intégration du processus de gestion de la configuration aux autres processus de la BITI et à la gestion de la sécurité réduit la capacité de TPSGC de gérer le plus efficacement possible ses services de TI.

Il n'y a pas d'examen périodique des données de configuration de la BDOGC afin de vérifier et de confirmer l'intégrité des configurations actuelles et historiques

19. Les examens périodiques permettent de s'assurer de l'intégrité et de l'exhaustivité des données des éléments de configuration, ce qui, en retour, permet à TPSGC de remettre tous ses systèmes dans un état stable et connu dans le cas d'un événement indésirable provoqué par une modification apportée à ses systèmes. De plus, ceci permet au processus de gestion de la configuration de soutenir adéquatement tous les autres processus de la BITI. Nous nous attendions à l'existence d'examens périodiques des données de configuration permettant de vérifier et de confirmer l'intégrité des configurations actuelles et historique.

20. Nous avons observé que les procédures relatives à la BDOGC ne prévoient pas d'examens périodiques des données de configuration. La procédure non écrite consiste en « si vous y apportez une modification, vous devez alors procéder à un examen et à une mise à jour ». Certaines données de la BDOGC sont inexactes et incomplètes.

21. Les inexactitudes et l'insuffisance des données présentes dans la BDOGC réduisent la capacité de TPSGC à assurer une gestion plus efficace de ses services de TI.

La portée du projet et du système de BDOGC avait été mal communiquée

22. La portée d'un projet aborde les aspects liés aux besoins, au budget et aux échéanciers d'un projet. Il est important de communiquer la portée d'un projet aux utilisateurs du projet ou à ceux qui auront à interagir avec celui-ci, de manière à ce qu'ils puissent planifier à l'avance. Nous nous attendions à ce que la portée du projet et du système de BDOGC ait été clairement communiquée aux intervenants afin d'assurer leur participation et leur soutien.

23. Nous avons observé que le projet et le système de BDOGC ont été mal communiqués aux intervenants, notamment aux titulaires des éléments de configuration et des autres processus de la BITI. Le cadre de catégorisation de services utilisés par la DGSIT divise les services en trois niveaux : le niveau de la gestion opérationnelle, le niveau des produits/services et le niveau de l'interface aux clients. La portée du projet de BDOGC s'est arrêtée à la gestion opérationnelle. La limite de la portée n'a pas clairement été communiquée aux intervenants.

24. La BDOGC est un projet pilote reposant sur une technologie qui n'est pas considérée comme étant une solution de classe organisationnelle, par conséquent il est possible qu'elle ne puisse pas traiter les volumes de données requis pour répondre aux besoins de l'ensemble du ministère. Les documents (incluant la charte de projet) et les communications (exposés) du projet de BDOGC ne précisaient pas clairement les limites de la plateforme de la BDOGC. De plus, il n'y avait aucun plan de promotion de la BDOGC visant à s'assurer de l'adoption du nouveau système par les intervenants.

25. L'absence de communication de la portée du projet et du système de BDOGC a constitué une occasion manquée pour la DGSIT de maximiser l'utilisation de la BDOGC et d'aborder dès le début les limites de ce système.

Aucun rôle n'a la responsabilité d'exercer un contrôle centralisé des éléments de configuration et de s'assurer que les titulaires des éléments de configuration suivent un processus de gestion de la configuration cohérent

26. Les éléments de configuration servent de point de départ à la gestion des configurations. Ils comprennent généralement des renseignements sur le matériel, les logiciels et les documents officiels. Le titulaire d'un élément de configuration est le principal responsable d'un élément de configuration donné. En l'absence de données exactes et exhaustives, la qualité du soutien fourni par le processus de gestion de la configuration aux autres processus de la BITI s'en trouve affectée. Il peut en résulter des décisions erronées, des erreurs coûteuses et des manquements aux règles de sécurité.

27. Nous nous attendions à ce que les rôles et les responsabilités soient clairement établis, y compris un rôle de contrôle central des éléments de configuration, ce rôle permettant d'assurer que les titulaires des éléments de configuration suivent un processus cohérent de gestion de la configuration. Ceci est nécessaire afin d'assurer que les éléments de configuration sont exacts et exhaustifs.

28. Nous avons constaté qu'il n'existe pas de rôle bien défini chargé d'exercer un contrôle centralisé des éléments de configuration et de s'assurer que les titulaires des éléments de configuration suivent un processus cohérent de gestion de la configuration. Il a été constaté que des données sont erronées et incomplètes. Les inexactitudes et l'insuffisance des données présentées dans la BDOGC réduisent la capacité de TPSGC à assurer la gestion la plus efficace possible de ses services de TI.

Les biens TI de TPSGC ne sont pas tous enregistrés dans le système de Gestion des biens TI

29. Les biens TI comprennent tout le matériel informatique et les logiciels, incluant les ordinateurs personnels, les serveurs, les éléments de réseau, les accessoires, les licences de logiciels, les mises à jour et les logiciels maison. Une organisation doit connaître les biens TI qu'elle possède afin d'en assurer la gestion tout au long de leur cycle de vie, et ce, afin d'identifier le matériel et les logiciels sous-utilisés, de réduire les stocks et d'assurer une meilleure gestion des services soutenus par les biens TI. Nous nous attendions à ce que tous les biens TI pertinents de TPSGC et les modifications apportées à ces biens soient enregistrés dans le système de gestion des biens TI.

30. Nous avons observé que le projet visant à mettre sur pied un outil de gestion des biens TI à l'échelle du ministère était partiellement réalisé. Les nouveaux serveurs, la plupart des ordinateurs personnels et d'autres appareils ont été entrés dans le système. Cependant, certains ordinateurs personnels, certains logiciels et certains types d'appareils comme les téléphones cellulaires et les BlackBerries ne fessaient pas encore l'objet d'un suivi au moyen de l'outil de gestion des biens TI. Bien que le ministère fasse l'utilisation d'outils pour contrôler les appareils rattachés aux réseaux, ces outils n'ont pas accès à tous les appareils car les pare-feux les masquent. Par ailleurs, certains appareils de TI, incluant certains ordinateurs personnels, sont achetés sans la participation de la DGSIT et ne sont pas entrés dans le système de gestion des biens TI.

31. En conséquence, TPSGC n'est pas en mesure d'assurer une gestion qui soit la plus efficace possible de ses biens TI et des services liés à ces biens.

Les systèmes essentiels de TPSGC n'ont pas été identifiés

32. La politique sur la sécurité du gouvernement du Canada énonce que « Les ministères doivent identifier et catégoriser les biens, notamment les services essentiels, selon le degré de préjudice (bas, moyen ou élevé) qui pourrait vraisemblablement résulter d'un compromis à leur disponibilité ou à leur intégrité ». La politique définit un service essentiel comme étant « un service dont la compromission en termes de disponibilité ou d'intégrité résulterait en un préjudice élevé à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens et des Canadiennes ou encore à l'efficacité du gouvernement du Canada ». Pour soutenir ces services essentiels, il faut connaître et documenter les applications et l'infrastructure opérationnelles soutenant ces services, aussi appelés systèmes essentiels. Pour ce faire, on doit effectuer l'identification et le mappage des services essentiels aux applications essentielles qui les assurent, puis ces applications doivent être mappées aux éléments essentiels de l'infrastructure TI. Les éléments de configuration contenus dans la base de données de gestion des configurations et liés aux services essentiels devraient être identifiés comme tels. Un mappage complet des services essentiels de l'infrastructure TI permet à TPSGC de prévoir la remise en état des systèmes essentiels en temps opportun.

33. Nous nous attendions à ce que TPSGC détienne les données nécessaires dans ses Bases de données de gestion des configurations permettant d'identifier ses systèmes essentiels et les éléments de configuration essentiels composant ces systèmes essentiels.

34. Le rapport 2003-726 – Vérification des composantes de l'infrastructure Technologies de l'information des plans de continuité des opérations ministérielles recommande notamment que : « Les liens entre la liste des services essentiels, les directions opérationnelles, et leurs composantes d'infrastructure des TI dans le plans de continuité des opérations doivent être établis et un processus de gestion des risques utilisés dans le cadre de l'établissement des priorités (des services essentiels) ».

35. Nous avons observé ce qui suit :

• Une liste des dix services essentiels à TPSGC a été créée et un projet dirigé par le groupe de la Direction des préparatifs d'urgence ministériels est en cours, dans le but de mapper ces services essentiels avec les applications et l'infrastructure TI.
• La DGSIT a créé une liste des systèmes essentiels, cette liste précède la vérification 2003-726.

36. Nous avons conclu que bien que TPSGC ait identifié ses services essentiels, TPSGC n'a pas identifié ses systèmes essentiels. En conséquence, il y a un risque que les plans d'urgence de TPSGC soient incomplets, ce qui peut faire en sorte que TPSGC ne soit pas en mesure d'assurer les services essentiels en cas de défaillance des systèmes essentiels qui assurent ces services. Nous convenons que TPSGC a renouvelé ses efforts pour recenser les systèmes essentiels.

Un cadre de suivi et de contrôle des licences de logiciel à l'échelle du ministère n'a pas été établi

37. Une licence de logiciel est un instrument juridique qui régit l'utilisation et la redistribution d'un logiciel protégé par les droits d'auteur. En l'absence d'un cadre approprié de suivi et de contrôle des licences, TPSGC pourrait sous-utiliser les licences des logiciels qu'il s'est procurés pour certains produits et pourrait ne pas être en mesure de déceler les violations de licence possibles. Nous nous attendions à ce qu'il y ait des processus efficaces et cohérents de suivi et de gestion des licences de logiciel des ordinateurs de bureau et des serveurs.

38. Le processus de gestion des licences de logiciel a été examiné dans deux directions générales : la Direction générale des conseils, de l'information et des services partagés (DGCISP) et la Direction générale des biens immobiliers (DGBI). Nous avons observé qu'il n'y a pas de processus ou de politique formelle en place pour gérer les licences de logiciel au ministère et plusieurs outils sont en place, mais on n'a pas recours à des outils coordonnés pour déterminer l'ensemble des stocks. En conséquence, le contrôle des licences de logiciel est inégal. Ces deux directions générales gèrent le processus de différentes façons, passant de la feuille de calcul au miniprogramme. Les aspects de la qualité et du contrôle en matière de gestion des licences sont grandement tributaires des autorités clientes assignées à la direction générale.

39. Nous avons déterminé que la Direction générale des biens immobiliers effectuait une gestion solide des licences de logiciel et possédait de bons outils de suivi et de contrôle des utilisations. La DGCISP a récemment pris à sa charge la gestion des licences de Services de vérification Canada et de Services conseils du gouvernement et a découvert qu'ils avaient installé les licences de deux logiciels sur un nombre d'ordinateurs beaucoup plus élevés par rapport au nombre de licences achetées. Depuis, la direction générale des conseils, de l'information et des services partagés (DGCISP) a pris les mesures nécessaires pour remédier à la situation.

40. Les plans actuels pour la gestion des licences de logiciel pour l'ensemble de TPSGC prévoient d'entrer éventuellement les licences dans le système de gestion des biens de technologie de l'information (GBTI); la mise en œuvre est prévue pour avril 2009. Cependant, il n'y a pas de cadre ou de politique définitive en place présentement pour aider les directions générales à déterminer les meilleures méthodes de gestion des licences de logiciel. En date de juillet 2008, le groupe système GBTI n'était pas entré en contact avec les directions générales de l'ensemble de TPSGC en vue de renforcer les bonnes pratiques ou de tirer parti des outils existants.

41. En raison de l'absence de cadre ministériel formel en matière de gestion des licences de logiciel, la qualité de l'information recueillie demeure inégale. En conséquence, il y a un risque que TPSGC sous-utilise les licences de certains logiciels et que TPSGC ne soit pas en mesure de déceler les violations de licence possibles.

La configuration des ordinateurs personnels attribue des droits d'administrateur à l'utilisateur

42. Les droits d'administrateur permettent à un utilisateur d'installer, de modifier ou de supprimer des programmes sur son ordinateur. En l'absence de restriction de droits d'administrateur, TPSGC limite sa capacité de gérer efficacement les installations de logiciel et d'assurer un contrôle rigoureux des licences de logiciel. Le contrôle des droits d'administrateur peut éviter l'installation non autorisée de logiciels. Nous nous attendions à ce que les ordinateurs soient configurés sans qu'il y ait une attribution de droits d'administrateur à l'utilisateur.

43. Nous avons observé ce qui suit :

• Des droits d'administrateurs sont attribués aux utilisateurs sur les ordinateurs personnels de TPSGC. Cette situation signifie que la configuration ne peut faire l'objet d'un contrôle étant donné que les utilisateurs peuvent installer des logiciels autorisés et non autorisés. En l'absence de prise de mesures préventives, y compris la restriction des droits d'installation, il n'est pas possible de contrôler l'environnement de gestion des configurations.

• Il n'y a actuellement pas de communication entre le système de Gestion des biens TI et le nouveau système de BDOGC. Une communication entre ces systèmes faciliterait le retrait des droits d'administrateur aux utilisateurs ne requérant pas de tels droits.

44. Il y a un risque qu'un utilisateur détenant des droits d'administrateur sur son ordinateur puisse installer un logiciel non autorisé ou permette sans le savoir l'installation d'un logiciel sur celui-ci. Cette situation peut augmenter les risques qui menacent l'intégrité de l'information pouvant être accessible à partir de cet ordinateur. Bien que TPSGC ait déjà mis en place des mesures pour minimiser de tels risques, notamment la politique du ministère 070 sur l'utilisation des réseaux électroniques, et qu'on demande périodiquement aux utilisateurs d'accepter la responsabilité de ne pas installer de logiciels non autorisés, l'analyse de la possibilité de limiter les droits des utilisateurs dans la mesure du possible permettrait à TPSGC de fournir l'information nécessaire afin de déterminer si ce risque peut être atténué davantage.

Il n'y a pas de système de suivi global des autorisations d'exploitation provisoires relativement aux services partagés de TI

45. La Politique du gouvernement sur la sécurité (PGS) définit une certification comme étant une évaluation complète des dispositifs de sécurité techniques et non techniques d'un système TI et des autres mesures de sauvegarde connexes, effectuée pour déterminer le degré selon lequel un modèle de conception et de mise en œuvre déterminé satisfait à un ensemble donné d'exigences en matière de sécurité et pour appuyer le processus d'accréditation. La PGS définit également une accréditation comme étant une autorisation officielle par la direction d'exploiter un système des TI et une acceptation par la direction du risque résiduel s'y rattachant. L'accréditation dépend des résultats de la certification ainsi que d'autres considérations de nature administrative. En l'absence de certification et d'accréditation appropriées, un système est alors exploité sans avoir satisfait aux normes du Conseil du Trésor et il existe un risque de défaillance du système, de perte de données sensibles et de problèmes d'intégrité des données.

46. Une autorisation d'exploitation provisoire est une autorisation temporaire, écrite, permettant, en raison de circonstances atténuantes, d'effectuer le traitement de données sensibles dans le cas où le risque résiduel n'est pas encore acceptable, mais qu'il est nécessaire d'exploiter le système en cours de développement. L'approbation peut être assujettie aux conditions selon lesquelles des mesures de protection provisoires doivent être mises en place pendant que le système est soumis à des travaux de conception, de développement et de vérification. Dans certains cas, l'accréditeur accordera une autorisation d'exploitation provisoire permettant d'exploiter un système dans le cas où un ensemble de circonstances atténuantes exige que le système soit « mis en marche » même si le risque est inacceptable. Une autorisation d'exploitation provisoire comporte certaines conditions, notamment le type de données dont il est permis de traiter et la date d'expiration de l'autorisation.

47. Le suivi des autorisations d'exploitation provisoires est un control importante assurant à la haute direction que les conditions rattachées à l'approbation de l'autorisation seront respectées en temps opportun et que le risque résiduel qui n'est pas encore acceptable ne sera pas accepté par la haute direction pour un délai plus long que le besoin ne l'exige. Nous nous attendions à ce que l'équipe du projet de BDOGC renouvelle son autorisation d'exploitation provisoire en temps opportun. Nous nous attendions également à ce que l'équipe du projet de BDOGC soit en processus de traitement ou ait terminé le traitement de tous les éléments à haut risque déterminés dans l'évaluation de la menace et des risques liés à la BDOGC émis le 25 avril 2007 dans le contexte de la BDOGC.

48. Nous avons observé ce qui suit :

• L'autorisation d'exploitation provisoire de la BDOGC a expiré en octobre 2007.

• L'évaluation de la menace et des risques datée du 25 avril 2007 et a évalué le niveau de risque résiduel actuel du système de Base de données organisationnelle de gestion des configurations de la DGSIT comme étant « élevé ».

• Peu de mesures ont été prises pour obtenir un renouvellement/une certification. Des mesures ont été prises de nouveau en avril 2008.

• L'équipe du projet de BDOGC a déterminé que les éléments à risque élevé identifiés dans l'évaluation de la menace et des risques ne se rattachaient pas à eux. L'équipe du projet croyait plutôt que la charge de donner suite à tous ces éléments revenait au groupe de la DGSIT. Il y a eu un manque de coordination et de communication entre les deux groupes; en conséquence, le problème n'a pas été traité en temps opportun.

• L'autorité de certification des services partagés de TI n'assure pas un suivi de toutes les autorisations d'exploitation provisoires rattachées à l'infrastructure des services partagés de TI.

49. Les risques liés au système de Base de données organisationnelle de gestion des configurations n'ont pas été atténués en temps opportun, comme le précisent les conditions stipulées dans l'autorisation d'exploitation provisoire. La haute direction a accepté de facto un plus grand niveau de risque pendant une période plus longue que prévue.

Conclusion

50. Les processus de gestion de la configuration actuels à TPSGC sont à la fois inadéquats et incohérents dans l'ensemble de l'organisation relativement aux systèmes vérifiés. Il existe de nombreux répertoires servant à la gestion des configurations (bases de données, feuilles de calcul, miniprogrammes) qui sont utilisés par différents groupes et organisations liés à l'infrastructure au sein de TPSGC. Il y a peu de communication parmi les intervenants en gestion de la configuration au sein de la DGSIT et peu de synergie entre les répertoires de gestion des configurations de la DGSIT. Les données enregistrées dans ces répertoires varient sur les plans de la qualité, de l'exhaustivité et de l'exactitude. Les processus de gestion de la configuration doivent être améliorés afin de répondre aux besoins de TPSGC. Les répertoires de gestion des configurations actuellement en place ne répondent pas aux besoins de TPSGC.

51. TPSGC n'a pas identifié ses systèmes essentiels. En conséquence, il y a un risque que les plans d'urgence de TPSGC soient incomplets, ce qui peut faire en sorte que TPSGC ne soit pas en mesure d'assurer les services essentiels en cas de défaillance des systèmes essentiels qui soutiennent ces services. Un cadre de suivi des licences de logiciel à l'échelle du ministère n'a pas été établi. Le système de Gestion des biens TI n'assure pas actuellement un suivi de tous les biens TI pertinents de TPSGC. Les utilisateurs de TPSGC détiennent des droits d'administrateurs sur leur ordinateurs personnels, ce qui crée le risque qu'un utilisateur permette sans le savoir l'installation d'un logiciel non autorisé sur son ordinateur.

Recommandations et plan d'action de la direction

Réponse de la direction - Direction générale des Services d'infotechnologie

La Direction générale des services d'infotechnologie considère que les résultats de la vérification reflètent de façon juste et exacte l'état des processus de gestion des configurations pour les secteurs vérifiés. La Direction générale des services d'infotechnologie a l'intention d'agir suite aux recommandations de la vérification en mettant en place le plan d'action de la gestion décrit ci-dessous

Le président-directeur général de la Direction générale des services d'infotechnologie devrait :

• 1. Établir un processus de gestion des configurations cohérent qui fournit une information fiable et à jour. Ce processus de gestion des configurations devrait être intégré aux autres processus de la Bibliothèque pour l'infrastructure de la technologie de l'information, de même qu'à la gestion de la sécurité. Le processus devrait identifier les rôles et les responsabilités, supporter l'identification des systèmes essentiels et fournir de l'information pour soutenir la remise en état d'un système en cas de défaillance.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 1.1 La mise en œuvre de la Bibliothèque pour l'infrastructure des technologies de l'information (BITI) par la Direction générale des services d'infotechnologie (DGSIT) est un processus continu. Le processus courant de gestion de la configuration sera mis à jour afin d'assurer qu'il permette l'identification des systèmes essentiels, et qu'il fournisse l'information permettant la récupération de ces systèmes en cas de défaillance. Cette action sera complétée le 30 juin 2009.

  • 1.2 La DGSIT établira une feuille de route générale, un plan de mise en œuvre de bout en bout, intégrée aux processus de la Bibliothèque pour l'infrastructure des technologies de l'information et à la gestion de la sécurité. On trouvera entre autres une évaluation de haut niveau des fonds nécessaires au traitement intégral de la recommandation. Cette action sera complétée le 29 mai 2009.

  • 1.3 La DGSIT préparera une analyse de rentabilisation et la présentera au chef des finances en vue d'obtenir l'approbation du Ministère en ce qui concerne l'approche la plus appropriée et la plus rentable pour la mise en œuvre du processus de gestion de la configuration. Cette action sera complétée le 31 juillet 2009.

  • 1.4 Si les fonds mentionnés dans l'analyse de rentabilisation sont refusés, intégralement ou partiellement, la DGSIT informera le comité ministériel compétent des répercussions qu'engendrera cette décision. En l'absence de fonds, il se peut que le processus de gestion de la configuration ne soit pas totalement intégré à la Bibliothèque pour l'infrastructure des technologies de l'information, mais la DGSIT veillera à ce que le processus inclut les rôles et les responsabilités, permette de déterminer les systèmes essentiels et fournisse l'information permettant la récupération de ces systèmes en cas de défaillance. Cette action sera complétée le 31 mars 2010. Un processus de gestion de la configuration qui n'est pas totalement intégré aux autres processus de la Bibliothèque pour l'infrastructure des technologies de l'information et à la gestion de la sécurité réduit la capacité de TPSGC de gérer efficacement ses services de technologie de l'information (TI). Ce risque diminuera à mesure que la DGSIT continuera la mise en œuvre de la Bibliothèque pour l'infrastructure des technologies de l'information.

  • 1.5 Si l'analyse de rentabilisation présentée dans le point 1.3 ci-dessus est approuvée, la DGSIT mettra en œuvre intégralement, pour ses éléments d'infrastructure courants et opérationnels, un processus de gestion de la configuration cohérent, totalement intégré aux disciplines de la Bibliothèque pour l'infrastructure des technologies de l'information. Cette action sera complétée le 30 septembre 2010.

  • 1.6 Si l'analyse de rentabilisation présentée dans le point 1.3 ci-dessus est approuvée, la DGSIT mettra en œuvre intégralement un processus de gestion de la configuration, cohérent et détaillé, pour toutes les applications opérationnelles. Cette action sera complétée le 30 septembre 2010.

• 2. Établir une Base de données organisationnelle de gestion des configurations ou une base de données de gestion des configurations fédérée qui répond aux besoins de l'ensemble du ministère.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 2.1 La DGSIT continuera de développer et d'améliorer progressivement ses processus courants de gestion de la configuration reliés à sa base de données organisationnelle de gestion des configurations (BDOGC), basée sur My Structured Query Language (MS SQL). L'information contenue dans cette base de données définit actuellement les configurations des ordinateurs centraux et des processeurs de moyenne puissance de la DGSIT. La BDOGC sera mise à jour afin de traiter les exigences en gestion de la configuration des éléments d'infrastructure suivants : réseaux, stockage et bureautique et courrier électronique. Les données relatives à la gestion de la configuration de ces éléments d'infrastructure seront migrées dans la BDOGC. La DGSIT veillera à ce que tous les systèmes de TI essentiels puissent être suivis à travers une ou plusieurs basses de données. Cette action sera complétée le 30 novembre 2009.

  • 2.2 La DGSIT préparera une analyse de rentabilisation visant la réalisation d'une étude approfondie destinée à satisfaire aux exigences en gestion de la configuration de l'ensemble du Ministère. Cette action sera complétée le 30 novembre 2009.

  • 2.3 La DGSIT préparera ensuite une analyse de rentabilisation et la présentera à l'organe exécutif compétent pour obtenir les fonds et l'approbation qui permettront de poursuivre dans la direction convenue et avec les délais et les fonds convenus. Au moyen de cette analyse de rentabilisation, on cherchera à obtenir l'approbation du Ministère en vue de réaliser le processus de gestion de la configuration ministériel, lequel permettra de satisfaire aux exigences en gestion de la configuration de l'ensemble du Ministère et d'obtenir les fonds nécessaires. Les risques résiduels associés aux différentes options présentées dans l'analyse de rentabilisation seront clairement définis dans le document en question. Cette action sera complétée le 28 février 2010.

  • 2.4 Selon la décision du Ministère, la DGSIT mettra sur pied une base de données ou plusieurs bases de données reliées entre elles, qui respectent les exigences en gestion de la configuration de l'ensemble du Ministère, en tenant compte des fonds approuvés. Cette action sera complétée le 30 septembre 2010.

  • 2.5 Si les fonds précisés dans l'analyse de rentabilisation sont refusés intégralement ou partiellement, la DGSIT informera les comités ministériels compétents des répercussions qu'engendrera cette décision. La DGSIT informera périodiquement le Comité directeur de la gestion de l'information (GI) et de la technologie de l'information ministérielle de l'état des risques résiduels. Cette action sera complétée le 30 septembre 2010.

• 3. Rechercher l'accord de l'ensemble du ministère pour adopter une approche normalisée de gestion des licences de logiciel et des biens TI et assurer le contrôle de toutes les licences de logiciel.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 3.1 En présentant un dossier au comité de la gouvernance compétent, le PDG de la DGSIT cherchera à obtenir l'acceptation de l'ensemble du Ministère pour une approche normalisée de la gestion et du suivi des licences logicielles et de la gestion des biens de TI. Celle-ci comprend la détermination des modifications nécessaires ou la création de nouveaux instruments de politique et de gouvernance permettant une approche normalisée des licences logicielles et de la gestion des biens de TI^{Note de bas de page 3}. Cette action sera complétée le 30 mai, 2009.

  • 3.2 La DGSIT préparera une analyse de rentabilisation détaillée, la présentera au chef des finances et cherchera à obtenir, par le biais du processus de gouvernance :

    • 3.2.1 l'approbation de poursuivre en utilisant un système centralisé de gestion et de suivi du matériel et des licences, permettant ainsi la gestion des biens de TI. Ce système inclurait le cadre de gouvernance, le transfert des attributions de budget et les processus administratifs de haut niveau;

    • 3.2.2 les fonds nécessaires réservés à l'achat de matériel, de logiciels et d'outils connexes permettant la gestion et le suivi des licences logicielles et la gestion des biens de TI;

    • 3.2.3 l'approbation de poursuivre en optimisant l'investissement en cours dans le système GBTI^{Note de bas de page 4} (système de gestion des biens liés à la technologie) – soit un système de gestion des biens intégral. Les biens relevant du système GBTI sont les biens de TI définis dans la note 1. Cette activité sera complétée le 30 juillet 2009.

  • 3.3 Si l'analyse de rentabilisation n'est pas approuvée, la DGSIT mettra en œuvre le SGBTI dans un environnement décentralisé tout en conservant un régime strict pour la gestion de ses biens matériels et logiciels mentionnés dans la note 1. Un environnement décentralisé signifie que des instances extérieures à la DGSIT continueront à diriger les étapes de la gestion du cycle de vie des biens et que la DGSIT gérera uniquement les biens sous son contrôle. Il restera le risque que TPSGC, et non la DGSIT, n'utilise pas suffisamment une partie des licences logicielles acquises. Voir la note 2 pour les échéances.

  • 3.4 Si la recommandation est approuvée par le comité de gouvernance ministériel, la DGSIT préparera, fera approuver et publiera les instruments de politique nécessaires, ainsi que les normes et les lignes directrices associées en vue de mettre en œuvre cette recommandation à l'échelle du Ministère. Cette action sera complétée le 30 mars 2010.

  • 3.5 Si la recommandation est approuvée par le comité de gouvernance ministériel, la DGSIT mettra en œuvre un processus complet de gestion des biens de TI couvrant tous les biens de TI de TPSGC selon les directives du processus de gouvernance ministériel. Cette action sera complétée le 30 septembre 2010.

  Note 1 : Biens matériels et logiciels s'inscrivant dans la portée du programme de GBTI

  Infrastructure : Serveurs, pare-feu, routeurs/passerelles, réseaux de stockage (SAN), ordinateurs centraux, blocs d'alimentation sans coupure (ASC), génératrices, commutateurs, équilibreurs de charge (liste non exhaustive)

  Appareils d'impression : Imprimantes, serveurs d'impression

  Appareils sans fil : Appareils Blackberry, téléphones cellulaires, téléavertisseurs

  Postes de travail : Ordinateurs de bureau reliés à un réseau, moniteurs, portables

  Logiciels : Logiciels standard (y compris les licences)

  Note 2 : Définition de la GBTI :

  La GBTI permet d'assurer la gestion des biens de TI de TPSGC du berceau à la tombe ou, si l'on parle du cycle de vie de GBTI, de la demande d'achat initiale d'un bien de TI jusqu'à l'élimination de celui-ci. La fonction de GBTI comprend l'élaboration et la tenue à jour de politiques, de normes, de processus, de systèmes et de mesures qui permettent au CCGB (Centre de compétences en gestion des biens), pour le compte de TPSGC, de gérer le portefeuille des biens de TI du Ministère pour ce qui a trait aux risques, aux coûts, au contrôle, à la gouvernance de la TI, à la conformité et aux objectifs de rendement des activités. La GBTI est une approche axée sur les processus qui permet de mettre à jour un référentiel de GBTI en fonction des changements qui sont apportés à un bien de TI tout au long de son cycle de vie et qui découlent d'une activité de processus. Le référentiel de GBTI joue un rôle essentiel dans la fourniture, aux divers intervenants de GBTI, de l'information qui permet à ces derniers de prendre des décisions tactiques et stratégiques relativement à la prestation des services de TI.

  La phase 1 a permis d'établir un dépôt unique de GBTI utilisé pour la production de rapports sur les biens de TI de la DGSIT, de mettre en œuvre un ensemble d'outils de découverte de GBTI et d'opérationnaliser une équipe de rapprochement (janvier 2007 à mars 2007 - terminé).

  La phase 2 a permis d'établir un dépôt unique de GBTI utilisé pour la production de rapports sur les biens de TI de TPSGC, et d'élaborer des rapports mensuels sur les biens de TI, ainsi que des procédures et des processus nouveaux/améliorés visant à tenir le référentiel de GBTI à jour (avril 2007 à septembre 2007 - terminé).

  La phase 3 était axée sur l'amélioration des procédures et des processus permettant d'accroître l'exactitude des données liées à la GBTI et de réduire le nombre d'interventions manuelles (octobre 2007 à mars 2008 - terminé).

  Les phases 4 et 5 du projet de GBTI permettront de soutenir la réalisation des trois principaux éléments livrables ci-dessous (avril 2008 à mars 2009 – en cours) :

  1. un programme de gestion des biens logiciels de TPSGC;
  2. un tableau de bord pour la production de rapports sur la GBTI;
  3. des procédures et des processus officiels en ce qui concerne les biens matériels et logiciels (réception, renouvellement continu, gestion des changements et élimination), qui permettront de poursuivre l'intégration des pratiques exemplaires au projet de GBTI en faisant en sorte que toutes les activités à accomplir dans le cycle de vie d'un bien de TI soient visées le plus possible par la GBTI.

  La DGSIT progresse actuellement vers une sixième phase. On est encore en train de planifier cette phase, mais on a l'intention que celle-ci englobe une mise en œuvre de bout en bout de la GBTI pour TPSGC.

• 4. Étudier la possibilité de limiter les droits des utilisateurs quant à la gestion des ordinateurs personnels, dans la mesure du possible.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 4.1 La DGSIT lancera une étude pour examiner la possibilité de limiter les droits d'administration des utilisateurs d'ordinateurs personnels qui inclura l'identification de la méthode de financement la plus pertinente. Cette action sera complétée le 30 novembre, 2009.

  • 4.2 Se reposant sur les recommandations tirées de l'étude, la DGSIT limitera les droits d'administration des utilisateurs sur les ordinateurs personnels. Cette action sera complétée le 30 mars 2010.

• 5. Veiller à ce que l'autorité de certification des services partagés de technologie de l'information assure un contrôle de toutes les autorisations d'exploitation provisoires de l'infrastructure des services partagés de TI.

  Réponse de la Direction générale des services d'infotechnologie. La Direction générale des services d'infotechnologie accepte la recommandation et elle prendra les mesures suivantes :

  • 5.1 La DGSIT officialisera le rôle d'autorité de certification (AC) des services partagés de TI; elle établira et mettra en œuvre aussi des processus afin de veiller à ce que toutes les autorisations d'exploitation provisoires soient suivies de manière précise. Cette action sera complétée le 30 novembre 2009.

Réponse de la direction - DGSMPC

Le sous-ministre adjoint de la Direction générale des services ministériels, des politiques et des communications accepte la recommandation visant à ce que la Direction générale des services ministériels, des politiques et des communications s'assure qu'un mappage des services essentiels aux applications essentielles et des applications essentielles à l'infrastructure essentielle soit effectué afin de supporter les systèmes essentiels de Travaux Publics et Services gouvernementaux Canada. Vous trouverez ci-dessous le plan d'action de la Direction générale des services ministériels, des politiques et des communications qui sera mis en place en réponse à la vérification.

Le sous-ministre adjoint de la Direction générale des services ministériels, des politiques et des communications devrait :

• 1. s'assurer de faire un mappage des services essentiels aux applications essentielles et des applications essentielles à l'infrastructure essentielle permettant une identification des systèmes essentiels de TPSGC.

  Réponse de la Direction générale des services ministériels, des politiques et des communications. La Direction générale des services ministériels, des politiques et des communications accepte la recommandation et elle prendra les mesures suivantes :

  • 1.1 Phase I : Identification des services essentiels et réalisation d'analyses des répercussions sur les affaires, y compris le mappage des exigences en matière de technologie de l'information. Ce processus comprend 23 étapes formelles. Aux fins du plan d'action, elles sont résumées ainsi :

    • 1.1.1 Tenir des réunions de lancement et des séances d'information
    • 1.1.2 Fournir de la formation
    • 1.1.3 Actualiser et réviser les analyses des répercussions sur les opérations
    • 1.1.4 Étudier en détail les analyses des répercussions sur les opérations
    • 1.1.5 Donner un atelier sur le mappage des besoins en matière de TI
    • 1.1.6 Finalisation et approbation formelles des analyses des répercussions sur les opérations.

    La phase I sera divisée en deux vagues. La première vague comprend : Direction générale de la comptabilité, de la gestion bancaire et de la rémunération (DGCGBR), Direction générale des approvisionnements (DGA), Bureau de la traduction (CT), Direction générale des ressources humaines (DGRH), Direction générale des biens immobiliers (DGBI) et Direction générale des services d'infotechnologie (DGSIT). La deuxième vague comprend toutes les autres directions générales, les régions et Services de vérification Canada. La phase I, vague un est terminée. La phase I, vague deux a commencé en janvier 2009 et devrait être terminée en avril 2009.

  • 1.2 Phase II : Identification des liens entre les applications et l'infrastructure de TI. Cette phase sera aussi divisée en deux vagues, à l'aide de la même répartition qu'à la phase 1. Première vague : DGCGBR, DGA, CT, DGRH, DGBI et DGSIT. Deuxième vague : Toutes les autres directions générales, les régions et Services de vérification Canada. La phase II, vague un a commencé en janvier 2009 et devrait être terminée en mars 2009. Phase II, vague deux devrait être terminée juillet 2009.

À propos de la vérification

Autorisation

La présente vérification a été approuvée par le Comité de la vérification et de l'évaluation du ministère dans le cadre du plan de vérification interne 2008-2009.

Objectif

La présente vérification interne visait à évaluer l'efficacité et l'efficience des processus actuels de gestion de la configuration à TPSGC.

Portée et approche

La vérification portait sur l'examen et l'évaluation du contexte de gestion de la configuration à TPSGC. On a notamment :

1. examiné les politiques et les procédures actuelles régissant le processus de gestion de la configuration;

2. évalué les mesures de contrôle relatives à la base de données de gestion des configurations (BDGC), y compris les processus d'autorisation pour l'ajout, le remplacement et la suppression d'éléments de configuration;

3. évalué l'exactitude et la validité des éléments de configuration dans l'environnement de la BDGC, grâce à des processus de sélection et d'essais pour les trois systèmes de contribution suivants : le Système d'information de moyenne puissance, le Système de gestion des biens de la technologie de l'information et la nouvelle Base de données organisationnelle de gestion des configurations;

4. vérifié la fiabilité du processus de production de rapports et de transmission des renseignements sur la gestion des configurations à destination ou en provenance d'autres processus pertinents de la BITI, y compris la gestion de la sécurité.

Les entrevues ont été réalisées auprès d'employés clés. Les processus et les documents pertinents ont été examinés. Après avoir analysé l'information et les éléments de preuve recueillis, l'équipe de vérification a rédigé ses constatations et ses conclusions, lesquelles ont été validées auprès des gestionnaires pertinents avant le dépôt de l'ébauche de Rapport final au Comité de vérification et d'évaluation de TPSGC.

La vérification a été réalisée conformément à la Politique sur la vérification interne de TPSGC et aux Normes de vérification interne du gouvernement du Canada.

Critères

Les critères de vérification représentent les données de référence ou normes auxquelles les vérificateurs comparent leurs constatations dans le but d'élaborer leurs observations de vérification et de formuler des conclusions. Les critères appropriés doivent être pertinents à l'objectif de la vérification, complets, fiables, généralement reconnus et compris par le vérificateur et la direction.

Les critères de la présente vérification sont les suivants :

1. Un outil de soutien et un dépôt comportant de l'information pertinente sur les éléments de configuration sont établis.

2. Les biens TI et les changements apportés aux biens sont enregistrés et surveillés.

3. Une base de référence d'éléments de configuration est maintenue à l'égard des systèmes et des services.

4. Des procédures de configuration ont été établies pour appuyer la gestion et l'enregistrement des changements dans le dépôt de configuration.

5. Les procédures de configuration sont intégrées à d'autres processus pertinents de la BITI, y compris la gestion de la sécurité.

6. Un examen périodique des données de configuration est effectué pour vérifier et confirmer l'intégrité de la configuration actuelle et historique.

7. Un examen périodique des logiciels installés est effectué dans le contexte de la politique sur l'utilisation des logiciels afin de déceler des cas d'utilisation de logiciels personnels, de logiciels non autorisés, ou de logiciels pour lesquels le nombre d'usagers dépasse les conventions de droits d'utilisation en vigueur. Les erreurs et les écarts font l'objet d'un rapport, sont traités et corrigés.

Ces critères proviennent du « Control Objectives for Information and related Technology » (COBIT® 4.1) de la IT Governance Institute, du cadre de travail de la BITI et de la politique sur la sécurité du gouvernement.

Travaux de vérification réalisés

La vérification a été réalisée de janvier à juillet 2008 inclusivement.

Équipe de vérification

L'équipe de vérification était composée d'un membre du Bureau de la vérification et de l'évaluation ainsi que de personnel à forfait supervisé par le directeur, Vérification de l'infotechnologie et sous la direction générale de la dirigeante principale de la vérification, Bureau de la vérification et de l'évaluation.

La mission de vérification a été examinée par le service d'examen de la qualité du Bureau de la vérification et de l'évaluation.