Rapport de vérification interne - Vérification de la transformation des activités liées à la technologie de l'information – Projet de migration du SPGII

Le 24 juin 2014

Table des matières

1 RÉSUMÉ

Introduction

Infrastructure Canada (INFC) a été créé en 2002; son rôle est de faciliter le financement d'infrastructures publiques modernes et de calibre mondial qui profitent aux Canadiens. Depuis la création du Ministère, le groupe de Gestion de l'information et technologie de l'information (GI-TI) travaille principalement à définir les besoins opérationnels des nouvelles applications, de la passation de contrats et de la gestion des relations avec les fournisseurs à l'appui de la prestation de services.

INFC utilise le Système partagé de gestion de l'information sur les infrastructures (SPGII) pour faciliter l'exécution et la réalisation de divers programmes fédéraux de contributions et de paiements de transfert. Ce système de gestion de l'information a été conçu, construit, hébergé et maintenu par un entrepreneur tiers sur une période de 12 ans.

À la suite de la création de Services partagés Canada (SPC) en novembre 2011, INFC s'est vu confier le mandat de transférer les services d'hébergement du SPGII de l'entrepreneur tiers à un centre de données de SPC. INFC gère actuellement ce projet de migration théoriquement estimé à deux millions de dollars.

Les activités initiales à l'appui de la migration des services d'hébergement ont été amorcées au début de 2012 et ont été intégrées dans le cadre d'un projet plus officiel de migration du SPGII en 2013. Ce projet de transformation opérationnelle de la technologie de l'information est commandité par la Direction de la GI-TI du Ministère.

Objectifs et portée de la vérification

La vérification visait à déterminer le caractère adéquat des mesures de contrôle de la gestion en place afin d'assurer la migration efficace et efficiente de l'hébergement du SPGII de l'entrepreneur tiers à Services partagés Canada.

La vérification visait les principaux éléments des systèmes en cours de développement, notamment : la planification des systèmes; l'analyse; l'architecture et l'évaluation, le choix fondé sur une évaluation de haut niveau de la gouvernance; la conception de la solution opérationnelle et les domaines de risque du projet.

Conclusion

Dans l'ensemble, INFC a mis en place des processus et des procédures de gouvernance en vue de soutenir la gestion globale du projet de migration du SPGII. Le projet a été intégré au cadre ministériel de gouvernance d'INFC. Malgré les retards, la plupart des éléments prévus d'un cadre de contrôle de la gestion de projet ont été mis en place. Les exigences techniques et les spécifications du système sont progressivement élaborées et intégrées aux plans de mise en œuvre du système. Le calendrier de migration du SPGII a été retardé en raison de facteurs internes, et externes et la gestion du projet prévoit que la migration sera terminée d'ici octobre 2014. Voici les domaines à améliorer :

  • Réévaluer les compétences des ressources et leur capacité interne en vue de réduire le risque de lacunes lors de la migration.
  • S'assurer qu'à l'avenir, des analyses de rentabilisation sont élaborées pour les projets de cette envergure et de cette complexité, conformément à la politique d'INFC relative aux projets axés sur la TI.
  • Déterminer et définir les exigences en matière de sécurité selon la criticité et la sensibilité du système, et veiller à ce que des contrôles appropriés soient mis en œuvre et soient communiqués de façon officielle à SPC avant la migration du SPGII.
  • Valider les résultats et la fiabilité de l'évaluation des menaces et des risques que l'entrepreneur tiers doit effectuer sur le SPGII avant la migration.
  • Élaborer et finaliser les exigences opérationnelles, fonctionnelles et du système en vue de la migration du SPGII, en s'assurant que l'architecture et les contrôles prévus sont liés aux exigences définies.

La direction convient des constatations et recommandations de la vérification. Elle a élaboré des plans d'action pour donner suite aux recommandations présentées dans le rapport.

2 CONTEXTE

Infrastructure Canada (INFC) a été créé en 2002; son rôle est de faciliter le financement d'infrastructures publiques modernes et de calibre mondial qui profitent aux Canadiens. INFC y parvient entre autres en investissant dans le cadre de programmes de contributions et de programmes de paiements de transfert. Depuis la création du Ministère, le groupe de Gestion de l'information et technologie de l'information (GI-TI) travaille principalement à définir les besoins opérationnels des nouvelles applications, de la passation de contrats et de la gestion des relations avec les fournisseurs à l'appui de la prestation de services. INFC utilise le Système partagé de gestion de l'information sur les infrastructures (SPGII) pour faciliter l'exécution et la réalisation de divers programmes fédéraux de contributions et de paiements de transfert.

Le SPGII facilite les demandes de financement des utilisateurs désignés à l'appui de projets d'infrastructure dans l'ensemble du Canada. Il permet aux demandeurs de faire une demande de financement en ligne pour un projet, de faire le suivi de la situation du projet et de fournir les renseignements sur les demandes tout au long du cycle de vie d'un projet individuel. Il permet à INFC d'évaluer les demandes de financement, de faire preuve de diligence raisonnable, d'assurer un suivi des approbations de projet, des engagements financiers et des dépenses et d'en faire rapport.

À l'origine, le SPGII devait être utilisé pour un seul fonds. Il a été adapté et reconstruit plusieurs fois au cours des 12 dernières années afin de servir à de nouveaux programmes de contributions. Depuis 2010, la capacité du SPGII a été renforcée en vue de pouvoir répondre rapidement aux nouveaux programmes d'infrastructure. Il est maintenant constitué de plusieurs sous-systèmes d'applications logicielles qui servent à la gestion des programmes d'infrastructure, à la planification financière connexe et aux rapports sur les programmes et l'information géomatique. Le système a été conçu et construit par l'entrepreneur tiers, qui l'héberge et le maintient depuis sa création.

En août 2011, le gouvernement du Canada a créé Services partagés Canada (SPC) au moyen d'un décret, et lui a confié le mandat d'assurer la prestation centralisée des services de réseau et de télécommunications, des centres de données et de courriel aux 43 organismes du gouvernement du Canada, dont Infrastructure Canada. Le plan de regroupement des centres de données de SPC vise à réduire le nombre de ces centres qui soutiennent les systèmes gouvernementaux pour qu'ils passent de 485 à 7 d'ici 2020.

Au printemps 2012, INFC a amorcé des discussions avec SPC en vue de planifier la migration du SPGII de l'installation de l'entrepreneur tiers à une installation de centre de données gérée par SPC et qui lui appartient. La portée initiale du projet de migration englobait la solution intégrale du SPGII, qui comprenait les entrepôts de données, les rapports de l'informatique organisationnelle ainsi que des caractéristiques géomatiques.

Même si les activités et les projets individuels liés à la migration du SPGII se déroulent depuis le début de l'année 2012, INFC n'a établi le projet de migration officiel du SPGII qu'à l'automne 2013. Au fil du temps, INFC a réduit la portée de la migration aux systèmes qui reflètent les besoins opérationnels actuels et prévus, en tenant compte de la clôture des programmes de contribution et des contraintes de SPC. En outre, INFC mène parallèlement un projet de renouvellement du sous-système du SPGII pour gérer les grands programmes d'infrastructure. Le projet parallèle englobait les activités d'élaboration et les mises à niveau techniques prévues, mises en œuvre pour les systèmes existants, qui seront effectuées dans le cadre du projet de migration du SPGII.

Le calendrier original du projet de migration du SPGII et les dates d'achèvement prévues ont été fixés pour une transition graduelle à l'automne 2013. Ces échéances ont été établies de sorte que le système soit prêt à exécuter tout nouveau programme et toute nouvelle initiative établis dans le Plan d'action économique du gouvernement du Canada.

3 OBJECTIFS DE LA VÉRIFICATION

La vérification visait à déterminer le caractère adéquat des mesures de contrôle de la gestion en place afin d'assurer la migration efficace et efficiente de l'hébergement du Système partagé de gestion de l'information sur les infrastructures (SPGII) par un entrepreneur tiers à Services partagés Canada.

La vérification visait les principaux éléments des systèmes en cours de développement, notamment : la planification des systèmes; l'analyse; l'architecture et l'évaluation, le choix fondé sur une évaluation de haut niveau de la gouvernance; la conception de la solution opérationnelle et les domaines de risque du projet.

La vérification couvrait la période allant du printemps 2012, au moment où INFC amorçait les activités prévues pour la migration, à mars 2014. Sa portée n'incluait pas l'évaluation de la mise en œuvre technique du SPGII, car elle n'est pas terminée.

4 STRATÉGIE DE VÉRIFICATION

Le déroulement de la vérification a été approuvé dans le Plan de vérification axé sur les risques de 2013-2016. L'approche et la méthode utilisées sont conformes aux pratiques, aux processus, aux procédures et aux normes de vérification internes généralement acceptés au gouvernement du Canada, et sont conformes à la Politique sur la vérification interne du Secrétariat du Conseil du Trésor et aux normes de l'Institut des vérificateurs internes pour la vérification interne. Les critères de vérification proviennent du Secrétariat du Conseil du Trésor, du Bureau du contrôleur général, de l'Association des professionnels de la vérification et du contrôle des systèmes d'information (ISACA) et d'autres sources de pratiques exemplaires, comme le cadre Objectifs de contrôle de l'Information et des Technologies Associées (CobiT).

Le travail de vérification a été effectué en trois phases : planification, examen et rapport, avec des éléments livrables préparés aux points clés. La phase de planification comprenait des entrevues, un examen de modélisation de haut niveau, une évaluation des risques et des examens généraux de la documentation (c.-à-d. plans d'activités, structure de gouvernance, organigrammes) pour comprendre l'entité de vérification et son environnement. Cette connaissance a servi de fondement pour déterminer les secteurs retenus pour un examen détaillé dans la phase d'examen.

La phase d'examen comprenait des entrevues, des analyses et des examens de dossiers visant à cerner et à évaluer l'importance des enjeux et des constatations. Les constatations préliminaires de la vérification ont été communiquées à l'entité vérifiée pour la validation des faits afin de confirmer la clarté, l'exactitude et l'exhaustivité de l'information transmise.

Le présent rapport regroupe les constatations et présente les réponses et les plans d'action de la direction visant à donner suite aux recommandations.

5 CONSTATATIONS DE LA VÉRIFICATION

5.1 Gouvernance

Il était prévu que le personnel ou l'équipe de gestion du projet de migration du SPGII d'INFC assurerait une gouvernance adéquate pour veiller à ce que le projet de migration soit bien défini et approuvé par la haute direction, et à l'affectation des ressources opérationnelles et techniques. En outre, les procédures de gouvernance devaient être mises en place et conçues en vue de tenir la direction informée des progrès de la migration.

Gouvernance

Conclusion :

INFC a mis en place des processus et des procédures de gouvernance en vue de soutenir la gestion globale du projet de migration du SPGII. Le projet a été intégré au cadre de gouvernance ministériel d'INFC. Malgré les retards, la plupart des éléments prévus d'un cadre de contrôle de la gestion de projet ont été mis en place.

INFC collabore avec ses partenaires de mise en œuvre

Pour le projet de migration du SPGII, INFC dispose d'une charte de projet approuvée qui comprend une composante de gouvernance avec SPC. SPC a également élaboré son propre cadre de projet qui comprend une analyse de rentabilisation, une charte et un plan de gestion du projet.

Le personnel d'INFC a favorisé une forte participation de SPC tout au long du projet. À cette fin, INFC et SPC ont établi des comités mixtes au niveau des directeurs et des directeurs généraux. Il y a eu des réunions bilatérales du directeur des opérations de la technologie de l'information (TI) d'INFC et des directeurs de l'équipe de construction de SPC. En outre, des mécanismes distincts d'établissement de rapports sur le projet existent entre INFC et l'entrepreneur tiers qui héberge et maintient le SPGII actuellement. De plus, et le dirigeant principal de l'Information d'INFC est membre du Conseil du dirigeant principal de l'Information du gouvernement du Canada.

La gouvernance du SPGII est intégrée au cadre de gouvernance ministérielle d'INFC

Le Comité de gestion du Ministère (CGM) fournit une orientation de haut niveau et assure la direction et la surveillance au sein d'INFC. Le Comité de planification des investissements (CPI) est un sous-groupe du CGM qui aide à élaborer et à orienter le plan d'investissement du Ministère et contribue à la surveillance des grands projets d'investissement, comme celui de la migration du SPGII. Le Comité de direction du SPGII relève du CGM par l'entremise du CPI et appuie l'objectif du Ministère qui vise à mettre en place une structure efficace de gouvernance et de responsabilisation pour superviser les activités du SPGII. Ce comité est constitué de cadres du niveau de directeur général qui formulent des conseils, des directives et des recommandations et approuvent les recommandations relatives à la GI-TI.

Centre unique de responsabilité

La responsabilité du projet de migration du SPGII a été confiée à un seul gestionnaire supérieur. Elle consistait à établir une gouvernance rigoureuse, une direction et une approche de gestion du projet. Ce centre unique de responsabilité est décrit dans la charte de projet du SPGII.

La plupart des éléments prévus d'un cadre de contrôle de la gestion de projet ont été mis en place

Malgré les retards, la plupart des éléments prévus d'un cadre de contrôle de la gestion de projet ont été mis en place, avec des possibilités d'amélioration. Par exemple, certains rôles et certaines responsabilités du projet auraient pu être mieux définis. Le rôle du gestionnaire de projet n'a pas été pleinement exploité, et le Bureau de gestion de projets a servi de secrétariat administratif plus que de bureau de gestion de projets. Enfin, les jalons du projet demeurent surtout déterminés par les capacités des parties externes (p. ex. l'entrepreneur tiers et SPC).

Dans l'ensemble, le cadre de gouvernance du projet de migration du SPGII d'INFC a contribué à officialiser les activités déjà exécutées en tant qu'initiatives fonctionnelles par GI-TI. Par conséquent, les activités du projet sont établies et coordonnées et les problèmes font l'objet d'un suivi et d'un rapport à la haute direction.

5.2 Capacité interne

Le cadre de gouvernance d'INFC devait assurer qu'une évaluation détaillée de la capacité interne détermine les exigences en matière de capacité critique (quantité et ensembles de compétences) pour les phases de planification et de mise en œuvre du projet ainsi qu'après la migration.

Exigences internes en matière de capacité

Conclusion :

Même si le personnel de GI-TI qui travaille au projet de migration du SPGII se consacre à ses rôles et à ses responsabilités, INFC doit définir les compétences de ses ressources et ses besoins en général pour la période qui suivra la migration. Voici les domaines à améliorer :

  • Réévaluer les compétences des ressources et leur capacité interne en vue de réduire le risque de lacunes lors de la migration.

Le rôle de la Direction de la GI-TI d'INFC évolue

À l'heure actuelle, un entrepreneur tiers assume le développement, la livraison et la maintenance du SPGII, y compris l'hébergement de l'application. C'est ce qu'on appelle une solution « clé en main », ce qui signifie que l'entrepreneur tiers a le contrôle exclusif de l'application et l'exploite au nom d'INFC. Ainsi par contrat, l'entrepreneur tiers est responsable de la plus grande partie des opérations techniques et du soutien du SPGII, sous la direction des responsables opérationnels et techniques d'INFC.

INFC n'a demandé qu'un niveau minimal d'expertise technique et il a fonctionné avec une capacité interne limitée en GI-TI. Ainsi, le Ministère a eu recours à des contrats de services professionnels pour combler les besoins organisationnels de la GI-TI au fur et à mesure qu'ils advenaient. Ces questions étaient décrites dans notre document de 2011, Vérification des contrats de technologies de l'information. En ce qui concerne le projet du SPGII, une partie importante du rôle de la GI-TI consistait à assurer la liaison entre SPC et l'entrepreneur tiers. En mai 2013, la Direction de la GI-TI a mis en relief auprès de la haute direction les lacunes importantes en matière de ressources humaines internes, en faisant ressortir les « vulnérabilités dans les domaines de la sécurité de la TI, de la géomatique, des services Web, de la mise au point d'applications, des services opérationnels et à la clientèle ».

En vue de commencer à se pencher sur les questions de capacité interne pour assurer l'exploitation et le soutien continus du SPGII pendant et après la migration, INFC a adopté une démarche à trois volets :

  1. Augmenter la capacité interne, compte tenu de la demande du Secrétariat du Conseil du Trésor de migrer le service clé en main à SPC et de ne pas procéder à un nouvel appel d'offres.
  2. Élaborer un plan directeur de préparation qui décrit en détail le transfert des connaissances qui interviendra de l'entrepreneur tiers aux ressources établies d'INFC pendant le déroulement de la transition. INFC conclut des contrats avec l'entrepreneur tiers actuel, car celui-ci a un accès exclusif aux diverses ressources qui exécutent pour l'instant les tâches quotidiennes.
  3. Exécuter les activités de transfert des connaissances prévues tout au long de la migration. Le plan directeur de préparation documentera le transfert des connaissances en vue de l'intégration au calendrier de mise en œuvre du SPGII.

Une fois le projet de migration terminé, SPC assumera l'exploitation et la gestion de l'infrastructure du SPGII alors qu'INFC sera responsable des inter logiciels, des bases de données, du développement et de la maintenance des applications, qui étaient auparavant des tâches confiées à l'entrepreneur tiers.

La migration du système est une entreprise complexe

La migration du SPGII consiste à transférer l'application du SPGII construite par l'entrepreneur tiers à l'infrastructure gouvernementale des centres de données de SPC. Ainsi, ce projet de migration est des plus complexes, car il s'écarte des projets de migration et de mise au point que le gouvernement fédéral réalise habituellement en ce qu'il nécessite la coordination entre trois entités indépendantes dont les capacités, les rôles et les responsabilités varient.

Comme la migration est déjà en cours, INFC doit assumer la difficile responsabilité de déterminer et d'acquérir les services de mise au point, de maintenance et de soutien pour veiller à ce que l'application continue d'être exploitée de façon stable et prévisible sur la plateforme de SPC, suivant les besoins. La tâche est complexe, car INFC n'a pas un accès exclusif privilégié au SPGII et dispose d'un minimum d'expertise et d'expérience techniques dans ses opérations quotidiennes. Son approche a consisté à assurer l'orientation du projet et à confier au personnel de SPC et de l'entrepreneur tiers la tâche d'élaborer un plan de migration et de concevoir la solution globale.

La direction prévoit maintenant que le projet de migration du SPGII sera terminé d'ici octobre 2014 dans un seul effort de migration. La direction comprend la complexité et les risques du projet. Elle a établi des plans de contingence afin de continuer à utiliser le site de l'entrepreneur tiers et de l'exploiter pendant encore cinq mois en cas de nécessité.

Détermination des ressources et des compétences clés

Un rapport d'analyse des lacunes en ressources, réalisé par l'entrepreneur tiers, a donné une idée des besoins en matière de compétences pour le Ministère. Il y a des lacunes à combler à INFC dans le codage des applications, le maintien du code source, la conception et la maintenance des applications et dans les ensembles de compétences correspondants. Le document indiquait qu'un transfert des connaissances ou un jumelage important sur une période de plusieurs mois est nécessaire pour réussir le transfert des fonctions ou des services d'entrepôts de données aux rôles des fournisseurs de services responsables à INFC ou à SPC d'ici la date butoir.

Il a également été mentionné que certains des ensembles de compétences requis et des rôles essentiels pour assurer une migration efficace et sans heurts n'avaient pas été déterminés ou comblés assez tôt dans le projet. Les principaux rôles et ensembles de compétences déterminés vers la fin du processus ou qui n'étaient pas considérés comme faisant partie intégrante de la migration étaient les suivants : architecte d'entreprise, analyste de base de données et gestionnaire de la sécurité de la TI. Par exemple, un architecte d'entreprise ou un rôle semblable est essentiel pour mobiliser les principaux intervenants au début du processus quant à la définition des exigences de la phase de planification et orienter la conception des solutions et l'architecture.

Par conséquent, INFC ne dispose sans doute pas des ressources appropriées pour planifier et mettre en œuvre la migration de façon efficace. En outre, le Ministère n'a pas encore évalué entièrement les exigences en matière de capacité interne de GI-TI, ce qui pourrait compromettre la capacité et le soutien opérationnels nécessaires une fois la migration du SPGII terminée.

Recommandation 1 : La haute direction d'INFC doit réévaluer les compétences des ressources et la capacité des ressources internes afin de réduire le risque de lacunes au moment de la migration.

Réponse de la direction à recommandation 1 : La direction accepte cette recommandation. Deux mesures seront prises : GI-TI réalisera un plan de dotation pour veiller à ce que la capacité et les compétences des ressources de l'organisation soient en place pour soutenir les systèmes du SPGII durant la phase qui suit la migration; GI-TI effectuera une vérification indépendante de la santé du projet, qui comprendra un examen du plan de dotation et de la préparation.

5.3 Gestion du projet

On s'attendait à ce qu'INFC ait établi une approche de gestion du projet proportionnelle à l'envergure, à la complexité et aux exigences politiques connexes du projet du gouvernement du Canada et du Ministère. On s'attendait de plus à ce que les contrôles de gestion du projet assurent une surveillance adéquate du projet (sur le plan financier, du respect des échéances, etc.), une participation appropriée des intervenants, l'évaluation itérative des risques, le suivi des problèmes et le renvoi à un échelon supérieur des problèmes non résolus, au besoin.

Gestion du projet

Conclusion :

Même si une charte et un plan de gestion ont été élaborés pour le projet de migration du SPGII, la direction a décidé de ne pas préparer d'analyse de rentabilisation au début du projet. Les principales considérations dans cette décision ont été le fait que la transition à SPC était obligatoire et que SPC avait déjà préparé une analyse de rentabilisation pour ses propres aspects du projet.

Voici les domaines à améliorer :

  • Veiller à ce qu'à l'avenir, des analyses de rentabilisation soient élaborées pour les projets de cette envergure et de cette complexité à l'avenir, conformément à la politique relative aux projets axés sur la TI d'INFC.

Les pratiques de gestion de projet les plus courantes pour les projets d'envergure ont été suivies

La Direction de la GI-TI d'INFC a suivi en grande partie les pratiques et les principes courants de gestion pour les projets d'envergure. Le budget du projet de migration du SPGII a été théoriquement établi à 2 millions de dollars (1,5 million de dollars en 2013-2014 et 0,5 million de dollars en 2014-2015). Ce budget englobait le plan d'investissement du Ministère pour 2013-2014. La charte et le plan de gestion du projet ont été achevés à l'automne 2013. Ces documents clés de gestion du projet ont été réalisés presque un an après le début des activités de migration.

Les activités de migration du SPGII ont commencé en 2012 pour devenir un projet officiel en 2013

INFC a amorcé la migration du SPGII en priorité au début de 2012 en vue de tirer avantage des possibilités d'hébergement nouvellement confiées à SPC. Les documents examinés dans le cadre de la vérification précisaient les activités et les échéances suivantes du projet :

  • activités visant à produire le plan de migration du SPGII – mars 2012 (en fait début du « projet »)
  • document sur les besoins opérationnels (DBO) – septembre 2012
  • plan d'investissement de 2013-2014 signé par le sous-ministre – août 2013
  • charte de projet du SPGII – octobre 2013
  • plan de gestion de projet du SPGII – décembre 2013
  • date prévue pour la migration intégrale – 2 septembre 2014
  • fin du contrat avec l'entrepreneur tiers – octobre 2014 (prolongation possible jusqu'en mars 2015).

Le projet de migration du SPGII a commencé par une série d'initiatives fonctionnelles de la GI-TI et a mené à l'élaboration d'un document sur les besoins opérationnels, qui a été approuvé en septembre 2012. Au début de 2013, les activités du projet qui étaient en cours depuis le début de 2012 ont été officialisées dans un cadre de gouvernance du projet. L'officialisation des rôles du projet a permis d'orienter les discussions et les débats avec SPC sur la portée et le calendrier de la migration éventuelle.

La charte et le plan de gestion du projet établis à l'automne 2013 ont décrit les responsabilités et rôles principaux, et ont établi une stratégie de haut niveau afin de réussir la migration du SPGII.

L'élaboration du cadre de gestion du projet et des mécanismes de gouvernance appropriés ont permis à INFC de décrire ses exigences en matière de migration, d'établir les grandes lignes du calendrier de transition, de déterminer les principales personnes ressources pour les activités de migration et de demander la collaboration de SPC pour le succès du projet.

L'expérience d'INFC dans les activités fonctionnelles initiales de la transition du SPGII d'une solution d'entrepreneur tiers à la plateforme de SPC entre le début de 2012 et la fin de 2013 a facilité les négociations sur la portée et les jalons du projet. Les attentes de haut niveau pour les communications du projet ont été définies dans le plan de gestion du projet et les communications ont été documentées.

La haute direction a convenu de ne pas préparer d'analyse de rentabilisation pour le projet

Comme l'indique la politique d'approbation opérationnelle de la GI-TI d'INFC pour les projets axés sur la TI, les projets de plus d'un million de dollars nécessitent une charte complète de projet et une analyse de rentabilisation. Une analyse de rentabilisation reflète généralement « les résultats de l'analyse coûts-avantages, l'analyse des options et la description de chaque option envisagée ». Toutefois, la haute direction a décidé de ne pas préparer d'analyse de rentabilisation pour ce projet, en supposant qu'elle n'était pas nécessaire, puisqu'il s'agissait d'une transition confiée à SPC par décret. En outre, comme SPC avait élaboré une analyse de rentabilisation pour ses volets du projet, INFC a estimé qu'une analyse de rentabilisation interne n'était pas nécessaire.

Toutefois, sans analyse de rentabilisation officielle d'INFC pour le projet de migration du SPGII, la documentation indiquant si les décisions et les options avaient réellement été analysées était limitée. Même si la transition à SPC était obligatoire, le moment de la transition, la portée de la migration et les options d'attribution des coûts n'ont pas été évalués dans le cadre d'une analyse de rentabilisation officielle. De plus, les principaux indicateurs de rendement, qui auraient pu servir de repères dans l'évaluation du succès du projet et des avantages qui en découlent, n'ont pas été documentés.

Même si certains des risques associés à l'absence d'analyse de rentabilisation ont été contrés par d'autres moyens, comme des séances d'information au Comité de planification des investissements du Ministère, ces solutions de rechange ne peuvent pas remplacer l'ensemble des renseignements habituellement présentés dans une analyse de rentabilisation effectuée au début d'un projet.

Recommandation 2 : La haute direction d'INFC doit veiller à ce qu'à l'avenir, des analyses de rentabilisation soient élaborées pour les projets d'une telle complexité et d'une telle envergure, conformément à la Politique relative aux projets axés sur la TI d'INFC.

Réponse de la direction à la recommandation 2 : La direction accepte cette recommandation. Des analyses de rentabilisation ont été élaborées pour tous les projets de GI-TI, conformément à la politique d'INFC, à l'exception du projet de migration du SPGII. L'ensemble actuel de politiques de GI-TI du Ministère sera examiné et mis à jour afin de contrer les risques liés aux projets dans le processus décisionnel, et de répondre aux exigences de l'analyse de rentabilisation pour tous les types de projets, y compris les projets obligatoires amorcés en relation aux priorités du gouvernement du Canada.

5.4 Exigences en matière de sécurité

Il était prévu que les exigences relatives à la sécurité et au contrôle fonctionnel et opérationnel devaient être établies pendant la phase de planification du projet du SPGII dans le cadre de la conception de haut niveau du système ou de la définition des exigences.

Exigences en matière de sécurité

Conclusion :

Les contrôles de sécurité relatifs au SPGII dans le cadre du projet de migration sont abordés plus tard qu'ils le sont normalement dans un tel projet. Voici les domaines à améliorer :

  • Déterminer et définir les exigences en matière de sécurité selon la criticité et la sensibilité du système, et veiller à la mise en œuvre des contrôles appropriés et à leur communication officielle à SPC avant la migration du SPGII.
  • Valider les résultats et la fiabilité de l'évaluation des menaces et des risques que l'entrepreneur tiers doit effectuer sur le SPGII avant la migration.

Les responsabilités relatives à certaines fonctions de sécurité de la TI évoluent

Le gestionnaire de la sécurité de la TI d'INFC, qui relève du Dirigeant principal de l'information (DPI), choisit, met en œuvre et évalue les contrôles de sécurité relatifs aux TI pour tous les systèmes de TI, y compris le SPGII. Dans ce cadre de responsabilité, INFC déléguait auparavant le choix, l'évaluation et l'essai des contrôles de sécurité à l'entrepreneur tiers dans le cadre de ses ententes de service.

En raison du décret qui transfère le contrôle et la supervision des services de courriels, de centres de données et de réseau à SPC, la façon dont la sécurité est conçue et gérée dans un environnement de TI fédéral partagé a changé. Il est prévu que les services indépendants et le Centre des opérations de la sécurité de SPC une fois bien établi se partageront la responsabilité et la reddition de comptes en matière de sécurité. La reddition de comptes pour la sécurité et l'intégrité du SPGII continuera à relever d'INFC, alors que la responsabilité de fournir une partie des contrôles de sécurité relèvera de SPC dans le cadre d'une entente avec INFC.

Les exigences en matière de sécurité de la TI sont traitées vers la fin du projet

Comme il a été mentionné précédemment et à la section 5.5 du présent rapport, les exigences opérationnelles et fonctionnelles n'ont pas encore été entièrement élaborées dans le domaine de la sécurité et de la confidentialité.

Même si plusieurs composantes du nouvel environnement d'hébergement sont en voie de construction, les principales activités d'évaluation et leurs extrants jugés essentiels dans la détermination et le choix des contrôles de sécurité de la TI requis avant l'élaboration et la mise en œuvre du système ne sont pas encore terminés, notamment un énoncé de sensibilité à jour et une évaluation logique des menaces et des risques.

Pour remédier à cette situation à une étape critique de la migration et pour mieux définir les mesures de sécurité pour le SPGII à SPC, INFC a conclu un contrat avec l'entrepreneur tiers actuel en février 2014 afin de produire l'évaluation logique des menaces et des risques et l'énoncé de la nature délicate pour l'architecture prévue du SPGII et les sous-systèmes connexes. Ces principaux éléments livrables (qui devraient être achevés à l'été 2014) et les autres éléments livrables prévus, comme un concept des opérations, seront essentiels pour éclairer les exigences en matière de sécurité du système dans son nouvel environnement et constitueront également le fondement d'un plan de certification et d'accréditation plus vaste du SPGII d'INFC. La pratique de certification et d'accréditation d'un système d'information comme le SPGII est considérée comme une pratique clé de gestion des risques pour les systèmes de TI utilisés au gouvernement du Canada et, une fois terminée, elle sera la preuve de la conformité de base en matière de sécurité du SPGII dans un environnement d'hébergement de SPC.

Les principaux éléments livrables en matière de sécurité ne sont pas demandés au début ou à un moment approprié du projet et l'engagement du personnel de la sécurité d'INFC est plutôt tardif dans le projet, ce qui a comme résultat qu'INFC ne détermine et ne communique pas l'ensemble des exigences en matière de sécurité pour la migration prévue en temps opportun. Par conséquent, il y a un risque qu'INFC exploite le SPGII avec des contrôles de sécurité qui sont loin d'être idéaux et soit incapable d'obtenir l'assurance raisonnable que les contrôles de sécurité conçus et mis en œuvre sont appropriés pour le système ou qu'ils satisfont aux exigences d'INFC en matière de sécurité.

Comme il est mentionné ci-dessus, en vue de combler rétroactivement les lacunes en ce qui a trait aux exigences définies en matière de sécurité, l'entrepreneur tiers actuel a reçu le mandat de réaliser l'évaluation des menaces et des risques dans les principaux secteurs du nouvel environnement d'hébergement du SPGII. Toutefois, ce faisant, l'entrepreneur tiers actuel évalue des parties de son propre travail de conception et de mise en œuvre de solution, ce qui pourrait constituer un conflit d'intérêts et pourrait entraver la capacité de l'entrepreneur tiers à rendre entièrement compte des menaces et des risques relatifs à la sécurité, ce qui entraîne une exposition à des niveaux élevés ou des contrôles de sécurité de la TI faibles pour la migration du SPGII dans son nouvel environnement. Il se pourrait donc que la haute direction d'INFC se trouve dans une position difficile pour démontrer avec une assurance raisonnable que les risques signalés sont crédibles et en conséquence, les principales décisions relatives à la sécurité du SPGII pourraient être fondées sur une analyse de la position de sécurité de la TI qui n'est pas fiable.

Les contrôles de sécurité sont prévus

Comme il a déjà été mentionné, les exigences en matière de sécurité ne sont pas encore entièrement élaborées dans la documentation de planification officielle ou dans les autres documents justificatifs et les communications internes produites par INFC, l'entrepreneur tiers ou SPC.

Les retards actuels dans la détermination des exigences en matière de sécurité sont en partie attribuables à la gestion du projet selon laquelle on accepte globalement que SPC, avec sa responsabilité prescrite d'héberger les systèmes de TI du gouvernement du Canada, fournira des contrôles de cybersécurité suffisants pour la protection du SPGII. Cette position adoptée par l'équipe de gestion du projet découle surtout du décret, de concert avec l'acceptation des directives de cybersécurité de SPC au sens large comme étant adéquates.

Toutefois, en raison des grands efforts dans la planification du système et en guise d'exigences bien définies en matière de sécurité, plusieurs documents de planification de l'architecture et de la migration existent et présentent des descriptions générales des contrôles de sécurité supposés ou prévus, par exemple : antivirus, zonage du réseau, coupe-feu et prévention ou détection des intrusions. En outre, les contrôles de sécurité supposés ou prévus actuels correspondent généralement aux contrôles de sécurité existants, comme ils sont mis en œuvre et gérés par l'entrepreneur tiers.

Recommandation 3 : La haute direction d'INFC doit déterminer et définir les exigences en matière de sécurité selon la criticité et la sensibilité du système, et veiller à ce que des contrôles appropriés soient mis en place et officiellement communiqués à SPC avant la migration du SPGII.

Réponse de la direction à la recommandation 3 : La direction accepte cette recommandation. Deux mesures seront prises : GI-TI documentera le profil de sécurité des systèmes du SPGII à l'aide des normes actuelles de sécurité du gouvernement et s'assurera que les exigences en matière de sécurité du SPGII sont communiquées à SPC. La GI-TI prendra les mesures nécessaires pour s'assurer que les lacunes sont bien comblées en vue du « lancement ».

Recommandation 4 : La haute direction d'INFC doit valider les résultats et la fiabilité de l'évaluation des menaces et des risques menée par l'entrepreneur tiers.

Réponse de la direction à la recommandation 4 : La direction accepte cette recommandation. Le fournisseur qui procède à l'évaluation des menaces et des risques fournira une attestation concernant l'indépendance de son équipe de sécurité dans l'élaboration de l'évaluation des menaces et des risques pour les systèmes du SPGII. En outre, la GI-TI effectuera une vérification et une validation indépendantes de l'évaluation des menaces et des risques des systèmes du SPGII.

5.5 Processus opérationnels et conception de la solution

Il était prévu qu'INFC établirait et définirait les exigences en matière de système et de solution qui décrivent les caractéristiques précises du système et les processus opérationnels. La conception détaillée de la solution à utiliser par les partenaires et les développeurs devait être terminée et prête pour l'exécution ou la mise en œuvre.

Processus opérationnels et conception de la solution

Conclusion :

Même si la documentation sur les besoins opérationnels et les documents justificatifs ont été créés au départ et tout au long du cycle de vie du projet, ils n'étaient ni complets ni entièrement élaborés. Voici les domaines à améliorer :

  • Élaborer et finaliser les exigences opérationnelles et fonctionnelles du système et ses spécifications en vue de la migration du SPGII, en s'assurant que l'architecture et les contrôles prévus sont liés aux exigences définies.

La conception et la planification de la solution ont précédé l'élaboration des principales exigences

Au départ, le plan était de migrer tout le SPGII tel quel, de l'entrepreneur tiers au centre de données de SPC. Toutefois, les activités préliminaires de planification ont relevé certaines contraintes techniques, ce qui a augmenté la complexité de la migration sur le plan technique et a réduit la portée de la migration du SPGII. Même avec cette réduction de la portée, l'analyse et l'élaboration des principales exigences étaient limitées et le projet est passé presque directement à la conception d'une solution.

Le principal document sur les besoins opérationnels décrit les activités relatives à la transition du système à SPC. Toutefois, il ne décrit pas les exigences opérationnelles et fonctionnelles d'INFC et ne fournit pas d'information pertinente pour l'élaboration efficace de la nouvelle infrastructure de TI pour l'hébergement du SPGII au centre de données de SPC.

L'information et la documentation précisant les exigences nécessaires pour l'élaboration efficace des systèmes sont soit manquantes soit incomplètes. Plus précisément, les exigences suivantes n'étaient pas entièrement élaborées et finalisées : exigences d'exploitation, les exigences opérationnelles, exigences fonctionnelles, exigences en matière de sécurité et de confidentialité, exigences relatives à l'intégrité et exigences relatives à la capacité et à l'extensibilité du système. Bien que des éléments de ces exigences existent dans divers documents de travail, il était difficile de rassembler l'information des différentes sources.

Ainsi, le plan de migration a été élaboré sans la complète compréhension des exigences techniques, fonctionnelles ou d'exploitation, que l'on retrouve normalement pour les projets de migration de système.

La conception et l'architecture du système manque de traçabilité

Le projet a eu plusieurs versions de la conception de solutions de haut niveau et de l'architecture logique de l'infrastructure ou du réseau dans le projet, un document de planification et de stratégie de relocalisation, des contrôles de sécurité prévus et d'appellation générale pour le nouvel environnement du SPGII, bien qu'ils contiennent de nombreuses hypothèses. En outre, l'architecture de système prévue actuellement pour le SPGII correspond généralement à l'architecture existante et semble répondre à ses besoins techniques.

Toutefois, il y a un manque de clarté et de traçabilité dans la façon dont les documents et les plans de conception et d'architecture tiennent compte des besoins définis, surtout parce qu'ils sont incomplets et que ces besoins ne sont pas suffisamment clairs. En raison de ce manque de clarté et de compréhension horizontale de la façon dont la solution conçue répondra aux besoins, INFC pourrait accuser d'autres retards dans la migration du système et éprouver de la difficulté à obtenir l'assurance raisonnable que l'infrastructure d'hébergement nouvellement conçue et mise en œuvre et les contrôles connexes conviennent au système ou répondent aux besoins d'INFC.

Recommandation 5 : La haute direction d'INFC doit élaborer plus avant et finaliser les exigences opérationnelles, fonctionnelles et du système pour la migration du SPGII, en veillant à ce que l'architecture et les contrôles prévus soient liés aux exigences définies.

Réponse de la direction à la recommandation 5 : La direction accepte cette recommandation. Trois mesures seront prises : GI-TI effectuera une vérification indépendante de la santé du projet afin d'examiner l'intégralité de la fonctionnalité opérationnelle d'INFC; elle s'assurera que les utilisateurs d'INFC effectuent une validation opérationnelle avant la période d'interruption (prévue pour le 14 août 2014). GI-TI procédera à la clôture du projet qui comprendra une matrice de traçabilité des exigences afin de veiller à ce que les besoins définis aient été satisfaits.

6 CONCLUSION

Dans l'ensemble, INFC a mis en place des processus et des procédures de gouvernance en vue de soutenir la gestion globale du projet de migration du SPGII. Le projet a été intégré au cadre de gouvernance du Ministère d'INFC. Malgré les retards, la plupart des éléments prévus d'un cadre de contrôle de la gestion de projet ont été mis en place. Les exigences techniques et les spécifications du système sont peu à peu élaborées et intégrées aux plans de mise en œuvre du système. Le calendrier de migration du SPGII a été retardé en raison de facteurs internes et externes et la gestion du projet prévoit que la migration sera terminée d'ici octobre 2014. Voici les domaines à améliorer :

  • Réévaluer les compétences des ressources et leur capacité interne en vue de réduire le risque de lacunes lors de la migration.
  • S'assurer que des analyses de rentabilisation sont élaborées pour les projets d'une telle envergure et d'une telle complexité à l'avenir, conformément à la politique d'INFC relative aux projets axés sur la TI.
  • Déterminer et définir les exigences en matière de sécurité selon la criticité et la sensibilité du système, et veiller à la mise en œuvre des contrôles appropriés et à leur communication officielle à SPC avant la migration du SPGII.
  • Valider les résultats et la fiabilité de l'évaluation des menaces et des risques que l'entrepreneur tiers doit effectuer sur le SPGII avant la migration.
  • Élaborer et finaliser les exigences opérationnelles, fonctionnelles et du système en vue de la migration du SPGII, en s'assurant que l'architecture et les contrôles prévus sont liés aux exigences définies.

La direction est d'accord avec les constatations et les recommandations de vérification. Elle a élaboré des plans d'action pour donner suite aux recommandations présentées dans le rapport.

7 ÉNONCÉ DE CONFORMITÉ

La vérification est conforme aux Normes internationales pour la pratique professionnelle de la vérification interne et aux Normes relatives à la vérification interne au sein du gouvernement du Canada, tel qu'en témoignent les résultats du programme d'assurance de la qualité et d'amélioration.

8 RÉPONSE DE LA DIRECTION ET PLAN D'ACTION

  Recommandation Plan d'action de la direction BPR ET DATE D'ÉCHÉANCE
1 La haute direction d'INFC doit réévaluer les compétences des ressources et la capacité des ressources internes afin de réduire le risque de lacunes au moment de la migration. La direction accepte cette recommandation. Deux mesures seront prises :
  1. La GI-TI élaborera un plan de dotation pour veiller à ce que les ressources de l'organisation aient la capacité et les compétences nécessaires pour soutenir les systèmes du SPGII pendant la phase qui suit la migration.
  2. La GI-TI effectuera une vérification indépendante de la santé du projet qui comprendra un examen du plan de dotation et de la préparation.
 DPI
  1. 18 juillet 2014
  2. 1er août 2014
2 La haute direction d'INFC doit s'assurer qu'à l'avenir, des analyses de rentabilisation sont élaborées pour les projets d'une telle envergure et d'une telle complexité, conformément à la politique d'INFC relative aux projets axés sur la TI. La direction accepte cette recommandation.
  1. Des analyses de rentabilisation ont été élaborées pour tous les projets de GI-TI, conformément à la politique d'INFC, à l'exception du projet de migration du SPGII. L'ensemble actuel de politiques liées aux GI-TI du Ministère sera examiné et mis à jour afin de contrer les risques liés aux projets dans le processus décisionnel et pour répondre aux exigences de l'analyse de rentabilisation pour tous les types de projets, y compris les projets obligatoires amorcés en relation aux priorités du gouvernement du Canada.
 DPI
  1. 31 mars 2015
3 La haute direction d'INFC doit déterminer et définir les exigences en matière de sécurité selon la criticité et la sensibilité du système, et s'assurer que les contrôles appropriés sont en place et officiellement communiqués à SPC avant la migration du SPGII. La direction accepte cette recommandation. Deux mesures seront prises :
  1. GI-TI documentera le profil de sécurité des systèmes du SPGII à l'aide des normes actuelles de sécurité du gouvernement et s'assurera que les exigences en matière de sécurité du SPGII sont communiquées à SPC.
  2. GI-TI prendra les mesures nécessaires pour assurer que les lacunes sont adéquatement comblées en vue du « lancement ».
 DPI
  1. 25 juillet 2014
  2. 26 septembre 2014
4 La haute direction d'INFC doit valider les résultats et la fiabilité de l'évaluation des menaces et des risques effectuée par l'entrepreneur tiers. La direction accepte cette recommandation. Deux mesures seront prises :
  1. Le fournisseur qui effectue l'évaluation des menaces et des risques fournira une attestation concernant l'indépendance de son équipe de sécurité en préparant l'évaluation des menaces et des risques pour les systèmes du SPGII.
  2. De plus, la GI-TI effectuera une vérification et une validation indépendantes de l'évaluation des menaces et des risques des systèmes du SPGII.
 DPI
  1. 14 août 2014
  2. 28 novembre 2014
5 La haute direction d'INFC doit élaborer plus avant et finaliser les exigences opérationnelles, fonctionnelles et du système pour la migration du SPGII, en veillant à ce que l'architecture et les contrôles prévus soient liés aux exigences définies. La direction accepte cette recommandation. Trois mesures seront prises :
  1. GI-TI effectuera une évaluation indépendante de la santé du projet afin d'examiner l'intégralité de la fonctionnalité opérationnelle d'INFC.
  2. GI-TI veillera à ce que les utilisateurs d'INFC effectuent une validation opérationnelle avant la période d'interruption (prévue pour le 14 août 2014).
  3. GI-TI procédera à la clôture du projet qui comprendra une matrice de traçabilité des exigences afin de veiller à ce que les besoins définis aient été satisfaits.
 DPI
  1. 1er août 2014
  2. 14 août 2014
  3. 28 novembre 2014

ANNEXE A : Critères de vérification

I. Gouvernance

Le personnel ou l'équipe de gestion de la migration et du projet du SPGII d'INFC ont établi une gouvernance adéquate du projet pour assurer que le projet est bien défini et approuvé par la haute direction et que les ressources techniques et opérationnelles sont affectées. Les procédures de gouvernance sont en place et conçues pour tenir la direction informée des progrès de la migration.

II. Gestion du projet

INFC a établi une gestion de projet proportionnelle à l'envergure, à la complexité et aux exigences politiques connexes du projet du gouvernement du Canada et du Ministère. Les contrôles de gestion du projet assurent une surveillance adéquate du projet (sur le plan financier, du respect des échéances, etc.), l'engagement approprié des intervenants, l'évaluation itérative des risques, le suivi des problèmes et le renvoi à un échelon supérieur des problèmes non résolus au besoin.

III. Conception de la solution et processus opérationnels

INFC a établi et défini les exigences en matière de solution et de système qui décrivent les caractéristiques précises du système et les processus opérationnels. La conception détaillée de la solution à utiliser par les partenaires et les développeurs est terminée et prête pour la phase d'exécution/de mise en œuvre.

Date de modification :