Audit de la Gestion des Systèmes de TI Vieillissants
Présenté au Comité ministériel d’audit (CMA)
10 avril 2019
SOMMAIRE
Introduction
Le Plan stratégique du gouvernement du Canada (GC) pour la gestion de l’information et la technologie de l’information de 2017 à 2021 établit la direction de la gestion de l’information (GI) et de la technologie de l’information (TI) pour le gouvernement du Canada, et décrit les priorités pangouvernementales et les principales activités pour tous les ministères fédéraux. Ce document est central aux processus de planification ministériels de la gestion et de la technologie de l’information (GTI).
Chaque ministère fédéral utilise son propre système de GI et de TI, et travaille à remplir son propre mandat. Selon le Plan stratégique 2017-2021 du GC pour la GI/TI, ce cloisonnement crée beaucoup de problèmes dans l’ensemble de l’administration. Le Plan stratégique du GC pour la GI/TI vise à résoudre ces problèmes en utilisant une approche globale ou organisationnelle, et en répondant à des éléments fondamentaux, notamment la durabilité de la GI/TI et le vieillissement de la TI. Dans ce contexte, le vieillissement de la TI fait référence aux problèmes rencontrés par le gouvernement fédéral et, en particulier, par les ministères qui affectent la durabilité des systèmes de TI à long terme, par exemple, la disponibilité de l’assistance pour les logiciels et le matériel informatique, ainsi que les ressources ayant les compétences et les connaissances requises pour maintenir ses systèmes fonctionnels.
Ressources naturelles Canada (RNCan) est un organisme scientifique qui utilise ses connaissances pour livrer son mandat qui est de renforcer la mise en valeur et l’utilisation responsable des ressources naturelles du Canada, de même que la compétitivité des produits des ressources naturelles du pays. Pour livrer son mandat, RNCan dépend beaucoup de différents systèmes et processus de TI, lesquels font principalement l’objet d’une gestion décentralisée dans ses secteurs avec des bureaux régionaux et des laboratoires un peu partout au pays. Le Ministère dépense environ 50 millions de dollars chaque année dans la TI de ses secteurs.
La Direction du dirigeant principal de l’information et de la sécurité (DDPIS), au sein du Secteur de la gestion et des services intégrés (SGSI), a élaboré une version préliminaire de la stratégie de GTI 2017-2021. Cette stratégie fait état que l’approche décentralisée de gestion de la GTI a créé un environnement très complexe, très large, fragmenté, vulnérable, dispendieux et aujourd’hui trop coûteux ou non durable. Elle contient une description détaillée de l’état de la TI dans cinq domaines, ainsi qu’un plan sur la façon dont la DDPIS pourrait transformer ces domaines, y compris l’adoption d’une approche horizontale qui tient compte des besoins d’une approche globale ou organisationnelle dans la prise de décisions relatives à la GTI, et la résolution des problèmes sous-jacents, notamment le vieillissement de la TI, un problème majeur. La stratégie de GTI n’a pas encore été approuvée, mais a fait l’objet de discussions lors des réunions du comité de gouvernance de la TI, et ces discussions ont mené à l’initiative de transformation de la GTI. Par conséquent, le contenu de cette stratégie est jugé pertinent.
De plus, RNCan dépend de Services partagés Canada (SPC) pour livrer et gérer des solutions d’infrastructure, car RNCan a jugé que l’infrastructure était en fin de vie et n’était plus durable. La DDPIS considère l’aide de SPC primordiale à l’exécution des services et des solutions pour résoudre les problèmes susmentionnés. Dans son Plan pour la TI 2018-2021, RNCan indique que la DDPIS cherchera à travailler encore plus étroitement avec SPC, faisant d’eux des partenaires essentiels à la transformation de la GTI, y compris les solutions au vieillissement des systèmes de TI.
L’objectif de l’audit était d’évaluer l’adéquation et l’efficacité du processus de gestion des systèmes de TI vieillissants de RNCan.
Compte tenu de l’importance d’une gestion stratégique de la TI vieillissante, cet audit a été intégré au plan d’audit axé sur les risques de 2018-2021, approuvé par le sous-ministre le 12 avril 2018.
Points forts
Le Ministère a établi une structure de gouvernance avec des rôles et des responsabilités définis ainsi qu’un niveau approprié de représentation de tous les secteurs. La structure de gouvernance permet de traiter les problèmes et les risques du vieillissement des systèmes de TI.
Le Plan pour la TI 2018-2021 de RNCan, lequel incorpore à ses priorités liées à la TI des initiatives pour trouver des solutions au vieillissement des systèmes de TI, comprend des directives du Cadre ministériel des résultats et du Plan stratégique du GC pour la GI/TI. De plus, une fois déterminées, les décisions d’investissement pour résoudre le vieillissement de la TI ont été approuvées et classées par priorité au moyen du processus annuel de planification des investissements dans la TI. Le processus de planification des investissements dans la TI permet par ailleurs aux secteurs de définir leurs priorités selon leurs besoins, et on constate que des besoins et des projets concernant le vieillissement de la TI ont été intégrés au processus de planification.
Au moyen de l’outil de gestion du portefeuille d’applications (GPA) et des initiatives de la DDPIS pour améliorer la qualité de l’information interne, la DDPIS dispose de la plupart des analyses de données dont elle a besoin pour mesurer et faire état de la TI vieillissante pour les applications ministérielles.
Domaines à améliorer
Il existe bien une structure de gouvernance, mais elle n’est pas utilisée à son plein potentiel pour gérer efficacement les systèmes de TI vieillissants. Il existe des possibilités de renforcer davantage le rôle du Comité de gestion et de technologie de l’information (CGTI) pour qu’il discute plus régulièrement des problèmes liés aux systèmes de TI vieillissants, clarifie les rôles et les responsabilités en lien avec les systèmes de TI vieillissants, et établisse des mesures de performance pour surveiller et faire état des progrès du Ministère dans son traitement des risques liés aux systèmes de TI vieillissants.
La liste des besoins en lien avec le vieillissement de la TI définie dans le plan de TI n’est peut-être pas complète en raison du manque d’orientation et de rapport stratégiques officiels de la part de RNCan au sujet du vieillissement de la TI pour définir ces besoins selon une approche normalisée. De plus, peu ou pas d’information au sujet des indicateurs de santé du portefeuille d’applications des secteurs, lesquels permettraient de cerner les problèmes des systèmes de TI vieillissants, n’a été fournie pour éclairer les décisions concernant les priorités de RNCan.
Les mesures et les objectifs de performance des systèmes de TI vieillissants de RNCan sont limités, ce qui nuit à sa capacité à trouver des solutions efficaces au vieillissement des systèmes de TI. Par ailleurs, il n’existe aucun processus officiel pour évaluer l’environnement vieillissant de la TI, ce qui aiderait la haute direction de RNCan à gérer son portefeuille d’applications. Enfin, il y a des rapports ponctuels sur la santé du portefeuille d’applications à partir du tableau de bord de survol de la santé du portefeuille d’applications, mais ces rapports et la surveillance de la santé ne sont pas réguliers.
Conclusion de l’audit interne et opinion
À mon avis, le Ministère a réalisé certains progrès en établissant des processus de gouvernance et de planification pour gérer ses systèmes de TI vieillissants, mais il existe plusieurs possibilités d’amélioration de l’adéquation et de l’efficacité de ces processus. Je pense qu’adopter une approche proactive à la gestion des systèmes de TI vieillissants augmenterait l’efficacité des mesures d’atténuation des risques et des problèmes.
Énoncé de conformité
Selon mon jugement professionnel en tant que dirigeant principal de l’audit et de l’évaluation, je suis d’avis que l’audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.
Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit et de l’évaluation
19 mars 2019
Remerciements
L’équipe d’audit souhaiterait remercier les personnes qui ont participé à ce projet, en particulier les employés qui ont apporté leurs points de vue et leurs commentaires dans le cadre du présent audit.
Introduction
Le Plan stratégique du gouvernement du Canada (GC) pour la gestion de l’information et la technologie de l’information de 2017 à 2021 établit la direction de la gestion de l’information (GI) et de la technologie de l’information (TI) pour le gouvernement du Canada, et décrit les priorités pangouvernementales et les principales activités pour tous les ministères fédéraux. Ce document est central au processus de planification ministériel de la gestion et de la technologie de l’information (GTI). De plus, selon le plan stratégique du GC sur la TI, les ministères doivent établir la priorité de leurs investissements et initiatives et faire preuve de leur harmonisation avec l’orientation organisationnelle adoptée par le GC.
Chaque ministère fédéral utilise son propre système de GI et de TI, et travaille à remplir son propre mandat. Selon le plan stratégique 2017-2021 du GC pour la GI/TI, le cloisonnement entraîne sans cesse beaucoup de problèmes au sein de l’administration avec notamment la duplication de plateformes, l’incompatibilité des systèmes et des modèles de données et l’incohérence de l’exécution des services. Le plan stratégique du GC pour la GI/TI vise à résoudre ces problèmes en utilisant une approche globale ou organisationnelle, et en répondant à des éléments fondamentaux, notamment la durabilité de la GI/TI et le vieillissement de la TI. Dans ce contente, le vieillissement de la TI fait référence aux problèmes rencontrés par le gouvernement fédéral et, en particulier, par les ministères qui affectent la durabilité des systèmes de TI à long terme, par exemple, la disponibilité de l’assistance pour les logiciels et le matériel informatique, ainsi que les ressources ayant les compétences et les connaissances requises pour maintenir ses systèmes fonctionnels.
Ressources naturelles Canada (RNCan) est un organisme scientifique qui utilise ses connaissances pour livrer son mandat qui est de renforcer la mise en valeur et l’utilisation responsable des ressources naturelles du Canada, de même que la compétitivité des produits des ressources naturelles du pays. De plus, RNCan joue un rôle important dans la gestion des dangers, notamment les tremblements de terre, les feux de forêt et les inondations. Par conséquent, RNCan dépend beaucoup de différents systèmes et processus de TI, lesquels font principalement l’objet d’une gestion décentralisée dans ses secteurs avec des bureaux régionaux et des laboratoires un peu partout au pays. Le Ministère dépense au total environ 50 millions de dollars chaque année dans la TI de ses secteurs.
La Direction du dirigeant principal de l’information et de la sécurité (DDPIS), au sein du secteur de la gestion et des services intégrés (SGSI), a élaboré une version préliminaire de la stratégie de GTI 2017-2021. Cette version préliminaire de la stratégie de GTI fait état que l’approche décentralisée de gestion de la GTI donne un environnement très complexe, très large, fragmenté, vulnérable, dispendieux et aujourd’hui trop coûteux ou non durable. Elle contient une description détaillée de l’état actuel de la TI dans cinq domaines : infrastructure; applications; information; ressources; gouvernance. La stratégie contient une description de la façon dont la DDPIS prévoit transformer ces domaines, y compris l’abandon d’une approche verticale ou sectorielle adoptée depuis longtemps sur la manière dont les investissements ministériels en GTI doivent être gouvernés pour la remplacer par une approche horizontale qui prend en compte les besoins organisationnels ou de l’ensemble du Ministère en lien avec les décisions relatives à la GTI, et qui traite les problèmes sous-jacents, notamment le problème important du vieillissement des systèmes de TI. La stratégie de GTI n’a pas encore été approuvée, mais a fait l’objet de discussions lors des réunions du comité de gouvernance de la TI, et ces discussions ont mené à l’initiative de transformation de la GTI. Par conséquent, le contenu de cette stratégie est jugé pertinent.
De plus, RNCan dépend de Services partagés Canada (SPC) pour livrer et gérer des solutions d’infrastructure, car RNCan a jugé que l’infrastructure en fin de vie et n’était plus durable. Plus particulièrement, dans la version préliminaire de sa stratégie de GTI 2017-2022, la DDPIS indique qu’il y a peu de planification de durabilité des plateformes d’infrastructure de TI et qu’elle doit régulièrement composer avec la détérioration progressive de l’équipement, les problèmes de performance du réseau, le manque d’espace de stockage, ou une combinaison de ces facteurs. La DDPIS considère l’aide de SPC primordial à l’exécution des services et des solutions pour résoudre les problèmes susmentionnés. Dans son Plan pour la TI 2018-2021, RNCan indique que la DDPIS cherchera à travailler encore plus étroitement avec SPC, faisant d’eux des partenaires essentiels à la transformation de ses GTI, y compris les solutions au vieillissement de la TI.
Cet audit a été intégré au Plan d’audit axé sur les risques de 2018-2021, approuvé par le sous-ministre le 12 avril 2018.
But et objectifs de l’audit
L’objectif de l’audit était d’évaluer l’adéquation et l’efficacité du processus de gestion des systèmes de TI vieillissants de RNCan. Plus précisément, l’audit a servi à évaluer si :
- La structure de gouvernance actuelle comporte des rôles et des responsabilités clairement définis, et assure la surveillance et offre son soutien en ce qui concerne le vieillissement de la TI et « l’approche organisationnelle » adoptée par RNCan;
- La version préliminaire de la stratégie de GTI de RNCan et le Plan de TI contiennent les priorités du Ministère concernant le vieillissement de la TI, concordent avec les besoins opérationnels de RNCan, et incluent des besoins en ressources pour réussir la mise en œuvre;
- RNCan a des résultats de performance valides et un mécanisme de production de rapports et d’examen interne en lien avec les systèmes de TI vieillissants pour donner aux décideurs des renseignements exacts, rapides et fondés sur des données probantes lors de la production de rapports sur la progression et les réalisations.
Facteurs pris en considération lors de l’audit
Une approche axée sur le risque a été utilisée pour établir les objectifs, le champ d’application et la démarche pour cette mission d’audit. Les domaines suivants sont considérés comme importants pour l’efficacité de la gestion des systèmes de TI vieillissants du Ministère, et ont donc fait l’objet d’une évaluation en tant que domaines de risques accrus dans cet audit :
- Surveillance assurée par les structures actuelles de gouvernance pour contribuer aux décisions concernant le vieillissement de la TI;
- Définition, délimitation et communication des rôles et responsabilités concernant le vieillissement de la TI;
- Élaboration d’un plan sur le vieillissement de la TI pour établir l’orientation stratégique ministérielle globale et les priorités pour les systèmes de TI vieillissants, y compris les capacités et le modèle de financement.
Portée
Le champ d’application de cet audit comprend l’examen de la version préliminaire de la stratégie de GTI et du plan de TI du Ministère; les plans opérationnels; les structures et mécanismes de gouvernance; les principaux projets de modernisation pour résoudre les problèmes de fin de vie; et les principaux indicateurs de performance utilisés dans les rapports sur les progrès.
L’équipe d’audit s’est concentrée sur le Secteur de la gestion et des services intégrés (SGSI) et a réalisé un examen limité des processus et évaluations faits dans chaque secteur clé au sujet de la définition et de la gestion des risques et des priorités en lien avec le vieillissement de la TI, et de la manière dont ces renseignements ont été utilisés pour établir les priorités concernant le vieillissement de la TI dans l’ensemble du Ministère. Le Service canadien des forêts (SCF), le Secteur de l’innovation et de la technologie énergétique (SITE), le Secteur des minéraux et des métaux (SMM), le Secteur de l’énergie (SE) et le Secteur de la politique stratégique et des résultats (SPSR) (Centre canadien de cartographie et d’observation de la Terre) font partie des secteurs examinés.
L’audit porte principalement sur les activités et les documents pertinents de janvier 2018 à décembre 2018
L’audit porte aussi les communications entre SPC et RNCan au sujet de la détermination et de la gestion des priorités concernant le vieillissement de la TI; par contre, l’audit ne contient pas un examen direct des activités de SPC ni de sa façon de gérer les priorités de RNCan concernant le vieillissement de la TI.
L’équipe d’audit a tenu compte de l’audit 2016 sur la gouvernance de la technologie de l’information dans son travail d’évaluation de la gouvernance dans cet audit sur le vieillissement de la TI.
Approche et méthode
Dans leur approche et méthodologie, l’équipe a suivi les normes internationales d’audit interne professionnel de l’Institut des auditeurs internes et à la politique d’audit interne du gouvernement du Canada. Selon ces normes, l’audit doit être planifié et réalisé de manière à obtenir une assurance raisonnable que les objectifs de l’audit sont atteints. L’audit renferme des tests, jugés nécessaires pour obtenir cette assurance. Les auditeurs internes ont réalisé l’audit en toute indépendance et objectivité, conformément aux normes internationales d’audit interne professionnel de l’Institut des auditeurs internes. Les auditeurs ont accompli les tâches principales suivantes :
- Rencontre du personnel clé concernant les initiatives du Ministère pour traiter le vieillissement de la TI;
- Examen des principaux documents, notamment la version préliminaire de la stratégie de GTI 2017-2021 de RNCan, le Plan pour la TI 2018-2021, les structures de comité concernant le vieillissement de la TI, les procès-verbaux des réunions, et les politiques et directives pertinentes;
- Examen détaillé des documents sur la planification, le suivi du performance, et les rapports sur les activités concernant le vieillissement de la TI.
La phase de réalisation de cet audit a été essentiellement terminée en décembre 2018.
Critères
Veuillez consulter l’annexe A pour connaître les détails sur les critères de l’audit. Les critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l’audit.
Constatations et recommandations
Processus de gouvernance
Constatation générale
RNCan a établi et mis en œuvre des processus de gouvernance pour la gestion de ses activités de GTI, notamment concernant ses systèmes de TI vieillissants. Les rôles et responsabilités du dirigeant principal de l’information (DPI) concernant les systèmes de TI vieillissants sont bien définis, ce qui n’est pas le cas pour les comités de gouvernance et les secteurs. De plus, les rôles et responsabilités en lien avec les systèmes de TI vieillissants sont difficiles d’accès et éparpillés dans différentes directives, normes et présentations de RNCan. Les secteurs ont par ailleurs reçu peu d’information et comprennent donc mal leurs rôles et responsabilités concernant les problèmes et les risques liés aux systèmes de TI vieillissants.
Observations pertinentes
Une structure de gouvernance qui définit clairement les rôles et responsabilités et assure la surveillance et offre son soutien en ce qui concerne le vieillissement de la TI permet d’utiliser les synergies et de traiter efficacement la gestion des risques ministériels associés au vieillissement de la TI. L’audit vise à déterminer si la structure de gouvernance actuelle de RNCan et les organismes de surveillance de la TI permettent de gérer efficacement les risques ministériels associés au vieillissement de la TI. De plus, l’équipe de l’audit a vérifié si les rôles et responsabilités en lien avec le vieillissement de la TI de la DDPIS et des secteurs étaient clairement définis, communiqués et compris pour leur permettre d’assurer une supervision adéquate.
Comités ministériels de gouvernance de la GI/TI
RNCan a actuellement deux principaux comités de gouvernance pour la gestion des systèmes de TI : le Comité de la transformation opérationnelle (CTO) à l’échelon du SMA, et le Comité de la gestion et de la technologie de l’information (CGTI), au palier du DG avec tous les secteurs représentés. Un troisième comité est en voie d’être mis en place, le Conseil d’examen de l’architecture (CEA), anciennement le Comité d’examen de l’architecture (du même sigle). Ce conseil fera rapport au CGTI et sera responsable de l’architecture, des systèmes et des solutions organisationnels de GI et TI. Le mandat de ce conseil lui donne plus d’autorité sur l’architecture organisationnelle que l’ancien CEA.
Le mandat du CTO est de faire avancer les résultats ministériels, et l’un des domaines d’intérêt est d’améliorer l’utilisation de la GI/TI pour améliorer la performance globale de RNCan. Le mandat guide le CGTI pour s’assurer que les activités de transformation concordent avec les priorités stratégiques de RNCan. Il assure également la supervision de l’efficacité et de la durabilité des nombreuses initiatives pangouvernementales et internes de RNCan, notamment les projets ministériels de GI/TI.
Le mandat du CGTI est de superviser et diriger les services de GTI pour assurer une exécution efficace et efficiente à l’appui du mandat du Ministère et de l’atteinte de ses objectifs stratégiques. Il sert aussi d’organisme décisionnel pour les initiatives, produits ou questions opérationnels, et fournit un forum pour l’échange de renseignements intersectoriels. Parmi ses principales responsabilités, le Comité doit examiner et recommander au DPI et à la SMA du SGSI des stratégies de GTI, des plans d’investissement pluriannuels priorisés, des portefeuilles de dépenses annuelles, et des critères de mesure de performance en lien avec la GTI.
Lors de l’examen des procès-verbaux des réunions du CTO et du CGTI, l’équipe d’audit a trouvé peu de discussions sur les problèmes liés au vieillissement de la TI, et ces discussions portaient sur des projets en cours et non pas sur des rapports réguliers au sujet des risques et des indicateurs de santé liés au vieillissement de la TI ministériels. Par exemple, il y a eu des discussions au sujet du projet de renouvellement de la plateforme Linux vieillissante, du projet d’optimisation du réseau, et de la santé du portefeuille d’applications. Selon les procès-verbaux des réunions du CGTI, il y a des mises à jour et des discussions ponctuelles sur les problèmes liés au vieillissement de la TI, notamment sur l’infrastructure de la TI, le matériel de la TI au-delà de leur durée de vie utile, et la convenance du financement actuel des solutions aux problèmes du vieillissement de la TI.
Contrôle des systèmes de TI vieillissants
La TI fait l’objet de deux paliers de rôles et de responsabilités. SPC est responsable d’une partie du réseau/de l’infrastructure, et RNCan est responsable de l’infrastructure du réseau scientifique ainsi que de la gestion et de la maintenance des applications. Les rôles et les responsabilités des comités de gouvernance de la TI sont définis en détail dans le mandat; par contre, l’équipe d’audit n’a trouvé aucune mention des systèmes de TI vieillissants dans ces rôles et responsabilités. Les directeurs généraux (DG) représentants des secteurs ont comme responsabilité de représenter les intérêts du secteur au CGTI et, dans le cadre du processus de planification des investissements dans la TI, chaque secteur doit fournir à la DDPIS une liste de ses projets en cours/à venir concernant la TI, et coter chaque projet par rapport au cadre d’établissement des priorités de RNCan. Les rencontres du personnel des secteurs ont aussi permis de constater que les rôles et responsabilités concernant les systèmes de TI vieillissants de la DDPIS et des secteurs ne sont pas clairement définis. Il y a eu des discussions sur les rôles et responsabilités, mais rien d’officiel n’a été communiqué.
De plus, dans le cadre de l’initiative de transformation de la GTI, un tableau sur la responsabilité, l’imputabilité, la consultation et l’information (RICI) a été créé pour déterminer les personnes qui sont responsables, imputables, consultées et informées dans plusieurs domaines décisionnels concernant la GTI. L’audit a permis de constater que le vieillissement de la TI n’était clairement défini dans aucun des domaines décisionnels. De plus, dans le cadre de cette initiative, les ententes d’exécution des services entre la DDPIS et les secteurs sont en cours d’élaboration; elles serviront à mieux définir leurs rôles et responsabilités. Par contre, rien n’indique que les rôles et responsabilités concernant les systèmes de TI vieillissants seront définis.
Risques et Répercussions
L’absence d’une définition claire des rôles et des responsabilités concernant la gestion des systèmes de TI vieillissants peut rendre impossible la définition et la communication d’importants problèmes et risques liés aux systèmes de TI vieillissants, ce qui empêche les décideurs de tout contrôler. Cette lacune peut aussi entraîner la défaillance des systèmes de TI vieillissants ou des applications, ce qui nuirait aux activités de RNCan.
En raison de leur importance, les problèmes et risques liés aux systèmes de TI vieillissants doivent faire l’objet d’une supervision et de rapports réguliers. De plus, l’absence d’un mandat clair sur le traitement des systèmes de TI vieillissants pour les comités de gouvernance de la TI risque de mettre les projets concernant le vieillissement de la TI de côté, ce qui nuirait à la capacité de la haute direction de prendre des décisions éclairées concernant les systèmes de TI vieillissants et de trouver des synergies pour gérer efficacement les problèmes et les risques liés à ces systèmes.
Recommandations
Recommandation 1 : On recommande que les présidents du CGTI : assurent une discussion régulière des problèmes et risques liés aux systèmes de TI vieillissants; mettent en place un processus pour évaluer les progrès réalisés dans le traitement des problèmes et risques liés aux systèmes de TI vieillissants; et présentent les résultats d’évaluation au comité de la transformation opérationnelle (CTO).
Recommandation 2 : On recommande que la SMA du SGSI, en collaboration avec les SMA des secteurs, documente clairement les rôles et responsabilités en lien avec les systèmes de TI vieillissants, y compris la délimitation entre la DDPIS, les secteurs et SPC. Il convient de communiquer cette clarification à tous les intervenants.
Réponse et Plan D’action de la Direction
La direction est en accord avec la Recommandation 1.
Dans le cadre de l’initiative de transformation de la GTI, des ententes d’exécution sectorielle (EES) seront définies pour chaque secteur et approuvées par les SMA des secteurs et le DPI (coprésident du CGTI). Ces EES seront basées sur les données de GPA pour établir l’état de vieillissement des systèmes. Les EES contiendront aussi un plan d’action pour mettre à niveau ou hors service les systèmes, et les résultats seront présentés tous les trimestres. Les problèmes, risques et conditions liés au vieillissement de la TI seront présentés au CGTI et au CTO.
Échéancier : 30 juin 2019
La direction est en accord avec la Recommandation 2.
Dans le cadre de l’initiative de transformation de la GTI, les rôles et responsabilités de la DDPIS, des secteurs et de SPC seront clarifiés et documentés, y compris ceux en lien avec le vieillissement de la TI.
De plus, à partir de la gouvernance renouvelée de la GTI de RNCan, le Comité des activités de TI a été mis en place; celui-ci fera rapport au CGTI et travaillera sur les politiques, la planification et les processus horizontaux en lien avec la TI. Cela comprend l’exécution de service de GTI dans l’ensemble du Ministère, et la relation entre la DDPIS et les secteurs. Le DPI s’assurera que des objectifs de performance de la TI sont définis pour chaque secteur, et les secteurs seront responsables de ces objectifs. La performance pour atteindre ces objectifs sera mesurée tous les trimestres.
Échéancier : 31 mars 2020
Priorités Concernant le Vieillissement de la Ti
Constatation générale
Le Plan pour la TI 2018-2021 de RNCan, lequel incorpore à ses priorités de TI des initiatives pour traiter le vieillissement de la TI, comprend des directives du Cadre ministériel des résultats et du Plan stratégique du GC pour la GI/TI. De plus, les décisions d’investissement dans les systèmes de TI vieillissants ont été approuvées, classées par priorité et coordonnées selon le processus annuel de planification des investissements dans la TI. Par contre, les projets sur la TI vieillissante mentionnés dans le Plan de la TI ne constituent pas une liste complète des besoins réels en raison du manque d’orientation stratégique et de rapports officiels de la part de RNCan au sujet du vieillissement de la TI pour définir ces besoins selon une approche normalisée. En outre, peu d’information au sujet des indicateurs de santé du portefeuille d’applications des secteurs, lesquels permettraient de cerner les problèmes des systèmes de TI vieillissants, n’a été fournie pour éclairer les décisions concernant les priorités de RNCan.
Observations pertinentes
AUne définition claire des priorités du Ministère concernant le vieillissement de la TI, conformément aux besoins opérationnels de RNCan et qui comprennent les ressources requises, assure la mise en œuvre d’initiatives en lien avec le vieillissement de la TI. L’équipe d’audit a cherché à déterminer si les besoins liés au vieillissement de la TI ont été établis et convenus en consultant tous les secteurs pertinents au sein de RNCan. L’équipe d’audit a aussi voulu vérifier si des éléments en lien avec le vieillissement de la TI ont été élaborés conformément aux documents de planification ministérielle de RNCan. Enfin, l’équipe d’audit s’attendait à voir un processus établi pour assurer l’approbation, le classement par priorité et la coordination des décisions relatives à l’investissement dans les systèmes de TI vieillissants, ainsi que pour assurer l’obtention des ressources requises et la mise en œuvre.
Besoins en lien avec le vieillissement de la TI dans la planification annuelle de la TI
RNCan n’a pas élaboré de plan pour traiter le vieillissement de la TI, mais le vieillissement de la TI fait partie de son Plan de TI et de la version préliminaire de la stratégie de GTI. Les besoins en lien avec le vieillissement de la TI sont définis à partir du système de GPA, lequel est mis à jour régulièrement avec des renseignements provenant de tous les secteurs en réponse à une demande annuelle de GPA, gérée par le champion de la GPA à la DDPIS. La demande de GPA porte notamment sur l’évaluation des applications ayant peu de valeur opérationnelle, la validation des applications à supprimer, les cotes de valeur opérationnelle et technique, et les éléments critiques à la mission. Cette demande sert à mettre à jour la cote d’évaluation du vieillissement de la TI (action immédiate requise, attention requise, attention minimale requise, aucune attention requise, pas évaluée) et la cote T.I.M.E. (tolérance, investissement, migration, élimination).
Le processus annuel de planification des investissements dans la TI, lequel sert à élaborer le Plan de TI de RNCan, permet aux secteurs de déterminer les priorités selon leurs besoins. L’équipe d’audit a trouvé des preuves d’intégration des besoins et des projets concernant le vieillissement de la TI dans le processus de planification. Par exemple, le cadre d’établissement des priorités comprend un élément en lien avec la réduction des risques opérationnels, lequel inclut les risques cybernétiques et du vieillissement de la TI. De plus, les projets dans lesquels le vieillissement de la TI est considéré comme un élément fondamental sont identifiés ainsi. Lors des rencontres avec les secteurs, l’équipe d’audit a remarqué qu’il existait des possibilités pour définir les besoins et les projets en lien avec le vieillissement de la TI dans le cadre du processus de planification des investissements dans la TI. Par contre, en raison de l’absence d’orientation officielle au sujet du vieillissement de la TI pour guider les secteurs, peu ou pas de projets concernant le vieillissement de la TI sont identifiés par les secteurs en dehors de la DDPIS. Une orientation officielle concernant le vieillissement de la TI pourrait prendre la forme d’indicateurs clés de performance que les secteurs devraient respecter (p. ex., indicateur en % de la santé du portefeuille d’applications pour les applications) ou d’une orientation ou d’objectifs clairs pour la mise hors service en temps voulu des applications cotées « élimination » selon la cote T.I.M.E. De plus, le message global transmis par les secteurs à l’équipe d’audit était que leur travail est de gérer leurs programmes et activités scientifiques, et non pas de gérer le vieillissement de la TI.
Pour harmoniser la TI avec les besoins opérationnels de RNCan et l’orientation du GC, RNCan utilise le processus de planification des investissements dans la TI comme base pour déterminer les projets de TI prioritaires, définis par les secteurs. Le Plan pour la TI 2018-2021 de RNCan a atteint ses priorités stratégiques en étant axé sur la réduction des risques (vieillissement de la TI et cybernétique, notamment), et en définissant les orientations stratégiques de RNCan et du GC et la façon dont la DDPIS est harmonisée à ces orientations. Le Plan pour la TI 2018-2021 de RNCan compte cinq domaines centraux sur lesquels on concentrera la TI. L’équipe d’audit a constaté que les priorités ne faisaient pas directement référence au vieillissement de la TI, mais trois des priorités accordaient une grande importance à la résolution des problèmes de vieillissement de la TI. Ces priorités augmentent la résilience cybernétique de RNCan, la mise en œuvre des solutions organisationnelles, et le renouvellement de l’infrastructure de TI.
Le nouveau Cadre ministériel des résultats favorise l’horizontalité dans l’ensemble des politiques et programmes liés aux ressources naturelles, et établit les résultats escomptés des programmes ministériels. Le Plan pour la TI 2018-2021 de RNCan décrit comment les priorités en matière de TI, y compris le vieillissement de la TI, concordent avec ces résultats ministériels. Par exemple, pour que le Ministère ait des outils pour protéger les Canadiens contre les dangers naturels et les explosifs, la DDPIS a cerné le renouvellement de l’infrastructure vieillissante de TI, le renouvellement du système sismique, et la migration de certains systèmes essentiels à la mission vers les centres de données achevées de SPC.
Décisions d’investissement concernant le vieillissement de la TI
RNCan a utilisé son processus annuel de planification des investissements dans la TI pour élaborer son Plan de TI, lequel comprend l’établissement des priorités des projets de TI. Ce processus vise à apporter une perspective organisationnelle de la TI dans l’ensemble du Ministère au moyen d’une structure et d’une approche communes de planification de la TI, harmonisée aux programmes et priorités des secteurs. Dans le cadre de ce processus, chaque secteur doit fournir à la DDPIS une liste de ses projets de TI en cours/à venir, et coter chaque projet par rapport au cadre d’établissement des priorités de RNCan. Les critères d’établissement des priorités procurent une approche de sélection uniforme lorsque les projets sont intégrés au Plan de TI de RNCan, et ils assurent l’harmonisation avec la stratégie du GC et les priorités opérationnelles de RNCan.
Pour le Plan pour la TI 2018-2021, chaque secteur a dressé une liste des projets prioritaires, et un atelier sur l’établissement des priorités du CGTI a eu lieu. L’atelier a réitéré les critères d’établissement des priorités de RNCan et les représentants au palier des DG de chaque secteur ont présenté leurs priorités. Cet exercice a mené à l’élaboration de la liste des grands projets du Plan de TI de RNCan. La liste des grands projets permet de savoir si un projet est financé, les dépenses prévues sur trois ans, et sa concordance avec les priorités de RNCan et du GC. Une sous-liste de priorités de projets d’infrastructure pour RNCan est aussi préparée. Cette liste est envoyée à SPC, car ces projets doivent être approuvés et appuyés par ce dernier. Cette liste est dérivée des projets du processus de planification des investissements dans la TI et est soumise au sous-ministre avant de l’envoyer à SPC.
L’équipe d’audit a constaté que le Plan pour la TI 2018-2021 de RNCan, la version préliminaire de la stratégie de GTI/de transformation de la GTI 2017-2022 de RNCan, et le processus de planification des investissements dans la TI 2017-2018 et 2018-2019 ont tous été présentés et endossés par la haute direction par l’intermédiaire des comités de GTI et du CTO.
Par contre, pour le portefeuille d’applications, l’équipe d’audit n’a rien trouvé qui indique que l’évaluation du vieillissement de la TI et que la cote T.I.M.E. disponible à partir du système de GPA ont été utilisées dans le processus de planification des investissements dans la TI pour bien informer les décideurs. Sans le constat des vérifications de la santé des applications des systèmes dont ils sont responsables, les secteurs n’étaient pas en mesure de prendre des décisions éclairées en raison du manque de visibilité du contexte du vieillissement de la TI. De plus, la DDPIS ne connaît pas tous les coûts de propriété de tous les systèmes, ce qui aiderait à la prise de décisions concernant la gestion de la TI vieillissante. À titre de pratique exemplaire, les organismes doivent s’assurer que les renseignements concernant les coûts d’« utilisation » et de « maintenance » de leurs applications soient connus de l’organisme responsable de la gouvernance des applications pour bien gérer le portefeuille d’applications selon les risques.
L’équipe d’audit a aussi examiné les projets centraux sur le vieillissement de la TI pour voir s’ils ont été exécutés selon une approche planifiée et proactive. L’équipe d’audit a constaté des projets exécutés selon une approche réactive; voir la description ci-dessous.
Le premier projet évalué était le projet de mise hors service du serveur Microsoft Windows 2003 (Win2k3). La fin de vie originale de ces serveurs était prévue en juillet 2010 et les services de soutien technique ont pris fin en juillet 2015. SPC a subséquemment dû négocier une entente d’assistance distincte pour une année supplémentaire, car la mise hors service n’a pas commencé avant l’exercice financier 2016-2017. Le projet a tardé à commencer, mais la migration de Win2k3 a en fin de compte été une réussite, surtout en raison de la traction que le projet avait depuis qu’il a été dirigé par le Secrétariat du Conseil du Trésor (SCT) et en fonction des priorités de SPC dans l’ensemble du GC. Par contre, comme l’indique l’échéancier du projet par rapport à la date de fin de l’assistance, l’équipe d’audit a constaté que ce projet était réactif à une initiative pangouvernementale, et non pas une initiative proactive pour traiter les inquiétudes entourant le vieillissement de la TI.
Le deuxième projet examiné était le remplacement des serveurs Linux qui a commencé en 2018. Une défaillance critique d’un serveur Linux au milieu de 2015 au SCF a mené à l’examen de la définition des problèmes de fin de vie des serveurs Linux à RNCan. Par contre, rien d’autre n’a été fait par RNCan jusqu’à ce que SPC examine attentivement le réseau de RNCan dans le cadre du Plan d’action sur la cybersécurité 2017 (PACS). SPC a trouvé beaucoup de serveurs Linux, mais n’a pas pu déterminer le nombre exact de serveurs en raison de la complexité du réseau de RNCan. Cette constatation a mené au projet de remplacement des serveurs Linux vieillissants en 2018. Le SCF a accepté de diriger le projet et met actuellement à l’essai une approche qui pourrait servir aux autres secteurs. Selon le tableau de bord actuel de RNCan, 56 % des serveurs Linux de RNCan connus ont dépassé leur date de fin de vie, et 23 % des serveurs n’ont pas été évalués.
En décembre 2018, RNCan avait 645 applications actives dans ses réseaux. Le système de GPA complet contient 1000 applications (en production et en mise hors service). Ces dernières années, il y a eu plusieurs initiatives et examens pour déterminer l’état du portefeuille d’applications. En 2014-2015, RNCan a eu recours aux services d’un consultant externe pour faire une analyse comparative de la santé de son portefeuille d’applications en utilisant le cadre T.I.M.E. Cette analyse a servi à formuler une stratégie de haut niveau de rationalisation des applications portant sur l’amélioration de la valeur opérationnelle, la diminution des risques et des coûts dans l’ensemble du portefeuille d’applications, ce qui a été évalué à 553 applications au moment d’écrire ce rapport. Le rapport a fourni une analyse détaillée des applications et une feuille de route sur 2 à 5 ans du portefeuille d’applications pour consolider des applications personnalisées et redondantes. À ce moment, si l’approche proposée avait été appliquée, elle aurait entraîné la réduction de 262 applications. Lors des rencontres, l’équipe d’audit a appris qu’il n’y a pas eu de suivi au rapport et que RNCan n’a pas entièrement appliqué l’approche proposée.
Les projets Win2k3 et PACS ont tout de même mené à la mise hors service de beaucoup d’applications. Le projet Win2k3 a mené à la mise hors service d’environ 15 applications vieillissantes parce qu’il aurait sinon fallu beaucoup de travail et d’argent pour les transférer dans l’environnement Win2k8. Le projet PACS a, de son côté, mené à la mise hors service d’environ 25 applications en raison de leurs vulnérabilités/risques de sécurité. L’équipe d’audit a aussi constaté que le Plan de TI 2018 indiquait 160 applications mises hors service en 2017, et la planification de la mise hors service de 13 autres applications début 2018. En décembre 2018, ces 13 applications étaient toujours en service. Le système de GPA est plus complet qu’en 2015, et il y a de meilleurs indicateurs en place pour traiter les problèmes liés au vieillissement de la TI du portefeuille actuel d’applications, mais l’équipe d’audit n’a pas trouvé d’évaluation de la capacité des applications à migrer vers les centres de données achevés, y compris les services infonuagiques.
Risques et Répercussions
Le manque d’information sur les problèmes et les risques liés aux systèmes de TI vieillissants dans la version provisoire de la stratégie de GTI et du Plan de TI diminue l’efficacité des décisions d’investissement dans les systèmes et le matériel informatique en fin de vie essentiels aux activités de RNCan.
L’approche réactive actuelle de RNCan pour apporter des solutions aux problèmes et risques liés aux systèmes de TI vieillissants pourrait nuire à la planification des ressources qui ne couvre pas la santé d’ensemble du portefeuille d’applications.
Recommandation
Recommandation 3 : On recommande que la. SMA du SGSI et les SMA des secteurs s’accordent sur une stratégie pour trouver des solutions proactives aux problèmes des systèmes de TI vieillissants, laquelle pourrait inclure des indicateurs de performance pour mesurer les progrès réalisés dans l’atteinte des objectifs stratégiques du Plan de TI de RNCan.
Réponse et Plan D’action de la Direction
La direction est en accord avec la Recommandation 3.
Des EES seront élaborées pour chaque secteur et approuvées par les SMA des secteurs et le DPI, ce qui rendra la gestion du vieillissement de la TI plus proactive. Les résultats feront l’objet d’un suivi trimestriel.
De plus, RNCan mettra en place une architecture de portefeuilles de la GTI et l’un des portefeuilles portera sur la réduction des risques opérationnels, l’un des thèmes centraux du Plan de la TI 2019-2020. Un responsable pour ce volet sera nommé et celui-ci fera rapport au CGTI.
Échéancier : 31 mars 2020
Résultats de Performance
Constatation générale
Les mesures de performance des systèmes de TI vieillissants de RNCan sont limitées et ce Ministère n’a pas établi d’objectifs de performance, ce qui nuit à sa capacité à trouver des solutions efficaces au vieillissement des systèmes de TI. Par ailleurs, il n’existe aucun processus officiel pour évaluer l’environnement vieillissant de TI, ce qui aiderait la haute direction de RNCan à gérer son portefeuille d’applications. Enfin, il y a des rapports ponctuels sur la santé du portefeuille d’applications à partir du tableau de bord de survol de la santé du portefeuille d’applications, mais ces rapports et la surveillance de la santé ne sont pas réguliers.
Observations pertinentes
Des résultats de performance valides et un mécanisme de rapport et d’examen interne en lien avec les systèmes de TI vieillissants donneraient aux décideurs des renseignements exacts, actuels et fondés sur des données probantes lors de l’examen de la progression et des réalisations. L’équipe d’audit s’attendait à trouver en place des mesures et des cibles de performance concernant le vieillissement de la TI définies et approuvées pour assurer la validité, l’exactitude et la révision, au besoin, des indicateurs clés de performance. De plus, l’équipe d’audit s’attendait à voir un processus de surveillance de la performance en place pour évaluer la performance des systèmes de TI vieillissants.
Mesures et cibles de performance
L’équipe d’audit a confirmé auprès de la haute direction que les mesures et les cibles de performance n’ont pas été officiellement définies pour mesurer le vieillissement de la TI. La seule exception est l’évaluation du vieillissement de la TI et les autres cotes réalisées par le SCT, à partir des données fournies par RNCan et le système de GPA.
En 2015, un consultant externe a évalué le portefeuille d’applications de RNCan et a recommandé à RNCan d’établir des mesures de performance de la GPA pour améliorer l’efficacité et l’efficience, et aussi un processus de communication pour tenir les décideurs informés de la performance. Ces mesures de performances prendraient principalement la forme d’incitateurs du vieillissement de la TI. En particulier, le consultant externe a recommandé d’utiliser les données existantes et nouvelles de T.I.M.E. pour mesurer les changements au portefeuille au fil du temps, de les mesurer régulièrement pour cerner les tendances et définir des attentes de performance selon les mesures de performance. Au moment de l’audit, ces recommandations n’ont pas été appliquées.
Processus de gestion de performance et de production de rapports sur la performance
L’équipe d’audit a constaté qu’il n’y a pas de processus de gestion de performance autre que les indicateurs de vieillissement de la TI et T.I.M.E. disponibles dans le système de GPA. L’équipe d’audit n’a rien vu qui indiquait l’utilisation de ces indicateurs dans les prises de décisions concernant la santé du portefeuille d’applications.
L’équipe d’audit a trouvé peu de rapports/tableaux de bord ponctuels sur le vieillissement de la TI. Dans une présentation de RNCan à SPC au sujet des résultats de l’analyse des serveurs Linux, en novembre 2018, les indicateurs ont montré que des quelques 1000 dispositifs Linux identifiés, le pourcentage des serveurs en fin de vie était de 56 %, et 23 % de ces serveurs n’ont toujours pas été évalués. À la fin de la phase d’examen de l’audit, la présentation a été approuvée par la DDPIS, mais elle n’a pas encore été présentée au CGTI ni au CTO. De plus, les faits en bref de RNCan sur les mesures de GPA, présentés sur une page, ont été rédigés pour donner une vue d’ensemble de l’état des indicateurs de santé du portefeuille d’applications (ISPA) en juillet 2018. Ces documents d’une page ont été présentés de manière non-officielle à la direction de la DDPIS à titre informatif, mais ils n’ont pas été directement transmis aux comités de gouvernance de la TI ni aux secteurs et ils ne sont pas produits sur une base régulière.
Bien que l’équipe d’audit ait trouvé quelques rapports ponctuels d’ISPA, RNCan ne surveille pas activement le vieillissement de la TI et n’en fait pas état. À partir des renseignements du système de GPA, l’équipe d’audit a produit des tableaux centraux pour offrir à la haute direction une vue d’ensemble de la santé du portefeuille d’applications de RNCan en date de décembre 2018. Ces tableaux contribuent à la faisabilité de la création d’indicateurs de performance et de leur surveillance avec les données disponibles. L’annexe B contient des exemples de tableaux sur la santé du portefeuille d’applications de RNCan.
L’équipe d’audit a été informée à maintes reprises au cours des rencontres avec les secteurs qu’il y avait de gros problèmes de vieillissement et de fiabilité avec l’infrastructure actuelle de la TI à RNCan. De plus, selon la version préliminaire de la stratégie de GTI 2017 et le Plan de TI 2018, l’infrastructure de la TI présente d’importants risques liés au vieillissement. Par ailleurs, RNCan n’a actuellement pas une vue complète sur la santé de son infrastructure de TI. Il serait bon que RNCan obtienne auprès de SPC des rapports de performance sur l’infrastructure.
Risques et Répercussions
En l’absence de résultats de performance valides et d’un mécanisme de production de rapports et d’examen interne, les décideurs ne peuvent pas prendre des décisions éclairées sur le choix des meilleurs projets pour traiter les problèmes et les risques liés au vieillissement de la TI.
RNCan a déterminé les problèmes et les risques de l’infrastructure de la TI, mais n’a pas d’information sur la performance pour surveiller et évaluer l’environnement de l’infrastructure de la TI et pouvoir anticiper les risques potentiels de défaillance, ce qui pourrait beaucoup nuire à ses activités.
Sans une surveillance permanente des indicateurs de vieillissement de la TI, les décideurs ne peuvent pas évaluer les progrès réalisés par rapport à l’atteinte des objectifs définis ni apporter de correctifs, au besoin.
Recommandations
Recommandation 4 : On recommande que la SMA du SGSI, en collaboration avec les SMA des secteurs
- élabore un processus officiel pour évaluer l’environnement vieillissant de la TI afin de déterminer les indicateurs de performance utile à la direction dans sa surveillance de son portefeuille d’applications;
- produise et communique un rapport sommaire sur le portefeuille d’applications, et appliquer ses recommandations (p. ex., le nombre de systèmes appartenant au secteur; l’importance/la valeur opérationnelle des systèmes; l’évaluation du vieillissement des systèmes de TI et des risques; les principales observations/recommandations; le progrès vers l’atteinte des objectifs).
Recommandation 5 : On recommande que la SMA du SGSI travaille avec SPC pour améliorer la visibilité de la santé de l’infrastructure utile à RNCan pour comprendre l’exposition aux risques et éclairer les décisions.
Réponse et Plan D’action de la Direction
La direction est en accord avec la Recommandation 4.
- Le programme de GPA est renforcé en donnant aux secteurs la capacité à consulter et mettre à jour leurs renseignements d’application dans la base de données de GPA de RNCan, ce qui a pour but d’augmenter l’exactitude et la rapidité de transmission des données relatives aux applications, y compris le vieillissement de la TI.
Les données de GPA feront partie des EES, lesquelles comprendront aussi des indicateurs de performance concernant la TI vieillissante et seront approuvées par les SMA des secteurs et le DPI. Les résultats feront l’objet d’un suivi trimestriel. Les résultats de performance seront présentés au CGTI et au CTO.
Échéancier : 31 mars 2020
- Les éléments suivants figureront dans les EES :
- Nombre de systèmes appartenant à un secteur;
- Importance/valeur opérationnelle des systèmes;
- Évaluation du vieillissement des systèmes de TI, y compris les risques.
Les observations et recommandations centrales proviendront des réunions du SMA/DPI et feront l’objet d’un suivi dans le cadre du processus d’examen trimestriel des EES.
Échéancier : 30 septembre 2019
La direction est en accord avec la Recommandation 5.
RNCan travaillera avec SPC pour déterminer si SPC peut lui produire régulièrement un rapport sur l’état de vieillissement de l’infrastructure de la TI de RNCan (serveurs, etc.). Ces rapports seront présentés au CGTI et au CTO.
Échéancier : 31 mars 2020
ANNEXE A – Critères d’audit
Les critères d’audit ont été élaborés surtout à l’aide du cadre des objectifs de contrôle de l’information et des technologies connexes (COBIT) de l’Association des professionnels de la vérification et du contrôle des systèmes d’information (ISACA), ainsi que des politiques, procédures et directives connexes pertinentes du CT et de RNCan. Les critères ont guidé le travail sur place et servi de fondement à la conclusion globale de l’audit.
L’audit s’est effectué en fonction des critères suivants :
Sous-objectifs de l’audit | Critères d’audit |
---|---|
Sous-objectif 1 : La structure de gouvernance actuelle comporte des rôles et des responsabilités clairement définis, et assure la surveillance et offre son soutien en ce qui concerne le vieillissement de la TI et « l’approche organisationnelle » adoptée par RNCan. |
1.1 Une structure de gouvernance efficace et des organismes de supervision de la TI ont été mis en œuvre et ceux-ci permettent d’utiliser les synergies dans l’atténuation des risques du vieillissement de la TI et le traitement efficace des problèmes. |
1.2 Les rôles et responsabilités de la DDPIS, des secteurs de RNCan et de SPC concernant le vieillissement de la TI sont clairement définis, communiqués et permettent aux décideurs d’assurer une supervision. | |
Sous-objectif 2 : La stratégie de GTI et le plan de TI contiennent les priorités du Ministère concernant le vieillissement de la TI, concordent avec les besoins opérationnels de RNCan, et incluent des besoins en ressources pour réussir la mise en œuvre. |
2.1 Les besoins de la TI vieillissante dans la stratégie de GTI et le plan de TI ont été établis et approuvés à partir de consultations avec les secteurs pertinents de RNCan. |
2.2 Les éléments en lien avec le vieillissement de la TI dans la stratégie de GTI et le plan de TI ont été élaborés conformément aux documents de planification organisationnelle de RNCan. | |
2.3. Un processus a été établi pour assurer l’approbation, le classement par priorité et la coordination des décisions relatives à l’investissement dans les systèmes de TI vieillissants, ainsi que pour assurer les ressources requises et la mise en œuvre. | |
Sous-objectif 3 : RNCan a des résultats de performance valides et un mécanisme de rapport et d’examen interne en lien avec les systèmes de TI vieillissants pour donner aux décideurs des renseignements exacts, rapides et fondés sur des données probantes lors de la production de rapports sur la progression et les réalisations. |
3.1 Les bonnes mesures et cibles de performance en lien avec le vieillissement de la TI sont été définies et approuvées. |
3.2 Les systèmes et les procédures concernant le vieillissement de la TI sont en place pour assurer la validité, l’exactitude et la révision, au besoin, des indicateurs clés de performance. | |
3.3 Un processus de surveillance de la performance est en place pour évaluer la performance des systèmes de TI vieillissants. |
ANNEXE B – Évaluation des Systèmes de Ti Vieillissants
L’équipe d’audit a produit les exemples suivants de tableaux sur la santé du portefeuille d’applications de RNCan à partir du système de gestion du portefeuille d’applications de RNCan, en date de décembre 2018. Les deux premiers tableaux contiennent 645 applications actives.
Détails de la page
- Date de modification :