Language selection

Recherche


Audit de l’architecture d’entreprise des TI (AU1802)

Direction de l’audit et de l’évaluation
Ressources naturelles Canada

Présenté au Comité ministériel de vérification (CMV)
Le 14 décembre 2017

TABLE DES MATIÈRES

SOMMAIRE

INTRODUCTION

Qu’est-ce que l’architecture d’entreprise des TI

Aux fins du présent audit, l’architecture d’entreprise des TI (communément appelée architecture d’entreprise) est le plan directeur ou la structure qui relie les programmes et les processus d’affaires de l’organisation aux ressources de Gestion de la technologie et de l’information (GTI) et constitue la base sur laquelle s’appuient les décisions prises en matière d’investissements en GTI. Elle fournit ces perspectives pour l’état actuel ou « tel quel » et l’état futur ou « à atteindre ». Les ressources de GTI comprennent les applications, l’information (données) et les infrastructures (c.-à-d. le matériel, les systèmes d’exploitation, les réseaux, les systèmes de gestion des bases de données et l’environnement qui les héberge et les soutient).

L’importance de l’architecture d’entreprise

Les organisations des secteurs privé et public ont reconnu qu’une bonne compréhension de l’architecture d’entreprise (AE) permet une prise de décisions efficace en ce qui concerne les investissements, les coûts et les risques relatifs à la technologie de l’information (TI). L’AE a plusieurs autres utilités. Elle permet aux organisations d’optimiser leur rendement et de respecter leurs priorités dans un environnement numérique en constante évolution. Une AE fonctionnelle est un outil pratique de gestion de la technologie au sein du ministère. Elle permet la prestation des programmes qui dépendent de la technologie et de trouver des solutions cohérentes avec les enjeux importants comme les cybermenaces. C’est un élément essentiel de toute initiative de transformation de la GTI.

L’AE est un élément clé du Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020 établi dans le but de soutenir la transformation organisationnelle de l’architecture des TI en mettant en place l’approche organisationnelle décrite dans l’Objectif 2020 du gouvernement du Canada. Le Secrétariat du Conseil du Trésor du Canada (SCT) a des mesures en cours visant à diriger l’élaboration d’un un cadre d’AE pour le gouvernement du Canada.

Architecture d’entreprise à Ressources naturelles Canada (RNCan)

Le dirigeant principal de l’information doit s’assurer que l’AE de référence de RNCan est développée et que tous les secteurs de RNCan y ont accès. Les secteurs possèdent un certain degré d’autonomie pour gérer leurs besoins en matière de TI, ainsi que pour planifier des projets de TI et en établir la priorité avec l’aide des équipes de TI des secteurs.

Le Comité d’examen de l’architecture (CEA) doit créer une AE pour RNCan et offrir des conseils et des recommandations relatifs à la composition, à l’établissement de priorités, à l’exécution et à la gestion des portefeuilles de la Gestion de l’information (GI) et de la Technologie de l’information (TI) pour atteindre l’état futur de la GTI défini par le SCT et la haute direction de RNCan. Le CEA relève du Comité de gestion de la technologie et de l’information (CGTI) et, selon la portée et le niveau de décision requis, le Comité de renouveau administratif (CRA) ou le Comité exécutif sera consulté.

À l’échelle du gouvernement du Canada, la Direction du dirigeant principal de l’information du SCT est responsable d’élaborer un cadre d’AE pour le gouvernement du Canada. De nombreuses décisions relatives aux infrastructures de la GTI touchant RNCan échappent au contrôle du ministère. La création en août 2011 de Services partagés Canada (SPC) a changé l’environnement de la gestion des TI puisque certaines fonctions ont été transférées à SPC, alors que d’autres demeurent la responsabilité de RNCan. Dans le cadre de son mandat visant à consolider, normaliser et simplifier l’envoi des courriels, les centres de données et les services de réseau au sein du gouvernement du Canada, SPC est devenu responsable des infrastructures des TI de RNCan, ainsi que de celles de 42 autres ministères. Le passage aux solutions organisationnelles du gouvernent du Canada, comme le service de gestion de cas partagé, et les défis liés à l’établissement de systèmes d’information interopérables ouverts modifient également le paysage de la GTI du gouvernement du Canada. C’est pourquoi RNCan doit constamment s’aligner sur les nouvelles orientations du gouvernement du Canada et s’y adapter.

L’objectif de l’audit visait à évaluer si RNCan dispose de principes et de processus d’architecture d’entreprise (AE) bien définis et fonctionnels qui répondent aux besoins actuels et futurs de l’organisation et qui sont alignés à l’approche pangouvernementale.

POINTS FORTS

Après avoir déterminé que l’approche actuelle adoptée pour gérer la GTI au sein du ministère n’est plus viable, RNCan a pris les premières mesures permettant de passer à une approche axée davantage sur l’entreprise. En mai 2017, une importante initiative de transformation de la GTI a été lancée. Elle comprenait, notamment, l’élaboration d’une AE ministérielle qui nécessitera d’importants efforts de collaboration et de coordination entre les secteurs et la Direction du dirigeant principal de l’information et de la sécurité.

DOMAINES À AMÉLIORER

  • La majorité des éléments de base nécessaires à l’élaboration d’une AE, comme l’AE de référence, n’ont pas encore été mis en place.
  • Les structures de gouvernance de la GTI pour l’AE existent déjà; cependant, elles ne sont pas toutes bien définies et ne fonctionnent pas toutes comme elles le devraient.
  • Les systèmes et pratiques de l’AE n’ont pas encore été conçus ou doivent être renforcés. Ceux-ci comprennent une méthodologie d’élaboration des systèmes axée sur le cycle de vie, des instruments de politiques pour l’AE, un processus de gestion des risques liés à l’AE et des mesures du rendement.
  • Un travail important reste à faire pour obtenir une estimation précise des coûts et bénéfices associés à l’élaboration et la mise en place d’une AE ministérielle.

CONCLUSION DE L’AUDIT INTERNE ET OPINION

La Direction de l’audit conclut que des améliorations considérables sont nécessaires afin que RNCan puisse avoir des principes et des processus d’AE bien définis et fonctionnels en vue de répondre aux besoins d’affaires actuels et futurs et de s’aligner à l’approche pangouvernementale.

Le défi le plus important auquel est confronté RNCan est le changement culturel considérable qui sera nécessaire pour passer à une approche axée davantage sur l’entreprise pour gérer la GTI, en vue de contrôler et d’appliquer les nouvelles normes d’AE à l’avenir.

ÉNONCÉ DE CONFORMITÉ

Selon mon jugement professionnel en tant que dirigeant principal de l’audit et de l’évaluation, je suis d’avis que l’audit est conforme aux Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes et à la politique du gouvernement du Canada relative à l’audit interne, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit et de l’évaluation
Le 14 décembre 2017

REMERCIEMENTS

L’équipe d’audit aimerait remercier tous ceux qui ont contribué à ce projet et, plus particulièrement, les employés qui ont fait part de leurs observations et de leurs commentaires dans le cadre du présent audit.

RESPONSE DE LA DIRECTION ET PLAN D'ACTION

Dans l’ensemble, la direction est d’accord avec les conclusions et les recommandations de l’audit et a identifié des activités d’AE dans le plan de transformation de la GTI qui a été approuvé par le Comité de renouveau administratif le 28 novembre 2017. Les activités du Plan d’action de la direction (PAD) visant à répondre aux recommandations 1 à 6 respectent le plan de transformation de la GTI approuvé. C’est pourquoi la direction est d’avis que ces activités du PAD établiront les conditions et le cadre permettant au ministère d’aborder la gestion de l’AE de façon systématique, avec des mécanismes de suivi appropriés visant à assurer la conformité. Les échéanciers présentés dans le PAD tiennent compte des activités de transformation de la GTI connexes comme la définition de la prestation de services de GTI/des modèles d’exploitation, de la feuille de route de la technologie et des changements à apporter à la gouvernance; éléments essentiels à la réalisation d’une AE.

INTRODUCTION

Qu’est-ce que l’architecture d’entreprise des TI

Aux fins du présent audit, l’architecture d’entreprise des TI (connu comme architecture d’entreprise) est le plan directeur ou la structure qui relie les programmes et les processus d’affaires de l’organisation aux ressources de Gestion de la technologie et de l’information (GTI) et constitue la base sur laquelle s’appuient les décisions prises en matière d’investissements en GTI. Elle fournit ces perspectives pour l’état actuel ou « tel quel » et l’état futur ou « à atteindre ». Les ressources de GTI comprennent les applications, l’information (données) et les infrastructures (c.-à-d. le matériel, les systèmes d’exploitation, les réseaux, les systèmes de gestion de bases de données et l’environnement qui les héberge et les soutient).

L’importance de l’architecture d’entreprise

Les organisations des secteurs privé et public ont reconnu qu’une bonne compréhension de l’architecture d’entreprise (AE) permet une prise de décisions efficace en ce qui concerne les investissements, les coûts et les risques relatifs à la technologie de l’information (TI). L’AE a plusieurs autres utilités. Elle permet aux organisations d’optimiser leur rendement et de respecter leurs priorités dans un environnement numérique en constante évolution. Une AE fonctionnelle est un outil pratique de gestion de la technologie au sein du ministère. Elle permet la prestation des programmes qui dépendent de la technologie et de trouver des solutions cohérentes avec les enjeux importants comme les cybermenaces. C’est un élément essentiel de toute initiative de transformation de la GTI.

L’AE est un élément clé du Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020 établi dans le but de soutenir la transformation organisationnelle de l’architecture des TI en mettant en place l’approche organisationnelle décrite dans l’Objectif 2020 du gouvernement du Canada. Le Secrétariat du Conseil du Trésor du Canada (SCT) a des mesures en cours visant à diriger l’élaboration d’un cadre d’AE pour le gouvernement du Canada. Les ministères et les organismes, par le biais de leur plan d’investissement, doivent détaillés comment l’approche pangouvernementale sera mise en œuvre dans leur organisation.

Architecture d’entreprise à Ressources naturelles Canada (RNCan)

La Direction du dirigeant principal de l’information et de la sécurité (DDPIS) de RNCan est responsable de la majorité des applications ministérielles et est tenue responsable de la conformité aux instruments de politiques relatifs à la technologie de l’information du SCT. Les secteurs possèdent un certain degré d’autonomie pour gérer leurs besoins en matière de TI, ainsi que pour planifier les projets de TI et en établir la priorité avec l’aide des équipes de TI des secteurs. Le dirigeant principal de l’information doit s’assurer que l’AE de référence de RNCan est développée et que tous les secteurs de RNCan y ont accès. Une AE de référence est un document ou un ensemble de documents consultés par les organisations pour connaître les normes et les meilleures pratiques. En matière de TI, l’architecture de référence aborde habituellement des éléments comme les normes relatives aux applications, à l’information et aux infrastructures (spécifications et configurations), ainsi que les règles et les processus d’entreprise.

À l’échelle ministérielle, le Comité d’examen de l’architecture (CEA) de RNCan est le principal comité chargé d’aborder les systèmes d’AE et de trouver des solutions. Le CEA relève du Comité de gestion de la technologie et de l’information (CGTI) et, selon la portée et le niveau de décision requis, le Comité de renouveau administratif (CRA) ou le Comité exécutif sera consulté. Le CEA doit créer une AE pour RNCan et offrir des conseils et des recommandations relatifs à la composition, à l’établissement de priorités, à l’exécution et à la gestion des portefeuilles de la Gestion de l’information (GI) et de la Technologie de l’information (TI) pour atteindre l’état futur de la GTI défini par le SCT et la haute direction de RNCan.

À l’échelle du gouvernement du Canada, la Direction du dirigeant principal de l’information du SCT est tenue d’élaborer un cadre d’AE pour le gouvernement du Canada. Le Comité sur les priorités et la planification intégrées (CPPI) est l’organe de gouvernance et de supervision de tous les investissements en TI du gouvernement. De nombreuses décisions relatives aux infrastructures de la GTI touchant RNCan échappent au contrôle du ministère. La création en août 2011 de Services partagés Canada (SPC) a changé l’environnement de la gestion des TI puisque certaines fonctions ont été transférées à SPC, alors que d’autres demeurent la responsabilité de RNCan. Dans le cadre de son mandat visant à consolider, normaliser et simplifier l’envoi des courriels, les centres de données et les services de réseau au sein du gouvernement du Canada, SPC est devenu responsable des infrastructures des TI de RNCan, ainsi que de celles de 42 autres ministères. Le passage aux solutions organisationnelles du gouvernement du Canada, et l’augmentation de la demande pour des systèmes d’information interopérables ouverts modifient également le paysage de la GTI du gouvernement du Canada. C’est pourquoi RNCan doit constamment s’aligner sur les nouvelles orientations du gouvernement du Canada et s’y adapter.

L’audit de l’architecture d’entreprise a été intégré dans le Plan de vérification fondé sur les risques du ministère pour 2017-2020 et approuvé par le sous-ministre le 30 mars 2017.

BUT ET OBJECTIFS DE L’AUDIT

L’objectif de l’audit visait à évaluer si RNCan dispose de principes et de processus d’architecture d’entreprise (AE) bien définis et fonctionnels qui répondent aux besoins actuels et futurs de l’organisation et qui sont alignés à l’approche pangouvernementale.

Plus précisément, l’audit a évalué les éléments suivants : Il y a…

  • une structure de gouvernance adéquate en place qui soutient une planification et des prises de décisions transparentes en matière d’AE;
  • des processus efficaces d’élaboration et de mise en œuvre d’AE pour assurer l’harmonisation entre le GC et RNCan;
  • une surveillance efficace de l’AE par le biais de mesures et de contrôle du rendement pour atteindre les résultats escomptés et réaliser les bénéfices clés.

FACTEURS PRIS EN CONSIDÉRATION LORS DE L’AUDIT

Une approche axée sur les risques a été utilisée pour établir les objectifs, la portée et la démarche de cette mission d’audit. Les principaux risques inhérents susceptibles d’avoir une incidence sur l’élaboration et la mise en place de l’architecture d’entreprise comprennent ce qui suit :

Il est possible que… 

  • les investissements en GTI de RNCan ne soient pas optimisés, ce qui mènerait à un manque d’investissements stratégiques dans les secteurs prioritaires;
  • les risques liés à la cybersécurité ne soient pas suffisamment atténués, ce qui mènerait à un manque d’uniformité dans la mise en place des mesures de sécurité;
  • les principaux intervenants de RNCan aient une compréhension limitée des principes d’AE, ce qui mènerait à un manque d’appui de leur part;
  • la structure de gouvernance de l’AE ne soit pas efficace et que les rôles et responsabilités relatifs à l’AE soient dispersés entre plusieurs intervenants de RNCan, ce qui entraînerait le maintien de la fragmentation de l’environnement de la GTI;
  • la stratégie de RNCan pour l’AE ne soit pas transmise clairement, ce qui mènerait à un manque d’engagement et de soutien de la part des principaux intervenants;
  • la vision et les stratégies du gouvernement du Canada concernant l’AE ne soient pas bien comprises par les principaux intervenants de RNCan, ce qui mènerait à une discordance avec l’approche pangouvernementale;
  • une AE centralisée ne soit pas en mesure de répondre aux besoins commerciaux de RNCan et aux besoins changeants des programmes scientifiques, ce qui ne permettrait pas de répondre entièrement aux besoins commerciaux.

PORTÉE

L’audit s’intéressait aux activités actuelles et planifiées de RNCan liées à l’architecture d’entreprise ainsi qu’à leur alignement à l’approche pangouvernementale.

L’audit a évalué plus particulièrement :

  • la structure de gouvernance en place pour soutenir la prise de décisions transparente concernant l’AE et les besoins changeants des programmes scientifiques;
  • les principes sur lesquels reposent toutes les décisions relatives à la GTI de RNCan concernant les applications, l’information et les infrastructures;
  • les processus de supervision et de surveillance en place pour s’assurer que les résultats et les principaux bénéfices attendus de l’AE sont définis et atteints.

L’audit s’intéressait uniquement aux activités relatives à la gestion de l’AE de RNCan sous la responsabilité de la DDPIS et des secteurs. L’audit comprenait les liaisons et les communications entre SPC, la Direction du dirigeant principal de l’information (DDPI) du SCT et RNCan au sujet de l’AE, mais excluait un examen direct de SPC et de la DDPI du SCT.

Les solutions choisies par le ministère ou le gouvernement du Canada pour l’AE et les décisions techniques prises n’ont pas été évaluées dans le cadre de l’audit. Ce dernier a tenu compte du travail d’audit réalisé dans les récents audits de la gouvernance des TI, de la gestion de l’information et de la cybersécurité, et en a fait mention au moment jugé opportun.

L’audit était principalement axé sur les activités pertinentes réalisées entre le 1er avril 2016 et le 29 septembre 2017, mais d’autres documents pertinents antérieurs à cette période ont aussi été examinés.

APPROCHE ET MÉTHODOLOGIE

L’approche et la méthodologie respectent les Normes internationales pour la pratique professionnelle de la vérification interne de l’Institut des vérificateurs internes et la politique du gouvernement du Canada relative à l’audit interne. Ces normes exigent que l’audit soit planifié et exécuté de manière à donner l’assurance raisonnable que les objectifs de l’audit seront atteints. L’audit comportait divers tests jugés nécessaires pour offrir une telle assurance. Les auditeurs internes ont fait preuve d’impartialité et d’objectivité, comme l’exigent les Normes internationales pour la pratique professionnelle de la vérification interne.

La phase de réalisation de l’audit s’est achevée en grande partie en septembre 2017.

CRITÈRES

Les critères de l’audit sont présentés en détail à l’Annexe A. Le travail d’audit sur le terrain et la conclusion globale de l’audit reposent sur ces critères.

CONSTATATIONS ET RECOMMANDATIONS

GOUVERNANCE DE L'ARCHITECTURE D'ENTREPRISE

Constatation générale

Un certain nombre de structures de gouvernance sont en place à RNCan en vue de soutenir l’élaboration et la mise en œuvre de l’architecture d’entreprise (AE) dans le ministère. Des possibilités d’amélioration de la structure actuelle en faveur d’une planification et de prises de décisions transparentes en matière d’AE ont été identifiées. Les rôles et responsabilités de direction, de supervision et d’approbation de l’AE du ministère n’ont pas été entièrement établis et affectés à des postes précis; le Comité d’examen de l’architecture (CEA) ne dispose pas des outils, de l’information et de l’expertise pour s’acquitter pleinement de son mandat; et RNCan n’a pas encore élaboré d’instruments de politique en matière d’AE (normes, procédures et directives).

Observations pertinentes

Rôles, responsabilités et obligation de reddition de comptes

En 2016, la Direction de l’audit de RNCan a mené un audit de la gouvernance des TI. Une des principales conclusions de l’audit était que le ministère n’avait pas suffisamment de normes communes et ne possédait pas d’architecture pangouvernementale. Plus précisément, l’audit stipulait que les ressources devaient être attribuées de façon à minimiser les doublons et à créer des synergies, à tenir compte des décisions conformes aux normes communes, et à entraîner la création d’une AE qui permettra des synergies au sein de l’infrastructure ministérielle des TI pour mieux protéger le ministère contre les menaces de cybersécurité. Une deuxième conclusion a permis de formuler la recommandation suivante : les attentes de la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) de RNCan devaient être revues et la structure ajustée en conséquence. Si les attentes de la DDPIS ne sont pas définies clairement, il est possible que l’AE ne soit pas mise en place avec succès au sein du ministère. L’équipe d’audit a procédé à un suivi du statut de ces deux recommandations et a déterminé qu’elles n’ont pas encore été mises en place.

Cet audit de l’architecture d’entreprise était axé principalement sur la gouvernance de l’AE. L’équipe d’audit s’attendait à ce qu’une structure de gouvernance pour le programme de l’AE soit en place et que les rôles et responsabilités de direction, de supervision et d’approbation des fonctions de l’AE aient été établis et assumés afin d’assurer la conformité et la responsabilité avec l’AE ministérielle.

RNCan possède actuellement un certain nombre de structures de gouvernance qui soutiennent l’élaboration et la mise à œuvre de l’AE. Ces structures comprennent le Comité de renouveau administratif (CRA), le Comité de gestion de la technologie et de l’information (CGTI) et le Comité d’examen de l’architecture (CEA). Le CEA est l’acteur principal dans l’AE. Un des rôles du CEA est de « défendre et d’orienter le développement d’une approche axée sur l’entreprise pour l’architecture de RNCan en fournissant un point central autour duquel s’articulent l’examen et les recommandations appuyant une AE de RNCan efficace. » De plus, le premier élément du mandat du CEA est de « créer une architecture d’entreprise pour RNCan. » Les comités connexes (CRA et CGTI) ont un mandat plus large et se concentrent davantage sur des initiatives stratégiques, et non spécialement sur l’AE. Actuellement, le CEA ne joue pas le rôle pour lequel il a été créé, essentiellement parce que le Comité possède une expertise limitée en matière d’AE et que les outils appropriés (comme des principes architecturaux, des politiques, des normes et des lignes directrices en matière de GTI) n’ont pas été encore été conçus.

Les personnes qui devraient être responsables de la conception et de la mise en place des principales pratiques de gouvernance de l’AE, c’est-à-dire les architectes d’entreprise, n’ont pas été nommées. Ces pratiques comprennent : l’élaboration d’une vision d’architecture d’entreprise, la définition d’une architecture de référence, la proposition de possibilités et de solutions, la définition de la mise en place de l’architecture et la prestation des services d’AE. De plus, ces pratiques de gouvernance n’ont pas été réalisées, et aucune ressource n’a été allouée pour soutenir ces fonctions. Les rôles et responsabilités d’un architecte en chef n’ont pas été attribués non plus. Un tableau RACI (responsabilité, imputabilité (accountability), consultation, information) détaillant les principaux rôles et responsabilités liés à l’AE serait un outil pratique pour attribuer ces rôles et responsabilités. Cependant, l’audit a révélé qu’aucun tableau de ce genre n’avait été créé.

Au moment de l’audit, un examen était en cours afin d’aider le ministère à définir les principaux rôles et fonctions d’un nouveau processus de gouvernance de la GTI. Le mandat de cet examen reconnaît que RNCan utilise pour le moment un modèle d’exploitation de la GTI décentralisé. Le ministère est lui-même organisé en secteurs d’affaires séparés qui ont des relations limitées en matière de gestion de l’information, de systèmes de GTI ou d’architecture de GTI. L’examen porte sur les moyens que le ministère pourrait employer pour préciser les décisions de gouvernance de la GTI à prendre, le ou les responsables de la prise de décisions, et les mécanismes qui régissent le fonctionnement de la gouvernance de la GTI. L’examen comprend la création d’un tableau RACI pour illustrer la structure de gouvernance d’état cible pour la GTI au sein du ministère.

Politiques, directives et procédures

L’équipe d’audit prévoyait l’existence d’orientations, de directives et de politiques complets, approuvés et à jour pour l’élaboration et le maintien de l’AE.

Au moment de l’audit, les instruments de politiques de RNCan pour gouverner l’architecture d’entreprise étaient limités. De plus, peu de documents d’orientation étaient disponibles en matière de politiques et de procédures organisationnelles écrites et approuvées pour aider RNCan à comprendre l’AE et pour assurer la conformité. Dans le cadre de l’initiative de transformation de la GTI, RNCan prévoit d’élaborer une politique d’AE pour le ministère. Un autre point important de l’initiative de transformation est la nécessité de mettre en œuvre une approche pour résoudre les problèmes liés aux anciens systèmes et applications.

La Direction générale du dirigeant principal de l’information (DGDPI) du SCT, dans le cadre du Plan stratégique de la technologie de l’information du gouvernement du Canada 2016-2020, élabore présentement un cadre d’AE qui devra être utilisé par tous les ministères. Le gouvernement du Canada ne possède actuellement aucun instrument ni cadre de politique officiel pour orienter les ministères quant à la façon de mettre l’AE en place. Le groupe de l’AE de la DGDPI du SCT a mentionné à l’équipe de l’audit qu’il conçoit actuellement des outils et des documents d’orientation pour la mise en place de l’AE. Au moment où le rapport de l’audit a été rédigé, aucun outil d’orientation n’était disponible sur le portail du groupe de travail du SCT dans GCpedia.

L’orientation interne visant à soutenir les efforts déployés par le ministère dans l’AE est également limitée. Par exemple, il n’y a pas de couches d’architecture, de pratiques ou de modèles clé communs. Peu de normes, de lignes directrices, de procédures, de modèles et d’outils ont été conçus pour contribuer à la vision ministérielle de l’AE. Chaque secteur utilise ses propres solutions de GTI qui répondent à ses besoins d’affaires. L’échange et la collaboration sont actuellement limités au sein du ministère. De plus, il y a peu de contrôle central et d’orientation contribuant au programme de l’AE à l’échelle du ministère. Les programmes ont créé leurs propres outils et pratiques de façon indépendante, le développement des applications est donc plus agile et la mise en place des solutions organisationnelles plus rapide. Cependant, cela a également mené à une utilisation importante des ressources et à des architectures divergentes qui ne peuvent pas toujours être utilisées les unes avec les autres ou qui ne sont pas conformes aux exigences futures. Soutenir plusieurs plateformes de TI est coûteux, ne permet pas toujours une synergie au sein du ministère et peut accroître les risques, comme les cybermenaces.

Certains documents de RNCan faisant autorité contiennent des références relatives à l’AE et sont utilisés pour réaliser le programme de transformation de la GTI de RNCan. Ces documents comprennent, notamment : le plan stratégique de GTI 2017-2020, le plan des TI 2017-2020 de RNCan, le plan de la GI 2017-2018 de RNCan, la Directive sur l’évaluation et l’autorisation de sécurité de RNCan et des documents externes comme le document ITSG-33 sur la gestion des risques liés à la sécurité des TI utilisé par le GC.

RISQUES ET INCIDENCES

Le manque de clarté des rôles et responsabilités de RNCan pour gouverner l’AE peut limiter la capacité de RNCan à mettre en place une approche d’AE à l’échelle de l’organisation, ce qui augmente la probabilité que des efforts soient fournis en double, des possibilités soient perdues et que les coûts augmentent. Cela pourrait mener au maintien d’un environnement de la GTI fractionné chez RNCan qui ne serait pas aligné sur l’approche organisationnelle de la stratégie de GTI de RNCan et sur le plan stratégique des TI du GC. Le manque d’orientation sous forme d’instruments de politique pourrait également nuire à la capacité de RNCan à adopter une approche de la GTI à l’échelle de l’organisation et pourrait rendre très difficiles la surveillance et la mise en place de normes d’AE au sein du ministère.

RECOMMANDATION

1.   Le dirigeant principal de l’information (DPI), en consultation avec tous les secteurs et le Secrétariat du Conseil du Trésor (SCT), devrait diriger l’élaboration et la mise en œuvre d’instruments politiques d’architecture d’entreprise (normes, procédures et directives), clarifier les rôles et responsabilités des comités et des personnes concernées par l’AE et concevoir des procédures visant à assurer la conformité avec les instruments politiques d’AE à l’avenir.

RÉPONSE DE LA DIRECTION ET PLAN D’ACTION

La direction est d’accord. En réponse à la recommandation no 1 :

Une politique décrivant les rôles et responsabilités requises pour mettre en place une AE au sein du ministère (personnes et comités) sera élaborée. La politique décrira les procédures et la gouvernance permettant d’assurer le respect des instruments de politiques liés à l’AE.

Postes responsables : Direction du dirigeant principal de l’information et de la sécurité (DDPIS) – DPI

Échéancier : Juillet 2019

ÉLABORATION ET MISE EN PLACE DE L’ARCHITECTURE D’ENTREPRISE

Constatation générale

RNCan a reconnu le besoin d’adopter une architecture d’entreprise (AE) depuis plusieurs années et une initiative de transformation considérable a été lancée en mai 2017 afin de parvenir plus rapidement à une approche axée sur l’entreprise en matière de Gestion de la technologie et de l’information (GTI) au sein du ministère. Un des éléments fondamentaux de l’architecture d’entreprise est l’élaboration et le maintien d’une architecture d’entreprise de référence qui décrit l’état actuel et futur des applications, de l’information et des infrastructures, ce qui fait actuellement défaut au ministère. L’initiative de transformation de la GTI comprend l’élaboration d’une AE pour le ministère. Cependant, lors de l’audit, elle n’en était qu’à la phase de planification. Le défi le plus important auquel est confronté RNCan est le changement culturel considérable qui sera nécessaire pour passer à une approche axée davantage sur l’entreprise pour gérer la GTI.

Observations pertinentes

Fondation de l’architecture d’entreprise

L’équipe d’audit s’attendait à ce qu’une architecture d’entreprise de référence qui décrit l’état actuel et futur des applications, de l’information et des infrastructures soit en place. Un des éléments fondamentaux de l’AE est d’élaborer et de maintenir une architecture d’entreprise de référence. L’AE de référence présente les infrastructures techniques, les applications et les données recommandées en matière techniques, ainsi qu’en matière commerciale comme les processus d’affaires, les règles d’affaires, la gouvernance, les exigences de sécurité, les besoins en matière d’information, le rendement, les emplacements et les utilisateurs. L’AE de référence doit présenter ces éléments pour l’environnement actuel de l’organisation et son environnement futur. L’AE de référence est importante puisqu’elle permet au ministère d’avoir une orientation claire au moment d’élaborer de nouveaux systèmes et de nouvelles applications. Elle devrait comprendre une représentation de l’AE contenant des normes, des éléments réutilisables, des artéfacts de modélisation, des relations, des dépendances et des opinions permettant une uniformité de l’organisation et du maintien de l’architecture. L’AE de référence est essentielle pour avoir une approche axée davantage sur l’entreprise. Elle devrait respecter les plans stratégiques relatifs à la GTI du GC, de Services partagés Canada (SPC), de Services publics et Approvisionnement Canada (SPAC) et de RNCan.

La nécessité de créer et de mettre en place une AE à RNCan ne date pas d’hier. Le plan stratégique de GTI 2013 de RNCan comprenait une initiative visant à développer l’état actuel et la vision d’avenir du modèle d’AE de RNCan en collaboration avec SPC. Le modèle d’AE de RNCan devait être utilisé pour créer une solution architecturale pour la TI rentable et cohésive pour les besoins futurs de RNCan en matière de GTI. Le mandat du Comité d’examen de l’architecture comprend la création d’une AE pour RNCan. Une des responsabilités de la DDPIS, mentionnée dans la Directive sur l’évaluation et l’autorisation de sécurité 2016 de RNCan, est de s’assurer que l’AE de référence de RNCan est conçue et disponible. Au moment de l’audit, ces trois tâches n’avaient pas encore été réalisées.

La stratégie de GTI 2017-2022 et le Plan stratégique des TI 2017-2020 de RNCan soutiennent les efforts de transformation visant à passer à une infrastructure de GTI d’entreprise. Conformément à l’entente de rendement 2017-2018, tous les cadres de RNCan s’engagent à soutenir la stratégie de transformation de la GTI en adoptant une approche d’entreprise horizontale à la GTI.

L’architecture d’entreprise ministérielle de référence requise par la Directive sur l’évaluation et l’autorisation de sécurité n’a pas encore été créée. La DDPIS a informé l’équipe d’audit que, pour le moment, elle ne possède pas les ressources, les compétences, ni la connaissance ministérielle de tous les systèmes requises pour créer une AE de référence. Cependant, l’équipe d’audit a trouvé certains éléments liés à une AE de référence dans divers documents. Par exemple, un des principes directeurs de la stratégie de GTI 2017-2022 et du Plan des TI 2017-2020 concerne directement l’AE : « Harmoniser les activités et les investissements de la Stratégie de GTI avec l’orientation du GC et le mandat, les besoins et les priorités ministériels actuels et futurs. » La Directive sur l’évaluation et l’autorisation de sécurité de RNCan est un autre exemple qui requiert que le programme de sécurité respecte les exigences minimales établies par le Centre de la sécurité des télécommunications (CST) et l’AE de référence de RNCan.

Au cours de l’audit, plusieurs employés interrogés ont mentionné que la Plateforme géospatiale fédérale (PGF) était un bon exemple de solution d’architecture pour les données géospatiales qui contient la majorité des éléments de base que l’équipe d’audit s’attendait à retrouver dans une AE de référence de qualité. La solution d’architecture de la Plateforme géospatiale fédérale (PGF) a été évaluée au cours de l’audit puisqu’elle contient les éléments de base suivants que l’équipe d’audit s’attendait à retrouver dans une AE de RNCan. À savoir :

  • Vision de l’architecture
  • Principes et lignes directrices de l’architecture
  • Architecture de base (y compris des modèles commerciaux, des modèles de données, des modèles d’applications et des modèles technologiques)
  • Architecture cible
  • Analyse de l’écart
  • Plan de transition

La solution d’architecture de la PGF a été créée puisqu’il y avait, au sein des ministères et des organismes, des douzaines de mises en œuvre verticales de la capacité géospatiale à divers degrés de maturité et d’efficacité. La PGF est en cours d’élaboration, continue de recruter de nouveaux clients et ensembles de données et lance régulièrement de nouvelles fonctions. Au moyen d’une plateforme commune d’infrastructure technique, la PGF décrit clairement les politiques, les normes et la gouvernance expliquant comment les données géospatiales seront désormais gérées pour répondre aux exigences des ministères et organismes gouvernementaux et d’autres utilisateurs externes.

Après avoir déterminé que l’approche actuelle adoptée pour gérer la GTI au sein du ministère n’est plus viable, RNCan a pris des mesures initiales permettant de passer à une approche axée davantage sur l’entreprise. L’initiative de transformation de la GTI comprend la mise en place d’un programme d’AE global afin de mieux comprendre l’état actuel et futur de la GTI au sein du ministère et les activités qui doivent être réalisées pour atteindre l’état futur. Au moment de l’audit, le ministère élaborait un plan de transformation de la GTI de trois ans couvrant les applications, les infrastructures, l’information et la gouvernance. En mars 2018, ce plan devrait être présenté au Comité exécutif aux fins d’approbation, conformément à la recommandation du Comité de renouveau administratif. Selon les documents fournis, le plan de transformation comprendra l’élaboration d’un programme d’AE global pour le ministère et présentera, entre autres, les éléments suivants :

  • Stratégie de gestion des communications et du changement
  • État actuel de la GTI
  • État souhaité de la GTI
  • Ressources humaines et financières
  • Risques
  • Feuille de route du plan d’action
Gestion du changement et changement culturel

L’équipe d’audit s’attendait à ce qu’une stratégie soit en place pour gérer le changement culturel découlant d’une approche axée davantage sur l’entreprise pour la GTI.

Le défi le plus important, et de loin, auquel est confronté RNCan est le changement culturel considérable qui découlera du passage à une approche axée davantage sur l’entreprise pour gérer la GTI. Le modèle de gouvernance des TI actuel de RNCan est décentralisé et, par nature, satisfait davantage les besoins des utilisateurs. Il est toutefois plus susceptible d’être incohérent et moins efficace pour tirer profit des synergies. La mise en place d’une AE n’est pas nécessairement synonyme d’un modèle de prestation de la GTI centralisé. Cependant, elle signifie la mise en place de normes communes pour les applications, l’information, les infrastructures et les systèmes, ainsi que des pratiques pour contrôler et appliquer les nouvelles normes d’AE à l’avenir. Une période de transition sera nécessaire pour délaisser les anciennes normes relatives aux applications, à l’information et à l’infrastructure technique au profit des nouvelles normes. Des exceptions aux normes devront être approuvées par un organe de gouvernance approprié, comme le Comité de renouveau administratif (CRA), et soutenues par un plan expliquant comment les programmes se conformeront à l’AE à l’avenir.

Les ateliers donnés récemment sur la transformation de la GTI ont confirmé qu’il était nécessaire de créer plus de normes d’entreprise relatives à la GTI et qu’il est possible d’avoir une organisation rationnelle. Les participants aux ateliers ont également mentionné qu’une meilleure collaboration et coordination au sein du ministère est nécessaire pour éliminer l’approche cloisonnée actuelle.

La récente évaluation de l’état de préparation au changement menée par le ministère a révélé que la majorité des répondants (87,4 %) ressentait le besoin de changer leur façon de travailler et se sentait apte à s’adapter (91,8 %). 85,5 % des répondants avaient le sentiment qu’une culture souple était essentielle au respect des priorités d’affaires de RNCan.

Au moment de la rédaction du rapport d’audit, l’ébauche du plan de transformation de la GTI comprenait un projet appelé « Feuille de route de la culture et de l’engagement pour soutenir la transformation de la GTI ».

Méthodologie d’élaboration des systèmes axée sur le cycle de vie

L’équipe d’audit s’attendait à ce que RNCan ait adopté une méthodologie d’élaboration et de maintien de l’architecture d’entreprise, ou une représentation intégrée de l’architecture pour assurer la cohérence au sein de l’organisation et ainsi soutenir les activités de développement de la GTI. Une méthodologie d’AE commune et une représentation de l’architecture contenant des normes, des éléments réutilisables, des artéfacts de modélisation, des relations, des dépendances et des opinions pour assurer l’uniformité mèneraient à la création de produits d’AE adéquatement intégrés. L’équipe d’audit croyait également que les produits d’architecture seraient approuvés par un organe de gouvernance, comme le Comité d’examen de l’architecture, pour assurer la conformité à la stratégie de GTI et aux instruments de politique de RNCan. Une méthodologie ministérielle de développement et de maintien d’une AE ainsi qu’une structure de gouvernance efficace empêcheraient les secteurs d’élaborer et d’utiliser leurs propres méthodes, faciliteraient l’échange de bonnes pratiques et garantiraient que tous les systèmes sont conçus selon les mêmes normes.

Plusieurs programmes ont adopté leurs propres approches de développement de systèmes pour combler leurs besoins d’affaires, mais il n’existe aucune méthodologie de développement et de maintien à l’échelle du ministère. Les activités de recherche et les processus de RNCan dépendent énormément de l’utilisation de l’information et des ressources technologiques. Actuellement, plusieurs programmes créent ou acquièrent diverses solutions de TI pour répondre à leurs besoins d’affaires. Les exigences organisationnelles favorisent et influencent les décisions et l’approche en matière d’élaboration et de maintien de différentes solutions de TI acquises par des secteurs individuels. Cette approche a permis à RNCan d’être agile et de rapidement mettre en place de nouveaux systèmes, mais a créé des difficultés lorsqu’il est question d’assurer la conformité aux principales exigences du GC et à l’orientation à long terme, ainsi que de travailler avec des fournisseurs de services.

Comme mentionné dans la section gouvernance du présent rapport, les principaux intervenants ont de la difficulté à connaître les exigences organisationnelles et à aligner leurs activités sur les normes pangouvernementales en raison de l’absence de principes de gouvernance de l’AE clairs et d’une AE de référence. De plus, les secteurs ont de la difficulté à communiquer avec la DDPIS au début d’un projet puisqu’ils ont le sentiment que la DDPIS ne comprend pas la différence entre les exigences organisationnelles et les exigences d’entreprise.

RISQUES ET INCIDENCES

Sans une AE de haut niveau, y compris une AE de référence, une méthodologie d’élaboration des systèmes axée sur le cycle de vie et une stratégie de gestion des changements culturels importants requis pour passer à une approche axée davantage sur l’entreprise dans le but de gérer la GTI, le CEA, la DDPIS et tous les autres intervenants ont de la difficulté à comprendre et à assumer leurs rôles et responsabilités liés à l’AE. Cela est particulièrement important dans un environnement décentralisé pour fournir une orientation et des recommandations sur une AE pour les investissements en GTI et les décisions relatives à la conception afin d’empêcher la création de systèmes qui ne sont pas adaptés à l’approche organisationnelle du ministère et du GC.

RECOMMANDATIONS

2.  Le dirigeant principal de l’information (DPI), en consultation avec tous les secteurs, devrait élaborer et mettre en œuvre une architecture d’entreprise de qualité qui comprend une architecture d’entreprise de référence pour RNCan et une méthodologie d’élaboration des systèmes axée sur le cycle de vie visant à assurer une solution d’approche cohérente avec la Gestion de la technologie et de l’information (GTI).

3.  Le dirigeant principal de l’Information, en consultation avec tous les secteurs, devrait élaborer et mettre en œuvre une stratégie ainsi qu’un plan de communication visant à gérer les changements culturels qui découleront de la mise en œuvre d’une approche davantage axée sur l’entreprise pour gérer la GTI.

RÉPONSE DE LA DIRECTION ET PLAN D’ACTION

La direction est d’accord. En réponse à la recommandation no 2 :

Dans le cadre du programme d’AE, une architecture de référence cible de haut niveau sera élaborée et approuvée par le CGTI.

Postes responsables : Direction du dirigeant principal de l’information et de la sécurité (DDPIS) – DPI

Échéancier : Avril 2019

Une méthodologie d’élaboration des systèmes axée sur le cycle de vie sera élaborée et approuvée par le CGTI pour les secteurs.

Postes responsables : DDPIS – DPI

Échéancier : Juillet 2019

La direction est d’accord. En réponse à la recommandation no 3 :

Dans le cadre du plan de transformation de la GTI, des plans de gestion des changements et des communications seront créés et approuvés par le CGTI pour soutenir la prestation de la GTI axée sur l’entreprise.

Postes responsables : DDPIS – DPI

Échéancier : Juillet 2018

EXIGENCES EN MATIÈRE DE RESSOURCES

Constatation générale

Au moment de l’audit, les estimations préliminaires indiquaient qu’une quantité considérable de ressources seraient nécessaires pour atteindre l’état désiré futur de la GTI. Cependant, une analyse de rentabilisation exhaustive comprenant des éléments comme les besoins d’affaires, l’analyse des options, l’analyse coûts-avantages, les sources de financement et l’analyse des risques n’a pas encore été mise au point.

Observations pertinentes

L’équipe d’audit s’attendait à ce que les plans et les activités d’AE soient bien définis et que leur coût soit correctement évalué. Les décisions relatives à l’attribution de financement devraient s’appuyer sur des estimations fiables des coûts de programme et comprendre les bénéfices attendus, comme les améliorations de l’efficacité organisationnelle et de la conformité, l’amélioration de la prestation de produits ou de services, et la diminution des investissements ou des coûts d’exploitation en évitant la duplication des efforts.

En 2015-2016, RNCan a dépensé un total de 50,2 millions de dollars en TI. Ce coût total comprenait les coûts engendrés par différents secteurs pour gérer les projets liés aux TI, notamment le Secteur de la gestion et des services intégrés (SGSI). Le coût total comprenait également les dépenses associées aux matériaux, aux logiciels, aux ressources humaines, aux services externes (comme SPC), à l’équipement et aux fournitures de bureau, et aux services de TI offerts par d’autres ministères.

La compréhension de l’état actuel et futur de l’environnement de la GTI est un élément essentiel de l’AE, tout comme un plan de transition, pour passer de l’état actuel à l’état futur. Le Plan des TI 2017-2022 de RNCan mentionne l’établissement d’un partenariat stratégique avec SPC dans le but de respecter les principales priorités de RNCan, de créer un état futur cible pour le réseau de RNCan et d’établir une feuille de route pour atteindre l’état futur. Cependant, beaucoup de travail reste à faire pour avoir une idée complète et précise de l’état actuel de l’infrastructure de GTI (c.-à-d. l’information, les applications et les infrastructures) et des efforts qui restent à être déployés en matière de ressources (humaines, financières et en temps) pour atteindre l’état futur. Par exemple, il y a présentement plus de 600 applications inscrites dans le système de gestion du portefeuille d’applications (GPA) de RNCan, un outil utilisé pour faire l’inventaire de toutes les applications du ministère. Un nombre important d’applications ne sont pourtant pas inscrites dans le système de GPA. Il est donc difficile d’estimer le niveau de transformation des efforts qui sera requis pour atteindre l’état futur. De plus, la plupart des applications sont en mauvais état en raison de leur âge ou d’une plateforme qui n’est plus soutenue par le fournisseur. Il y a également une certaine incertitude relative à l’état futur de différentes applications, ce qui complique encore davantage le processus d’estimation.

Au moment de l’audit, le Comité de transformation de la GTI avait adopté une méthodologie d’établissement des coûts qui s’appuie sur un modèle d’établissement des coûts basé sur le serveur pour arriver à un ordre de grandeur approximatif (estimation de classe D) des coûts associés au passage de l’état actuel à l’état futur. Le modèle couvre les coûts associés à la migration et à la transformation des applications d’un ancien centre de données au centre de données futur. Il comprend les coûts associés à la révision, au remaniement, à la réorientation, à la reconstruction et la consolidation des anciennes applications pour répondre aux exigences du centre de données futur, mais ne tient pas compte des économies potentielles découlant de la mise en œuvre. Selon l’ébauche du plan de transformation de la GTI, beaucoup de travail devra être effectué au cours des trois prochaines années pour mettre en œuvre cette transformation.

L’ébauche du plan de transformation comprend également l’établissement d’un programme d’AE global pour le ministère. Selon l’estimation de classe D, ce programme coûterait environ 415 000 $ et environ sept mois seraient nécessaires pour établir l’élaboration d’un programme d’AE pour les applications du ministère. Le coût estimé comprend l’élaboration d’un cadre de gouvernance d’AE (vision et mission, organes et processus de gouvernance de l’AE, domaines d’architecture, politique d’AE et normes architecturales), la réalisation d’une évaluation de l’état actuel et la détermination d’un état futur. Le coût estimé ne comprend pas les coûts associés à la mise en œuvre de l’AE.

Pour évaluer les exigences en ressources, notamment les exigences relatives au nombre et aux compétences, y compris les compétences en architecture d’entreprise, RNCan a lancé une initiative visant à créer un répertoire des compétences en GTI. L’initiative est cependant limitée à la DDPIS. L’initiative comprend plusieurs domaines de compétences en TI, et, pour chaque domaine, une ressource particulière est évaluée sur une échelle de quatre niveaux de compétence. L’information du répertoire des compétences en GTI peut être utilisée comme outil pour compléter les processus de planification de projet en TI. Cependant, le modèle de prestation de services actuel ne permet pas d’exploiter cette information. De plus, le répertoire des compétences en GTI des secteurs n’est pas enregistré ou partagé avec le reste du ministère.

RISQUES ET INCIDENCES

Les risques liés au manque d’exigences clairement définies en matière de ressources pour l’AE, comme un environnement de la GTI coûteux et incohérent, pourraient persister si aucune analyse de rentabilisation exhaustive n’est conçue, approuvée et réalisée.

RECOMMANDATION

4.  Le dirigeant principal de l’information (DPI) devrait préparer une analyse de rentabilisation exhaustive pour la mise en œuvre du programme d’architecture d’entreprise dans le cadre du plan de transformation global de la GTI, notamment les activités, les échéanciers, les budgets, les ressources nécessaires et les mesures de rendement bien définis.

RÉPONSE DE LA DIRECTION ET PLAN D’ACTION

La direction est d’accord. En réponse à la recommandation no 4 :

La DDPIS développera une analyse de rentabilisation pour la mise en œuvre d’un programme d’AE continue. Celle-ci comprendra les activités, les échéanciers, les ressources nécessaires et les mesures de rendement bien définis. L’analyse de rentabilisation sera présentée au DPF.

Postes responsables : Direction du dirigeant principal de l’information et de la sécurité (DDPIS) – DPI

Échéancier : Avril 2019

GESTION DES RISQUES, SUPERVISION ET SURVEILLANCE

Constatation générale

Plusieurs systèmes et pratiques liés à l’élaboration, à la mise en œuvre et à la surveillance d’une AE n’ont pas été mis au point ou nécessitent un renforcement. Ils comprennent un processus visant à gérer les risques liés à l’AE, des mécanismes de supervision et de surveillance ainsi que l’élaboration d’indicateurs de rendement clés.

Observations pertinentes

Processus de gestion du risque

L’équipe d’audit s’attendait à ce que les risques liés à l’architecture d’entreprise (AE) soient identifiés, signalés et atténués de façon proactive.

RNCan possède une approche de gestion des risques qui lui permet de cerner les principaux risques, y compris les risques liés à l’AE pour le ministère. Cependant, des possibilités d’amélioration des processus de gestion des risques au sein du ministère ont été déterminées pour envisager une approche intégrée des risques liés à la création et à la mise en place d’une AE.

Le rôle de la DDPIS dans l’évaluation des risques liés à la GTI se limite à sa propre direction. Chaque secteur doit cerner ses propres risques liés à la GTI et coordonner des stratégies d’atténuation avec le Secteur des résultats et de la politique stratégique (SRPS). Par contre, les responsabilités liées à l’atténuation de ces risques ne sont pas claires. Les risques liés à la GTI sont inscrits dans les plans de la TI et de la GI ministériels. À RNCan, le SRPS coordonne divers processus soutenant l’identification et la gestion des risques ministériels et rédige le profil de risque ministériel (PRM) du ministère. Le PRM présente les principaux risques stratégiques, externes et commerciaux du ministère, ainsi que les stratégies d’atténuation et les responsabilités clés. Chaque secteur doit préparer un Profil de risque sectoriel qui décrit ses risques et stratégies d’atténuation respectifs.

Il n’y a actuellement aucun risque précis lié à l’absence de programme d’AE dans le PRM de RNCan. Au moment de l’audit, aucun registre des risques, y compris les risques liés à l’AE, n’avait été créé pour l’initiative de transformation de la GTI. Cependant, de nombreux risques et défis associés au manque d’AE ont été mentionnés lors des récents ateliers sur la transformation de la GTI et dans l’évaluation de l’état de préparation au changement. L’absence d’harmonisation entre les investissements en GTI et les priorités d’affaires, ainsi que les problèmes ayant trait à la mesure du rendement et à la gouvernance pour les activités, services et projets de GTI sont des exemples de risques liés à l’absence d’AE.

De plus, dans le cadre du processus de transformation de la GTI, la DDPIS a mené un sondage sur l’engagement culturel et s’est adressée au personnel de TI/GI pour obtenir leur avis sur le Plan de transformation de la GTI. Des ressources de GTI inadéquates, des rôles et des responsabilités en matière de GTI imprécis, des systèmes des TI limités et l’approche décentralisée de GTI ont été mentionnés comme principaux risques ou défis de l’exécution réussie du Plan de transformation de la GTI. 

Supervision, surveillance et mesure du rendement

L’équipe d’audit s’attendait à ce qu’un cadre de responsabilité et de rendement de l’AE soit en place et à ce que des indicateurs/paramètres du rendement soient établis pour déterminer si les normes de l’AE de référence sont appliquées avec cohérence pour tous les investissements en TI.

RNCan n’a pas établi de programme d’AE officiel, aucun processus officiel n’a donc été mis en place pour mesurer l’avancement de l’AE. Certaines activités de surveillance de l’AE et des rapports ponctuels sont effectués. Cependant, ces activités ne donnent qu’une image fragmentée de l’état actuel. De plus, aucun processus ni aucune procédure ne sont établis pour déterminer si les investissements en TI respectent l’approche de l’AE de RNCan. Pour le moment, RNCan n’a pas de normes approuvées pour l’AE de référence. Il est donc impossible d’évaluer l’efficacité et la conformité des investissements en TI.

Les rapports ponctuels de la gestion du portefeuille d’applications (GPA) sont présentés au Comité d’examen de l’architecture (CEA). Ces rapports présentent le statut du portefeuille d’applications, y compris le nombre total actuel d’applications (retirées, essentielles à la mission, essentielles et services organisationnels essentiels) par processus approuvé par SPC. Le statut de l’indicateur de la santé du portefeuille d’applications, le statut du temps, le statut de la valeur commerciale et la situation de retraite sont également représentés sous forme graphique. Les statistiques présentées dans les rapports ponctuels de la GPA ne sont pas complètes puisque la GPA ne contient pas toutes les applications actuellement utilisées par le réseau ministériel de RNCan. Par exemple, plusieurs applications du poste de travail acquises et utilisées par des bureaux régionaux ne sont pas comprises dans la GPA.

Les chefs en TI de différents secteurs ont mentionné que les rapports internes relatifs aux TI au sein des secteurs varient beaucoup. Dans certains secteurs, le contrôle de la qualité interne ou la rédaction de rapports se limite au suivi des livrables des projets de TI. D’un autre côté, certains secteurs évaluent le progrès des projets de TI, des documents relatifs à l’évaluation et l’autorisation de sécurité et des problèmes d’exploitation, en plus de conserver un tableau de bord pour permettre à la direction du secteur de connaître le statut actuel des problèmes de TI.

La stratégie de GTI du ministère 2017-2022 stipulait que d’autres indicateurs de rendement clés (IRC) doivent être créés pour évaluer le rendement dans les domaines des infrastructures, des applications, de l’information, des ressources d’entreprise et de la gouvernance d’entreprise. La préparation de certains indicateurs comme l’indicateur de santé du portefeuille d’applications (ISPA) est en cours, mais avec une quantité limitée d’information. Cependant, la majorité des IRC ne sont pas prêts. Cela s’explique, en partie, par l’absence des processus, procédures et responsabilités requis pour leur mise en place, et la dépendance au soutien architectural d’organisations partenaires comme Services partagés Canada (SPC). Les IRC qui seront créés pour différents domaines de GTI fourniront des renseignements adéquats. Cependant, il n’existe aucun tableau de bord de la gestion du rendement global pour harmoniser les différentes statistiques du rendement et donner une idée globale de l’AE de RNCan. Voici des exemples d’indicateurs du rendement clés (IRC) de l’AE :

  • Nombre d’exception aux normes d’AE accordées;
  • Rétroaction des clients de l’architecture;
  • Bénéfices réalisés qui découlent de la mise en place de l’AE.

Pour le moment, le ministère utilise le Cadre de responsabilisation de gestion (CRG) pour rédiger ses rapports sur le rendement de la GTI, cadre qui se limite aux rapports concernant la régie de la GI, la régie des TI et la santé du portefeuille d’applications, l’activation du service/programme de TI, la conformité aux priorités d’entreprise, le rendement du service, la sécurité de la TI, la stratégie de cybersécurité du Canada et l’identité fédérée. Cependant, ces indicateurs seuls ne fournissent qu’une image incomplète de l’état actuel de l’AE de RNCan. Des mesures de rendement régulières et des rapports sur le rendement de l’AE aideraient la haute direction à surveiller la valeur des projets de TI assurant les opérations d’entreprise et à prendre des décisions éclairées.

L’équipe d’audit a constaté que le domaine de la cybersécurité avait récemment connu d’importantes améliorations en matière de supervision et de surveillance. Les membres du CGTI et du CRA reçoivent des mises à jour périodiques concernant le plan d’action en matière de cybersécurité et le plan des TI ministériel. Les mises à jour sur la cybersécurité comprennent de l’information sur certains domaines tels que les évaluations de la vulnérabilité réalisées et les résultats ainsi que le statut des évaluations et autorisations de sécurité.

RISQUES ET INCIDENCES

L’absence d’approche intégrée pour gérer les risques et les défis liés à la transformation de la GTI et à l’AE pourrait nuire à la capacité de la direction de fournir des données en temps opportun aux stratégies pour atténuer tous les risques pertinents importants. Le manque de cadre officiel pour le rendement et la responsabilité, ainsi que le manque d’indicateurs de rendement entravent la capacité du ministère à produire des rapports exhaustifs, précis et significatifs pour surveiller l’efficacité de l’AE et en donner un aperçu, et à reconnaître de façon proactive l’efficacité de l’utilisation de l’AE.

RECOMMANDATIONS

5.   Le dirigeant principal de l’information (DPI), en consultation avec tous les secteurs, doit élaborer une stratégie de gestion des risques, dans le cadre de l’initiative de transformation de la GTI, et rendre compte régulièrement de l’état des principaux risques au Comité de gestion de la technologie et de l’information.

6.   Le dirigeant principal de l’information, en consultation avec tous les secteurs, doit élaborer et mettre en œuvre des indicateurs de rendement clés ainsi que des mécanismes efficaces de supervision et de surveillance afin de s’assurer que les normes d’architectures d’entreprise sont systématiquement mises en œuvre au sein de l’organisation.

RÉPONSE DE LA DIRECTION ET PLAN D’ACTION

La direction est d’accord. En réponse à la recommandation no 5 :

Dans le cadre de l’initiative de transformation de la Gestion de la technologie et de l’information (GTI), la DDPIS mettra en place des mécanismes appropriés pour signaler régulièrement les risques liés à la GTI au CGTI pour l’ensemble du ministère.

Postes responsables : Direction du dirigeant principal de l’information et de la sécurité (DDPIS) – DPI

Échéancier : Avril 2019

La direction est d’accord. En réponse à la recommandation no 6 :

Dans le cadre de l’analyse de rentabilisation pour la mise en œuvre du programme d’AE (PAD 4.1), des indicateurs de rendement clés et des mécanismes de surveillance seront déterminés et transmis au Comité d’examen de l’architecture pour une supervision régulière.

Postes responsables : DDPIS – DPI

Échéancier : Avril 2019

ANNEXE A – CRITÈRES D’AUDIT

L’objectif de l’audit était d’évaluer si RNCan dispose de principes et processus d’architecture d’entreprise (AE) bien définis et fonctionnels, qui répondent aux besoins actuels et futurs de l’organisation et qui sont alignés à l’approche pangouvernementale.

Les critères d’audit suivant ont été utilisés pour mener cet audit :

 
Sous-objectifs de l’audit Critères d’audit

Sous-objectif de l’audit 1 :

Gouvernance : Déterminer s’il y a une structure de gouvernance adéquate en place qui soutient une planification et des prises de décisions transparentes en matière d’AE de la TI et les besoins changeants des programmes scientifiques.

  1. 1.1 L’existence de politiques, directives et orientation complètes et approuvées pour le développement et le maintien d’une architecture d’entreprise des TI qui sont à jour et utilisées.
  1. 1.2 Des rôles et responsabilités de direction, de supervision et d’approbation de l’architecture d’entreprise ont été établis et assumés.
  1. 1.3 Les propriétaires d’entreprises et les représentants de la DDPIS participent activement au développement de la vision, de stratégies, de politiques et des principes de l’architecture d’entreprise des TI pour l’organisation.

Sous-objectif de l’audit 2 :

Développement et mise en œuvre : Déterminer s’il y a un processus efficace d’élaboration et de mise en œuvre d’AE pour assurer l’harmonisation entre le GC, la DDPIS et divers secteurs.

  1. 2.1 Une version de haut niveau des principes de l’architecture d’entreprise des TI décrivant l’organisation en matière d’exigences relatives au rendement, aux opérations d’affaires, aux données, aux services, à la technologie et à la sécurité a été créée.
  1. 2.2 Un plan de transformation de l’architecture d’entreprise des TI a été créé et est conforme aux plans stratégiques des TI de RNCan et du GC qui décrivent l’environnement actuel et futur des technologies de gestion de l’information.
  1. 2.3 Les risques liés à l’architecture d’entreprise des TI ont été identifiés, transmis et atténués de façon proactive.
  1. 2.4 Il existe une méthodologie de développement et de maintien de l’architecture d’entreprise des TI qui est employée.
  1. 2.5 Les exigences relatives aux ressources de l’architecture d’entreprise des TI qui comprennent les compétences et capacités requises ont été évaluées et définies adéquatement.

Sous-objectif de l’audit 3 :

Supervision et surveillance : Déterminer s’il y a une surveillance efficace de l’architecture d’entreprise des TI par le biais de mesures et de contrôle du rendement pour atteindre les résultats escomptés et réaliser des bénéfices clés.

  1. 3.1 Il existe des méthodologies, des outils et des indicateurs de rendement clés pour évaluer la conformité à l’architecture d’entreprise des TI.
  1. 3.2 Un cadre du rendement et des responsabilités de l’architecture d’entreprise des TI a été établi et fonctionne comme il le devrait.

Source : Les objectifs et les critères de l’audit ont été établis selon la stratégie de GTI 2017-2022 de RNCan, les modalités du CEA de RNCan, le plan des TI 2017-2020 de RNCan et le plan stratégique des TI 2016-2020 du GC. La section AP003 (Gérer l’architecture d’entreprise) de COBIT5Note de bas de page1 et TOGAF 9.1Note de bas de page2 ont aussi été utilisés.

ANNEXE B – ABRÉVIATIONS

AE Architecture d’entreprise
CATI Conseils en matière de sécurité des technologies de l’information
CEA Comité d’examen de l’architecture
CGTI Comité de gestion de la technologie et de l’information
CMV Comité ministériel de vérification
COBIT Cadre sur les objectifs de contrôle de l’information et des technologies connexes
CRA Comité de renouveau administratif
DDPIS Direction du Dirigeant principal de l’information et de la sécurité
EAS Évaluation et autorisation de sécurité
ESCV Élaboration des systèmes axée sur le cycle de vie
GC Gouvernement du Canada
GI Gestion de l’information
GPA Gestion du portefeuille d’applications
GTI Gestion de la technologie et de l’information
IEPA Indicateur d’état du portefeuille d’applications.
IRC Indicateur de rendement clé
PAC Plan d’action en matière de cybersécurité
RACI Responsabilité, imputabilité (accountability), consultation, information
RNCan Ressources naturelles Canada
SCT Secrétariat du Conseil du Trésor du Canada
SPC Services partagés Canada
SRPS Secteur des résultats et de la politique stratégique
TI Technologie de l’information
TOGAF The Open Group for Enterprise Architecture Framework

Détails de la page

Date de modification :