AUDIT DE LA PLATEFORME GÉOSPATIALE FÉDÉRALE
Présenté au Comité ministériel de vérification (CMV)
Le 26 septembre 2019
Sommaire
Introduction
Le gouvernement du Canada recueille et utilise des données géospatialesFootnote 1 pour contribuer à l’atteinte de différents objectifs tels que la croissance économique, la gestion environnementale et le bien-être social. La plateforme géospatiale fédérale (PGF) est une initiative du Comité fédéral de géomatique et d’observation de la Terre (CFGOT) visant à acquérir des capacités et utiliser la collecte croissante de données géospatiales pour atteindre ces objectifs. Ce comité, créé en janvier 2012, est composé de hauts fonctionnaires provenant de 21 ministères et organismes producteurs ou utilisateurs de données géospatiales. Les objectifs du comité comprennent l’élaboration de cadres, de politiques et de directives visant à renforcer : la capacité fédérale d’information géospatiale et d’observation de la Terre, le personnel, la technologie, les services et l’information. En mai 2014, le Conseil du Trésor (CT) a approuvé la création de la PGF doté d’un budget de 37,4 millions de dollars provenant des ministères partenaires.
La PGF vise à faciliter l’accès aux données géospatiales du gouvernement, et à réduire les obstacles au partage des données. La PGF intègre de vastes répertoires de données géospatiales économiques, sociales et environnementales avec la technologie de plusieurs ministères et organismes pour appuyer la prise de décisions géo-dépendantes sur des enjeux complexes. Les sujets peuvent comprendre l’infrastructure énergétique, les communautés autochtones, les espèces marines à risque, les habitats des caribous, la pollution déclarée, et la qualité de l’eau.
Bien que la PGF soit gouvernée horizontalement par les ministères partenaires, la direction de la structure de gouvernance revient à Ressources naturelles Canada (RNCan), à titre de responsable exécutif de la plateforme. À ce titre, RNCan dirige l’élaboration et la mise en œuvre de la plateforme. La division de la PGF créée au sein de RNCan pour construire et gérer la plateforme relève de la responsabilité du Centre canadien de cartographie et d’observation de la Terre (CCCOT) dans le secteur des résultats et de la politique stratégique (SRPS). Le CCCOT est le centre d’excellence du Canada en matière de géomatique, de cartographie et d’observations de la Terre.
En plus des ministères partenaires de la PGF, les autres utilisateurs de la plateforme peuvent inclure d’autres ministères fédéraux, des organisations non-gouvernementales, des administrations municipales, provinciales et territoriales, des universités, des organismes autochtones, le secteur privé, des citoyens et des bénévoles.
La PGF a entamé sa phase opérationnelle post-projet le 31 mars 2017 et demeure un effort collaboratif entre les partenaires de la plateforme. RNCan continue de diriger la gouvernance de la PGF durant la phase opérationnelle du cycle de vie de la plateforme, et la division de la PGF au sein du CCCOT continue de servir de bureau de gestion de projet pour la plateforme.
Le présent audit a été inclus dans le Plan de vérification axé sur les risques 2018-2021, approuvé le 12 avril 2018 par le sous-ministre.
Points forts
Globalement, l’équipe de direction de la PGF au sein du CCCOT a démontré son expertise dans les données géospatiales et en gestion de projet, tel qu’illustrée par les processus établis de planification de projet, de gestion du risque, et de communication auprès des intervenants. Les efforts déployés pour rassembler de nombreux ministères partenaires et intervenants afin d’élaborer une plateforme partagée ont permis de réaliser des progrès considérables dans l’atteinte de plusieurs priorités du gouvernement du Canada.
Domaines à améliorer
L’audit a identifié des opportunités pour renforcer les mécanismes de gouvernance, la gestion du risque, la surveillance et les rapports. La mise en œuvre des contrôles de sécurité des TI requis pour la plateforme est un domaine à améliorer, et les mécanismes de mobilisation et de consultation pourraient aussi être améliorés pour renforcer la communication auprès des intervenants et la convivialité de la plateforme.
Conclusion de l’audit interne et opinion
J’estime que le CCCOT a pris des mesures importantes ces dernières années pour établir des processus de gestion de projet et de gestion de l’information ainsi que des activités efficaces de communication auprès des intervenants en lien avec la PGF. Les processus de gestion pourraient être clarifiés et améliorés en ce qui concerne la surveillance efficace et la sécurité des technologies de l’information (TI), et la communication auprès des intervenants pourrait être renforcée.
Énoncé de conformité
Selon mon jugement professionnel en tant que dirigeant principal de l’audit, je suis d’avis que l’audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes, et la Politique sur la vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.
Christian Asselin, CPA, CA, CMA, CFE
Dirigeant principal de l’audit et l’évaluation
Le 26 septembre 2019
Remerciements
L’équipe d’audit souhaite remercier les personnes qui ont participé à ce projet, en particulier ceux et celles qui ont apporté leurs points de vue et leurs commentaires dans le cadre du présent audit.
Introduction
Le gouvernement du Canada recueille et utilise des données géospatialesFootnote 2 pour contribuer à l’atteinte de différents objectifs tels que la croissance économique, la gestion environnementale et le bien-être social. Comme les données sont devenues une nouvelle monnaie mondiale à l’ère de l’information, la capacité de transformer ces données en renseignements utiles est de plus en plus importante.
Depuis 2007, on observe une augmentation considérable de la cartographie dynamique avec l’afflux de nouvelles technologies et l’augmentation des capacités informatiques pour capturer des données géospatiales en temps quasi réel afin de les utiliser dans les cas, par exemple, d’inondations, de surveillance des séismes, du niveau de saturation du sol, et pour la topographie. Avant la création de la PGF, divers ministères et organismes recueillaient des données géospatiales pour leurs propres besoins à l’aide de différentes technologies et normes. Par conséquent, la plupart des données géospatiales du gouvernement n’étaient pas diffusées ouvertement aux Canadiens, et ne pouvaient pas être échangées ou mises en commun par les ministères et organismes facilement.
En mai 2014, le CT a approuvé la création de la PGF pour un coût estimé de 37,4 millions de dollars, dans l’objectif de faciliter l’accès aux données géospatiales du gouvernement et de réduire les obstacles au partage de données. La PGF a pour vocation d’être un environnement collaboratif en ligne comprenant des données géospatiales qui font autorité, des services et des applications qui permettent de trouver et de visualiser facilement les données géospatiales les plus pertinentes du gouvernement fédéral sur des cartes afin d’améliorer le processus décisionnel ainsi que d’encourager l’innovation et mieux servir les Canadiens. La PGF vise à intégrer de vastes répertoires de données géospatiales économiques, sociales et environnementales avec la technologie de plusieurs ministères et organismes pour appuyer la prise de décisions géo-dépendantes sur des enjeux complexes. Les sujets peuvent comprendre l’infrastructure énergétique, les communautés autochtones, les espèces marines à risque, les habitats des caribous, la pollution déclarée, et la qualité de l’eau.
D’autres nations comme le Royaume-Uni, l’Australie, Singapour et les États-Unis ont considérablement investi dans des plateformes géospatiales au cours des dix dernières années, et en sont à diverses étapes de développement. Il est évident que ces nations mettent également la priorité sur le partage ouvert et accessible de données géospatiales, pour réduire le dédoublement des efforts et stimuler l’activité économique.
La PGF a été conçue conformément aux priorités du gouvernement du Canada telles que le gouvernement ouvert, la compétitivité économique, la sécurité et la sûreté, l’environnement, et le renouvellement de la fonction publique. La PGF est composée de plusieurs répertoires d’ensembles de données rassemblés dans le cadre d’ententes interministérielles et d’éléments de TI, notamment une application Web pour consulter, afficher et visualiser les données contenues dans ces répertoires. En juillet 2019, la plateforme comptait 1 145 ensembles de données géospatiales partagées avec les utilisateurs de la plateforme par le biais de deux interfaces : un site sur le réseau interne du gouvernement, et une sélection limitée d’ensembles de données accessibles sur un site public intitulé Cartes ouvertes sur le portail du gouvernement du Canada, lequel relève de la responsabilité du CT.
L’initiative de PGF est dirigée par le CFGOT. Ce comité, créé en janvier 2012, est composé de hauts fonctionnaires provenant de 21 ministères et organismes (voir l’annexe 1 ci-dessous) qui sont producteurs ou utilisateurs de données géospatiales. Ce comité fait office de voix collective pour la géomatique fédérale dans l’ensemble de la fonction publique. Les objectifs du comité comprennent l’élaboration de cadres, de politiques et de directives visant à renforcer : la capacité fédérale d’information géospatiale et d’observation de la Terre, le personnel, la technologie, les services et l’information.
Annexe 1 : Membres du Comité fédéral de géomatique et d’observation de la Terre (CFGOT)
- Agriculture et Agroalimentaire Canada
- Affaires autochtones et du Nord Canada
- Agence canadienne d’inspection des aliments
- Agence canadienne de développement économique du Nord
- Agence spatiale canadienne
- Ministère des Pêches et Océans
- Ministère de la Défense nationale
- Affaires mondiales Canada
- Élections Canada
- Santé Canada
- Industrie Canada
- Ressources naturelles Canada
- Parcs Canada
- Agence de la santé publique du Canada
- Sécurité publique Canada
- Gendarmerie royale du Canada
- Services partagés Canada
- Statistique Canada
- Secrétariat du Conseil du Trésor
- Transports Canada
Bien que la PGF soit gouvernée horizontalement par les ministères partenaires qui apportent volontairement des ressources à la plateforme, la direction de la structure de gouvernance revient à RNCan, qui est son responsable exécutif. À ce titre, RNCan dirige l’élaboration et la mise en œuvre de la plateforme. La division de la PGF créée au sein de RNCan pour construire la plateforme relève de la responsabilité du CCCOT. Le CCCOT est le centre d’excellence du Canada en matière de géomatique, de cartographie et d’observations de la Terre.
En plus des ministères partenaires, les autres utilisateurs de la plateforme peuvent inclure d’autres ministères fédéraux, des organisations non-gouvernementales, des administrations municipales, provinciales et territoriales, des universités, des organismes autochtones, le secteur privé, des citoyens et des bénévoles.
La PGF a entamé sa phase opérationnelle post-projet le 31 mars 2017 et demeure un effort collaboratif entre les partenaires de la plateforme. RNCan continue de diriger la gouvernance de la PGF durant la phase opérationnelle du cycle de vie de la plateforme, et la division de la PGF au sein du CCCOT continue de servir de bureau de gestion de projet pour la plateforme.
Le présent audit a été inclus dans le Plan de vérification axé sur les risques 2018-2021, approuvé le 12 avril 2018 par le sous-ministre.
But et objectifs de l’audit
L’objectif de l’audit était d’évaluer l’adéquation et l’efficacité globales des processus de gestion essentiels appuyant la mise en œuvre et les activités courantes de la PGF.
Plus précisément, l’audit a évalué si RNCan a:
- établi des processus de gestion de projet adéquats et efficaces pour la mise en place de la PGF, et pour informer des projets gérés horizontalement;
- établi des processus adéquats et efficaces pour gérer les partenariats et répondre aux besoins des intervenants et des utilisateurs; et
- géré efficacement la TI à l’appui de la PGF.
Facteurs pris en considération lors de l’audit
Une approche axée sur les risques a été utilisée pour établir les objectifs, le champ d’application et la démarche de cette mission d’audit. Les domaines suivants ont été déterminés comme importants dans l’atteinte des objectifs du Ministère, et ont par conséquent été évalués comme des domaines de risque accru pour cet audit :
- Des mécanismes efficaces de gestion de projet et de gouvernance assurent l’efficacité, réduisent le dédoublement des efforts dans les ministères partenaires, et augmentent la probabilité d’atteindre les objectifs des projets.
- Une assignation claire et une surveillance des rôles et responsabilités des partenaires pour la gestion de l’information contribuent à une gestion efficace des données tout au long du cycle de vie du projet.
- Une gestion efficace des intervenants par l’intermédiaire de communications, de collaborations et de formation garantit que les utilisateurs de l’ensemble du gouvernement fédéral (analystes des politiques, hauts fonctionnaires, utilisateurs non techniques, etc.) peuvent utiliser des données géospatiales dans leurs prises de décisions, rapports, opérations et recherches.
- Une gestion efficace de la TI est essentielle afin d’ atteindre l’objectif d’une « plateforme » commune pour le partage de l’information.
Champ d’application
L’audit portait sur les activités de la PGF au sein du Ministère, notamment un examen des rôles et activités de la PGF en tant que bureau de première responsabilité. L’audit portait aussi sur les travaux des comités de gouvernance géospatiale pertinents (p. ex. le CFGOT et le conseil de direction de la PGF) et la façon dont ils ont contribué à la PGF.
Le champ d’application de cet audit comprenait les processus, procédures et outils utilisés par les ministères et secteurs pertinents pour la planification, l’exécution, la surveillance et l’établissement de rapports sur les activités de la PGF. L’audit portait principalement sur les récentes activités et les récents processus de la plateforme opérationnelle, soit sur la période allant du 31 mars 2017 au 31 mars 2019; cependant, l’audit a également tenu compte de l’évolution du projet entre son approbation du projet en 2014 jusqu’à la fin de sa mise en œuvre le 31 mars 2017, et la phase opérationnelle ouverte, s’ils étaient pertinents aux critères. Les résultats de discussions consultatives, d’audit et d’évaluation pertinents ont également été pris en considération.
RNCan échange avec d’autres ministères et organismes fédéraux dans le domaine géospatial. Ainsi, les interactions entre RNCan et d’autres ministères du gouvernement ont été examinées au cours des phases de planification et d’exécution de l’audit pour comprendre les activités de gouvernance et de communication de la PGF d’un point de vue horizontal; cependant, l’audit des activités de ces ministères ne fait pas partie du mandat de la direction de l’audit et de l’évaluation.
Approche et méthodologie
L’approche et la méthodologie adoptées sont conformes aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et la Politique sur l’audit interne du gouvernement du Canada. Ces normes exigent que l’audit soit planifié et exécuté de manière à donner l’assurance raisonnable que les objectifs de l’audit seront atteints. L’audit comportait divers tests jugés nécessaires pour offrir une telle assurance. Les auditeurs internes ont fait preuve d’impartialité et d’objectivité, comme l’exigent les Normes internationales pour la pratique professionnelle d’audit interne.
L’approche d’audit comprenait les tâches clés suivantes :
- Des entrevues avec le personnel clé, les intervenants, les utilisateurs de la plateforme et des experts en la matière;
- L’examen d’une sélection de documents clés, de processus opérationnels et de supports de communication;
- L’examen de renseignements et de documents liés aux activités de planification de projet, la supervision, la communication, la rétroaction et la gestion de l’information; et
- Divers essais et analyses de fichiers relatifs aux critères indiqués.
L’étape d’exécution de l’audit s’est terminée pour l’essentiel en mai 2019.
Critères
Les critères de l’audit sont présentés en détail à l’Annexe A. Le travail d’audit sur le terrain et la conclusion globale de l’audit reposent sur ces critères.
Constatations et recommandations
Gouvernance et gestion de projet
Constatation générale
Globalement, le CCCOT a établi des processus de gestion de projet adéquats et efficaces pour la mise en place de la PGF, et pour informer de projets gérés horizontalement. Le CCCOT a suivi et respecté les normes, directives et lignes directrices définies par le Secrétariat du Conseil du Trésor (SCT) au cours de la phase de projet de la PGF. L’audit a permis de déterminer des possibilités d’amélioration des activités de surveillance et de communication des activités de surveillance et de gestion du risque à la haute direction de RNCan et aux comités de gouvernance de la PGF au cours de la phase opérationnelle de la plateforme.
Observations pertinentes
Une planification et une gestion efficaces des projets, notamment la mise en œuvre des mécanismes de gouvernance et de reddition de comptes, sont essentielles à la réussite de tous les projets de RNCan. L’équipe de l’audit prévoyait que des mécanismes adéquats aient été conçus et utilisés par le CCCOT pour contribuer à la mise en œuvre de la plateforme. Elle prévoyait également, compte tenu du champ d’application de la plateforme et de la participation d’un grand nombre de ministères partenaires, que les leçons tirées au cours du projet soient documentées pour éclairer de projets gérés horizontalement. Dans le but de gérer efficacement le projet dans sa phase opérationnelle, l’équipe de l’audit prévoyait que les activités de surveillance de la performance de la plateforme et de gestion du risque se poursuivent et soient communiquées aux intervenants internes et externes.
Planification du projet
Le PGF a été assujetti à l’outil d’évaluation de la complexité et des risques des projets (ECRP) du gouvernement du Canada, qui est obligatoire pour les projets dont le budget est supérieur à un million de dollars. Le résultat de l’ECRP de la PGF a été un score de niveau 3 en fonction de son risque et des caractéristiques du projet. Les projets obtenant un score de niveau 3 ou 4 à l’ECRP doivent préparer et faire approuver une présentation au CT. Cette exigence correspond également au cadre de gestion de projet de RNCan, en vertu duquel le sous-ministre est chargé de veiller à ce que les projets ayant un score d’ECRP de niveau 3 ou 4 obtiennent une approbation du CT.
Le CCCOT a établi un plan de projet en avril 2014, ainsi que les documents justificatifs requis par le cadre de gestion de projet de RNCan et la politique du SCT sur la gestion de projets. Les documents comprenaient la conception des mécanismes de gouvernance et de supervision mis en place pour gouverner, gérer et surveiller la PGF de manière efficace, et aussi pour en faire état. Les documents comprenaient également des mécanismes veillant à ce que tout changement majeur dans les rôles, responsabilités et mécanismes de gouvernance et de supervision soit adéquatement consigné dans la documentation. L’équipe de l’audit a également relevé que le plan de projet et la documentation justificative ainsi que les mises à jour subséquentes de la documentation ont été communiqués aux divers intervenants du projet en temps opportun.
L’équipe de l’audit a déterminé qu’après la phase de projet terminée le 31 mars 2017, les comités de gouvernance ont continué à se réunir pendant la phase opérationnelle du projet qui a suivi. Le CCCOT, avec la supervision du conseil de direction de la PGF, a continué à planifier la voie à suivre au moyen de l’élaboration d’un plan stratégique de la PGF qui a été achevé le 26 juin 2018.
Surveillance et rapports
L’audit a permis d’examiner si des structures et processus étaient en place pour permettre la surveillance et la communication de la performance du projet. Au cours de la phase de projet (mai 2014 - mars 2017), les mesures de rendement du projet étaient clairement définies et communiquées à la haute direction. Après la fin de la phase de projet, au début de la phase opérationnelle en avril 2017, il a été observé qu’il y avait peu de surveillance et de rapports, et ceux-ci portaient principalement sur la conformité aux exigences ministérielles en matière de rapport, soit le cadre ministériel des résultats.
Phase de projet
Fournir à la haute direction des mesures régulières sur le rendement de la plateforme est un élément essentiel à l’appui d’un processus décisionnel et d’une affectation des ressources efficaces et rapides. Au cours de la phase de projet de la plateforme (mai 2014 - mars 2017), la haute direction de RNCan au niveau sous-ministre adjoint (SMA) a été informés des indicateurs de rendement clés (IRC) et des risques et problèmes liés au projet. Plusieurs outils ou réseaux ont été utilisés pour communiquer les résultats de la surveillance et de l’état du projet, notamment des tableaux de bord trimestriels, des réunions des comités de gouvernance, des rapports annuels et des ateliers. De plus, dans le cadre du plan de projet, des structures de gouvernance et des comités ont été établis pour fournir une supervision, une orientation, et un processus décisionnel sur les activités liées au projet. Au cours de la phase de projet, ces comités se sont réunis chaque mois et ont reçu les résultats des activités de surveillance du CCCOT.
Les tableaux de bord trimestriels ont fourni des renseignements aux intervenants concernant la santé financière de la plateforme, notamment un sommaire financier, un calendrier de projet, les risques et problèmes du projet, et des demandes de changement. L’équipe de l’audit prévoyait qu’une partie des éléments et activités de surveillance déclarés, notamment les IRC établis dans la phase de projet, continuent à être utilisés pour rendre des comptes sur la performance de la plateforme tout au long de la phase opérationnelle.
Phase opérationnelle
Lors de la clôture de la phase de projet et de la transition vers la phase opérationnelle à la fin de l’EF 2016-2017, les exigences du CT en matière de reddition de comptes n’étaient plus requises, car la plateforme n’était plus sous la responsabilité du SCT. Au cours de la phase opérationnelle, le CCCOT prévoyait continuer de rendre des comptes sur l’état de la plateforme à la haute direction de RNCan et aux divers comités de gouvernance; cependant, les IRC qui ont été établis et déclarés au cours de la phase de projet sur la plateforme n’ont pas été utilisés pour mesurer la performance de la plateforme au cours de la phase opérationnelle.
Le CCCOT a indiqué que son principal objectif était d’élaborer un plan stratégique qui orienterait la PGF. Il a également indiqué se concentrer sur l’élaboration de nouveaux IRC pour mesurer la performance de la plateforme et atteindre les objectifs indiqués dans le plan stratégique. Voici certains exemples d’IRC inclus dans le plan stratégique : le nombre d’ensembles de données publiés; le pourcentage d’autres ministères du gouvernement utilisant la PGF; le nombre de nouveaux individus qui utilisent la PGF; et le changement du nombre d’ensembles de données consultés. L’équipe de l’audit a relevé que le plan stratégique de la PGF a été achevé en juin 2018; cependant, les nouveaux IRC du plan stratégique n’ont pas été utilisés pour mesurer le rendement de la PGF et d’en faire état auprès de la haute direction ou d’autres comités de gouvernance à la fin de la phrase d’exécution du présent audit.
Gestion du risque
Parmi les éléments essentiels à l’atteinte des objectifs de la PGF, on trouve la conception et l’exécution d’un plan de gestion du risque qui évalue en continu l’environnement dans lequel le PGF évolue pour déterminer les risques et les mesures à prendre pour les atténuer. Il était prévu que le CCCOT ait établi un plan de gestion du risque qui aborde les éléments essentiels pour le PGF. En plus de ces processus de gestion du risque, il est prévu que les risques pouvant entraîner des changements importants ou un échec soient signalés aux comités de supervision et à la haute direction de RNCan.
L’audit a permis de déterminer que le CCCOT a conçu un plan de gestion du risque dans le cadre des activités de planification au cours de la phase de projet de la plateforme qui correspond au cadre de gestion du risque du SCT. Ce plan détermine que le bureau de gestion de projet (BGP) de la PGF est le principal groupe chargé de la supervision des activités planifiées. Ces activités comprennent des études internes et externes de l’environnement pour déterminer les risques. La probabilité et les répercussions de ces risques ont ensuite été évaluées et consignées dans des registres de risques, comme exigé par le cadre du BGP de RNCan. Les registres de risques comprenaient également de la documentation concernant les mesures prises pour gérer les risques identifiés de même que les plans de mise en œuvre de ces dernières et identifiaient une personne responsable de leur exécution. Le plan indique que le BGP de la PGF assurerait que les risques du projet fassent l’objet d’une supervision et de l’engagement nécessaire et agirait en tant que liaison avec les divers comités de gouvernance de la PGF.
L’audit a permis de déterminer qu’au cours de la phase du projet, la PGF était encadrée par des processus clairement définis pour la gestion du risque. L’équipe de l’audit l’a constaté dans la définition, l’analyse et le traitement des risques dans le registre de risques, mis à jour régulièrement lors des réunions du BGP de la PGF. Des rapports sur ces risques étaient transmis régulièrement par l’entremise des tableaux de bord trimestriels de la direction et lors des réunions du conseil de direction de la PGF. De plus, les processus et mécanismes nécessaires pour communiquer les risques au niveau supérieur de la gestion ont été établis au cours de la phase de projet. L’audit a permis de déterminer qu’au cours de la phase de projet, les risques pouvant entraîner des changements importants ou ayant le potentiel de faire échouer le projet ont été transmis aux comités de gouvernance et au BGP de RNCan et ont fait l’objet de discussion. Au cours de la phase opérationnelle, le CCCOT a déterminé que les risques décelés n’avaient pas besoin d’être communiqués au conseil de direction de la PGF.
L’équipe de l’audit a mené des tests par échantillonnage des registres de risques tenus durant les phases de projet et d’exécution. Elle a déterminé que pour les échantillons de risques de la phase de projet testés, tous les risques définis ont fait l’objet de suivi et de surveillance par l’intermédiaire du registre de risques. Tous les risques ont été gérés, et il a été déterminé que les risques indiqués ont été traités par les parties responsables.
Pour l’échantillon de risques sélectionnés dans la phase opérationnelle, l’équipe de l’audit a déterminé que tous les risques identifiés ont fait l’objet d’un suivi et d’une surveillance par l’intermédiaire du registre de risques, et que les descriptions des réponses au risque mises en place ont été consignées. Une exception a été relevée lors de l’audit, concernant le risque que les utilisateurs potentiels de la PGF dans l’ensemble du gouvernement puissent ne pas être informés des avantages de la PGF. Malgré un niveau de menace estimé comme « très élevé », l’équipe de la PGF a suspendu le plan de mise en œuvre prévu pour atténuer le risque au moyen d’activités de communication et de communication, acceptant les répercussions potentielles du risque s’il n’est pas géré. La décision de suspendre les activités de mise en œuvre n’a pas été officiellement consignée ni communiquée.
Documentation des leçons apprises
La documentation des leçons apprises est pertinente à l’échelle du projet et du Ministère, car la documentation des problèmes rencontrés peut contribuer à améliorer l’efficacité et l’efficience de la gestion de projets de l’ensemble d’un organisme. Elle améliore les capacités, le processus décisionnel et l’efficacité lorsqu’elle est utilisée pour éclairer de projets gérés horizontalement.
L’équipe de l’audit a déterminé que le CCCOT a documenté et communiqué les renseignements recueillis dans des activités sur les leçons apprises au cours de la phase de projet en temps opportun. Ces renseignements ont été communiqués au SCT par le biais de rapports annuels et du rapport de clôture du projet. De plus, les leçons apprises par l’intermédiaire de l’exécution du projet ont été communiquées à l’interne au BGP de RNCan, dans le bus d’être partagés et utilisés pour améliorer de projets gérés horizontalement.
Globalement, la documentation des leçons apprises durant la phase de projet de la plateforme par le CCCOT et leur communication à l’interne et à l’externe pour éclairer de projets gérés horizontalement a été exécutée en temps opportun.
Risques et incidences
Il existe un risque que les groupes chargés de la supervision, y compris les comités de gouvernance et la haute direction de RNCan, ne reçoivent pas de rapports adéquats en temps opportun sur la performance de la plateforme et les activités de gestion du risque, et par conséquent puissent ne pas disposer de tous les renseignements pertinents pour mener une gestion et une supervision appropriées de la plateforme.
Recommandation
Recommandation 1 : Il est recommandé que le SMA du SPSR, veille à ce que la haute direction de RNCan et les comités de gouvernance de la PGF reçoivent des renseignements adéquats et appropriés pour appuyer la supervision de la plateforme par le biais d’un examen des domaines suivants :
- Exigences et délais de rapports sur le rendement des activités de la PGF; et
- Exigences de signalement des risques.
Réponse de la direction et plan d’action
La direction est d’accord avec la recommandation 1.
En réponse à la recommandation 1, le SMA du SPSR veillera à ce que la haute direction de RNCan et les comités de gouvernance de la PGF reçoivent des renseignements adéquats et appropriés pour appuyer la supervision de la plateforme sur une base annuelle. Pour ce faire, le SMA, SPSR mènera un examen des activités actuelles de surveillance de la performance et d’évaluation du risque de la PGF afin d’élaborer un cadre qui appuiera les rapports annuels et la gestion du risque. Le SMA, SPSRfera des rapports annuels à l’ISPC et au comité exécutif. Le SMA, SRPS évaluera également la structure de gouvernance actuelle de la PGF pour garantir que la PGF est positionnée de sorte à renforcer le processus décisionnel, à RNCan et dans l’ensemble du gouvernement, particulièrement en ce qui concerne le rôle de la plateforme pour appuyer la Feuille de route de la Stratégie de données du gouvernement du Canada.
Responsable : Directeur de la PGF
Échéancier : Approbation par le SMA des exigences en matière de performance de la PGF et d’établissement de rapports – 31 janvier 2020
Gestion des partenaires et intervenants
Constatation générale
Globalement, le CCCOT a établi des mécanismes adéquats visant à promouvoir la plateforme auprès des nouveaux utilisateurs, recueillir et utiliser les commentaires, communiquer efficacement par le biais de lignes de communication officielles, et gérer efficacement les données au moyen d’affectation et de contrôle des rôles et responsabilités en matière de gestion de l’information. Le CCCOT a défini, assigné et géré de nombreuses activités relatives à la sensibilisation, la rétroaction, la communication et la gestion de l’information. L’audit a identifié des possibilités d’améliorer certains processus et procédures de la PGF en ce qui concerne l’offre de formation aux nouveaux utilisateurs, les mesures proactives de recueil de commentaires, et la clarification des rôles et responsabilités pour s’attaquer aux problèmes de gestion de l’information détectés lors de l’audit.
Observations pertinentes
Veiller à ce que des lignes de communication appropriées soient établies entre le CCCOT, les utilisateurs de la PGF et les partenaires de la PGF est essentiel à la réussite de la plateforme, car la PGF compte sur ces parties à divers égards, notamment en matière de gestion de l’information, de financement, rétroaction des utilisateurs, et dans le cadre des mécanismes de gouvernance et de supervision.
Les réseaux de communication entre RNCan et les partenaires de la PGF sont importants pour permettre à l’équipe de la PGF de mener des activités visant à intégrer de nouveaux utilisateurs, ainsi que de permettre aux utilisateurs existants et potentiels de faire part de leurs commentaires pour favoriser l’amélioration permanente de la plateforme. L’équipe de l’audit anticipait de constater des lignes de communication adéquates entre les intervenants et RNCan, et que ces lignes de communication soient utilisées par l’équipe de la PGF pour promouvoir la plateforme. Il était également attendu que des mécanismes aient été établis pour recueillir les commentaires des utilisateurs afin d’améliorer la plateforme. De plus, l’équipe de l’audit prévoyait que les rôles et responsabilités en matière de gestion de l’information aient été assignés et soient contrôlés pour veiller à ce que les données soient efficacement gérées tout au long du cycle de vie de la plateforme.
Lignes de communication
L’établissement de lignes de communication adéquates est un élément essentiel de l’atteinte des objectifs de la plateforme. Des lignes de communication efficaces et définies entre le CCCOT et les partenaires de la PGF peuvent être utilisées pour exécuter des fonctions de gouvernance et de supervision, pour communiquer des changements et activités de gestion du changement, et pour faire des rapports sur les divers aspects de la plateforme, notamment la gestion du risque et des coûts.
L’audit a permis de déterminer que le CCCOT a établi des lignes de communication adéquate avec les partenaires de la PGF. Au cours de la phase de projet, l’entente officielle concernant ces lignes de communication était contenue dans les documents de la charte de projet. À la clôture de la phase de projet de la PGF, des protocoles d’entente (PE) ont été signés avec les ministères partenaires de la PGF pour établir les lignes de communication de la phase opérationnelle. L’audit a permis de déterminer que les lignes de communication officielles étaient établies de manière appropriée, et convenues par la PGF et les ministères partenaires, et que les modalités visaient à garantir une collaboration efficace pour atteindre les objectifs de la plateforme. La principale méthode de communication entre ces groupes était le comité de gouvernance du conseil de direction de la PGF. Le comité est présidé par le directeur général de la PGF et chaque ministère qui a accepté de fournir des ressources à la PGF dispose d’un siège. Il a été noté dans l’audit que le conseil de direction de la PGF a tenu des réunions depuis le début de la phase de projet qui a commencé à l’EF 2014-2015.
Communication et intégration
Afin de faire connaître la PGF et d’encourager de nouveaux ministères et utilisateurs à l’utiliser, l’équipe de politiques et communications de la PGF a conçu et exécuté un plan de communications. L’équipe de politiques et communications a élaboré des outils de communication conçus pour informer les intervenants au sein de RNCan, des ministères partenaires de la PGF, et de la communauté géospatiale en général. Les activités de communication permettent d’éduquer des utilisateurs actuels et potentiels – qu’ils soient internes ou externes - du gouvernement fédéral sur les capacités de la plateforme, et d’attirer de nouveaux utilisateurs. Entre octobre 2015 et février 2019, l’équipe de politiques et communications a mené plus de 200 démonstrations de la plateforme auprès des divers intervenants de la PGF. En plus des démonstrations en personne, l’équipe des politiques et des communications a utilisé des sites intranet ministériels, des médias sociaux, et des communiqués de presse des cabinets de ministres et sous-ministres pour promouvoir la plateforme. Les ministères partenaires de la PGF, dans le cadre de leurs ententes avec RNCan dans la charte de projet pour la phase de projet et dans les PE pour la phase opérationnelle, ont été chargés d’entreprendre des activités de communication pour faire connaître la PGF dans leurs ministères respectifs.
Des entrevues ont été menées auprès de divers employés de RNCan au sujet des processus de communication et de rétroaction de la PGF. Les personnes interrogées ont été sélectionnées en fonction de leurs rôles, et comprenaient à la fois des utilisateurs actuels de données géospatiales, et des personnes occupant des postes déterminés par la PGF comme des utilisateurs potentiels de la plateforme. L’audit a permis de déterminer que ces personnes ont été informées de la PGF par le biais d’activités de communication de l’équipe des politiques et des communications de la PGF; cependant, de nombreuses personnes interrogées, notamment des analystes des politiques, avaient l’impression qu’au-delà des démonstrations auxquelles ils ont assisté, une formation supplémentaire serait nécessaire pour utiliser la plateforme dans leurs activités quotidiennes. L’équipe de l’audit a été informée qu’au cours de la phase opérationnelle entre mars 2018 et novembre 2018, le CCCOT a pris la décision, en raison de contraintes budgétaires, de suspendre les campagnes promotionnelles interministérielles et les activités de communication. Ces activités suspendues visaient les utilisateurs potentiels de la PGF dans l’ensemble du gouvernement du Canada.
Au cours des phases de projet et d'exécution de la plateforme, l’équipe des politiques et des communications de la PGF et le CCCOT ont mené des activités de communication avec des représentants de divers ministères. L’audit a également permis de déterminer que l’équipe de la PGF a efficacement tenu informés ces partenaires, ainsi que les autres intervenants, des mises à jour et changements de la plateforme par l’intermédiaire des comités de gouvernance établis.
Commentaires des intervenants
L’équipe des services aux clients de la PGF a conçu de nombreux mécanismes pour recueillir les commentaires des intervenants tout au long du cycle de vie de la plateforme. Au cours de la phase de projet, l’équipe de la PGF a analysé divers types d’utilisateurs potentiels de la plateforme, et consulté des employés occupant ces rôles pour adapter la plateforme à leurs besoins. Au cours de la phase opérationnelle de la PGF, le principal mécanisme utilisé pour recueillir des commentaires est la boîte de réception de l’équipe de services aux clients, accessible dans la section « Aide » du site Web de la PGF. Les commentaires et demandes reçus sont triés par une équipe des services aux clients de la PGF centralisée.
Au cours de la phase opérationnelle, les principaux mécanismes utilisés par l’équipe de services aux clients pour recueillir des commentaires comprenaient la recherche proactive de commentaires des utilisateurs ou utilisateurs potentiels. L’équipe de l’audit a interrogé plusieurs employés de RNCan, dont certains utilisent des données géospatiales au quotidien, et d’autres dont le poste d’analyste des politiques a été déterminé par la PGF comme utilisateur potentiel de la plateforme. Toutes les personnes interrogées connaissaient la PGF et ses services, mais n’étaient pas des utilisateurs fréquents de la plateforme. Les raisons pour lesquelles ils n’utilisaient pas la plateforme étaient les suivantes : manque de formation ou d’expertise, accès à d’autres logiciels de cartographie disponibles dans le commerce, absence de besoin de la plateforme dans le cadre de leurs fonctions. Les personnes interrogées ont suggéré des améliorations de la PGF à l’équipe de l’audit; cependant, aucune des personnes interrogées n’a fait part de leurs commentaires à l’équipe de la PGF. Un sondage auprès des clients visant à joindre de manière proactive les utilisateurs de la PGF pour solliciter leurs commentaires sur la plateforme devait être diffusé par l’équipe de la PGF pendant l’exercice 2019-2020; cependant, le sondage n’a pas été achevé au moment de la conclusion de l’audit.
L’équipe des services aux clients a établi des processus efficaces et efficients de suivi des commentaires et demandes recueillies visant à remettre un rapport annuel incluant des renseignements statistiques au sujet de divers critères, notamment : les types de demandes, les personnes à l’origine de la demande, et les améliorations souhaitées. Les processus de collecte et de déclaration examinés par l’équipe de l’audit ont été conçus et exécutés efficacement, et servent à fournir au CCCOT et aux comités de gouvernance des renseignements précis et en temps opportun au sujet des commentaires reçus.
L’équipe de l’audit a déterminé que le processus utilisé pour recueillir et suivre les commentaires et demandes des utilisateurs est efficace et adéquat, et elle a aussi mené une analyse des commentaires et demandes envoyées à l’équipe des services aux clients afin de déterminer s’ils avaient reçu une réponse dans les délais établis par les normes de services de l’équipe des services aux clients. L’équipe des services aux clients trie les commentaires et demandes reçues et les transmet au destinataire approprié, qui peut être interne ou externe à RNCan si, par exemple, le commentaire concerne un ensemble de données ajouté par un ministère partenaire. Selon l’analyse de l’audit, les processus employés par l’équipe des services aux clients sont adéquats pour recueillir et transmettre les commentaires aux parties appropriées, mais la responsabilité de répondre aux commentaires et demandes est décentralisée, et revient aux propriétaires des ensembles de données. L’équipe de l’audit a noté lors des tests menés sur un échantillon de commentaires soumis que l’équipe des services aux clients a rapidement trié les demandes et problèmes soulevés et transmis aux parties appropriées. Leur norme de service indique que la première réponse de l’équipe des services aux clients à une demande ou une plainte soumise par un utilisateur doit avoir lieu dans les 48 heures suivant la réception de la demande. L’équipe des services aux clients a respecté cette norme de service dans 96 % des demandes testées.
Gestion de l’information
Étant donné que la PGF est un répertoire servant à organiser et partager des données géospatiales, la création et la mise en œuvre d’un plan solide de gestion de l’information, ainsi que l’attribution et la communication de rôles et responsabilités pour suivre le plan est un aspect important de la gestion efficace des données sur la plateforme.
L’audit a permis de déterminer qu’au cours de la phase de projet de la plateforme, le CCCOT avait établi un plan de gestion des actifs de données et attribué les rôles et responsabilités liés à l’exécution du plan. Les responsabilités ont été clairement communiquées aux divers groupes. Parmi ces responsabilités, les propriétaires de données ministérielles doivent garantir la conformité avec les normes de données et de services Web appropriées choisies pour la plateforme par le CFGOT et le modèle de maturité des données créé pour la PGF. L’équipe des données de la PGF de RNCan est chargée d’aider les fournisseurs de données qui souhaitent partager des données sur la PGF et veiller à ce que l’utilisation des ensembles de données soit surveillée. Pour réaliser cette surveillance de l’utilisation des ensembles de données, l’équipe des données de la PGF est chargée de produire un rapport annuel sur les actifs des données. L’audit a constaté que ce rapport n’a pas encore été achevé et que la soumission du rapport inaugural aux comités de gouvernance de la PGF est prévue en mars 2020.
Pour les ententes officielles entre la PGF et les ministères partenaires, un représentant est nommé et celui-ci agira comme champion des données et siégera au comité sur les données de travail (CDT) établi dans le cadre de la structure de gouvernance de la PGF. L’équipe de l’audit a constaté que le comité comprend une grande variété d’intervenants et que les rôles et responsabilités du comité de gouvernance et les champions des données sont adéquatement assignés dans le mandat du CDT, les ententes officielles, et le plan de gestion des actifs de données.
Le document sur la stratégie de données créé par l’équipe de la PGF est utilisé pour présenter les activités à mener en matière de gestion des données et les personnes responsables de ces activités. La stratégie indique que le CCCOT est chargé de mener la surveillance de la qualité des ensembles de données dans la PGF. L’audit a permis de déterminer que des évaluations de la qualité des données (EQD) ont été menées pour chacun des ensembles de données dans la PGF par une partie indépendante à l’été 2018. Un échantillon des ensembles de données indiquait que pour chacun, une EQD a été effectuée et des problèmes ont été déterminés et communiqués aux propriétaires de l’ensemble de données pour qu’ils les corrigent et améliorent ainsi la qualité des données. L’audit a également permis de déterminer que les problèmes relevés pendant les évaluations ont été communiqués aux parties responsables de la correction des ensembles de données, mais les mesures pour corriger ces problèmes n’ont pas toujours été prises par les propriétaires des ensembles de données. L’audit a relevé que la responsabilité des données apportées par chaque ministère à la plateforme relève toujours de chaque propriétaire de données du ministère respectif, qui est un rôle détenu par le dirigeant principal de l’information du ministère qui, conformément à la politique du CT sur la gestion des technologies de l’information, est chargé de s’assurer que les données et applications ministérielles sont sécuritaires, fiables et dignes de confiance.
Globalement, l’audit a permis de déterminer que les rôles, responsabilités et obligations de la PGF et des divers intervenants ont été clairement définis, documentés et communiqués aux intervenants correspondants. Cependant, il existe une possibilité d’amélioration en ce qui concerne l’attribution des mesures de correction des lacunes détectées lors de la surveillance. L’équipe de la PGF est félicitée pour son adoption du processus d’évaluation de la qualité des données avec les ressources disponibles et son engagement envers l’amélioration et le maintien de la qualité des données disponibles sur la PGF.
Risques et incidences
La suspension des activités de communication risque de nuire considérablement à la capacité de la plateforme de continuer à fonctionner, d’attirer de nouveaux utilisateurs, et former les utilisateurs qui ont connaissance de la plateforme, mais ne l’utilisent pas à l’heure actuelle.
Il existe le risque que la rétroaction ne soit pas demandée de manière proactive et que la PGF ne reçoive pas de commentaires importants d’utilisateurs potentiels qui ont des suggestions pour améliorer la fonctionnalité de la plateforme et obtenir une base d’utilisateurs plus large. Il existe aussi le risque que certains commentaires sur les ensembles de données et problèmes concernant la plateforme n’entraînent pas de mesures, car l’équipe de la PGF n’a pas la capacité de veiller à l’exécution par les ministères contributifs pour corriger les problèmes signalés.
Il y a le risque que la capacité des comités de gouvernance à mener une supervision de la plateforme et leur compréhension des données actuellement contenues sur la PGF soit affectée si certaines activités de surveillance et de suivi indiquées dans le plan de gestion des actifs de données ne sont pas réalisées. Il y a également le risque que les problèmes déterminés par les activités de surveillance menées par la PGF ne soient pas corrigés si les propriétaires des ensembles de données décident de ne pas agir. Les ensembles de données non corrigés pourraient entraîner une perte de confiance des utilisateurs si le niveau de la qualité des données ne correspond pas aux attentes des utilisateurs.
Recommandations
Recommandation 2 : Il est recommandé que le SMA, SPSR, examine les stratégies de communication et de mobilisation pour clarifier les objectifs liés à l’intégration de nouveaux utilisateurs afin de maximiser la participation sur la plateforme et de garantir son alignement sur le plan stratégique.
Recommandation 3 : Il est recommandé que le SMA, SPSR, examine les mécanismes établis de consultation des intervenants pour déterminer le degré auquel les commentaires des utilisateurs actuels et potentiels de la PGF permettent d’assurer une amélioration continue.
Recommandation 4 : Il est recommandé que le SMA, SPSR, veille à ce que le plan de gestion des ressources en matière de données soit examiné pour garantir le signalement en temps opportun des activités de surveillance et de suivi aux intervenants appropriés.
Réponse de la direction et plan d’action
La direction est d’accord avec la recommandation 2.
En réponse à la recommandation 2, le SMA, SPSR veillera à ce que les stratégies de communication et de mobilisation de la PGF pour les nouveaux utilisateurs soient alignées sur son plan stratégique et que les activités de communications maximisent la participation à la plateforme. Le SMA, SPSR analysera les leçons tirées de l’intégration de nouveaux utilisateurs pour déterminer les éléments clés qui ont réussi à appuyer l’engagement des utilisateurs et déterminer les exigences en matière de formation. Les constatations de cette analyse serviront à ajuster, au besoin, la stratégie de communication de la PGF.
Responsable : Directeur de la PGF
Échéancier : Approbation par le SMA de la stratégie de communications et de mobilisation de la PGF pour les nouveaux utilisateurs – 31 janvier 2020
La direction est d’accord avec la recommandation 3.
En réponse à la recommandation 3, le SMA, SPSR examinera les mécanismes de commentaires des intervenants établis pour s’assurer de recevoir des commentaires des utilisateurs actuels et potentiels, et établira des procédures claires pour garantir que les commentaires sont régulièrement analysés et inclus dans son cadre de performance et de risque pour informer l’amélioration permanente de la plateforme.
Responsable : Directeur de la PGF
Échéancier : Approbation par le SMA du mécanisme de commentaires des intervenants de la PGF – 31 janvier 2020.
La direction est d’accord avec la recommandation 4.
En réponse à la recommandation 4, le SMA, SPSR veillera à ce que le plan de gestion des actifs de données fasse état en temps opportun des activités de surveillance et de suivi aux intervenants appropriés par le biais du rapport annuel sur les actifs des données. Le plan et le rapport annuel seront alignés avec le rôle de la plateforme à l’appui de la feuille de route de la stratégie de données du GC. Le SMA, SPSR fera un rapport annuel sur les actifs des données.
Responsable : Directeur de la PGF
Échéancier : Approbation par le SMA du plan de gestion des actifs de données de la PGF – 31 janvier 2020
Approbation par le SMA du rapport annuel sur les actifs de données au conseil de direction de la PGF – 27 mars 2020
Gestion de la technologie de l’information
Constatation générale
La PGF a été créée dans l’objectif de faciliter l’accès ouvert aux données géospatiales du gouvernement du Canada et de réduire les obstacles au partage de données. Avant la mise en œuvre en 2017 de la plateforme actuelle hébergée par Services partagés Canada (SPC), (aussi désignée par solution PGF sur place), RNCan a déterminé qu’elle ne répondrait pas efficacement au besoin d’une infrastructure pouvant être continuellement extensible et adaptable aux exigences, et pouvant s’adapter à des modèles d’affaires nouveaux et améliorés, et initiatives innovantes. Compte tenu du temps requis pour l’approvisionnement et le besoin d’agilité et de flexibilité, RNCan a décidé de déplacer l’ensemble de la solution de PGF (logiciel, infrastructure et plateforme) vers l’infonuagique. L’équipe de l’audit a également cerné des possibilités d’améliorer les contrôles de sécurité requis au sein de la plateforme PGF existante.
Observations pertinentes
Une gestion efficace de la technologie de l’information est essentielle pour atteindre l’objective d’une « plateforme » commune pour le partage de l’information. L’équipe de l’audit prévoyait que RNCan ait élaboré et mis en place efficacement des plans de gestion de la technologie de l’information pour atteindre les objectifs de la PGF.
État actuel
La plateforme PGF a été mise en production au mois d’avril 2017. En termes simples, la PGF est une plateforme de données ouvertes qui rend accessibles, en format normalisé compatible, des données géospatiales et la technologie de nombreux ministères et organismes. La structure de la PGF est hébergée par SPC, qui est chargé d’apporter l’infrastructure de soutien (p. ex. centre de données, réseaux, serveurs). La solution de plateforme est composée d’ensembles de données de plus de 20 partenaires contributifs, des meilleurs logiciels et technologies disponibles, et comprend un catalogue de données, des services Web et applications, et des outils analytiques.
Le rapport d’évaluation de sécurité et d’autorisation (RESA) original pour la PGF a été préparé le 5 février 2016. À ce moment-là, le risque de sécurité résiduel était noté comme élevé, et la PGF a reçu une autorisation d’exploitation provisoire (AEP) expirant le 1er mars 2017, car il n’y avait pas suffisamment de preuve permettant de relier correctement les contrôles de sécurité à la conception et aux procédures opérationnelles. Le RESA a été examiné en septembre 2017 et l’AEP a été prolongée jusqu’au 30 mars 2019, et les risques globaux ont été notés entre moyens et élevés.
Le RESA exige que 48 contrôles de sécurité soient en place pour les systèmes d’exploitation de données non classifiées, avec une intégrité faible et une disponibilité faible (NID). Le RESA a indiqué que pour la PGF, 35 contrôles ont été évalués comme partiellement respectés, 8 comme non respectés et 5 comme respectés. Cependant, l’équipe de l’audit n’a pas été en mesure d’évaluer l’exactitude de ces renseignements, car elle n’a pas pu obtenir une liste mise à jour des contrôles par catégorie qui sont respectés, non respectés ou partiellement respectés. Au moment de l’audit, l’équipe de l’audit a été informée qu’en raison de contraintes budgétaires, le personnel a été réaffecté pour s’occuper des contrôles de sécurité pour la future solution de PGF d’infonuagique, et peu de travail a été accompli sur la plateforme sur place. Par conséquent, la plateforme de PGF sur place continuera de fonctionner avec un risque de sécurité moyen à élevé, jusqu’à sa migration vers le nuage, et la plateforme d’infonuagique en cours d’élaboration a reçu une autorisation d’exploitation provisoire, qui doit être examinée avant le 31 mars 2020.
État futur
En 2016, avant la mise en œuvre de la PGF, le gouvernement du Canada a publié son plan stratégique de TI 2016-2020 indiquant que l’infonuagique deviendra le premier choix d’infrastructure de TI pour le gouvernement fédéral à l’avenir. Au même moment et avant que la solution de PGF sur place soit mise en production, RNCan préparait une étude de cas indiquant que la solution actuelle de PGF sur place ne répondrait pas efficacement aux besoins en matière d’infrastructure constamment extensible et adaptable aux exigences, et pouvant s’adapter aux modèles d’affaires nouveaux et améliorés, et initiatives innovantes. Compte tenu du temps requis pour l’approvisionnement et le besoin d’agilité et de flexibilité, RNCan a décidé de déplacer l’ensemble de la solution de PGF (logiciel, infrastructure et plateforme) vers l’infonuagique.
La solution nuagique de PGF correspond au plan stratégique de TI actuel du gouvernement du Canada concernant l’utilisation de services de TI ministériels et dans le nuage pour offrir des services plus rapidement, à des coûts réduits, le tout dans un climat d’expansion et de changement continus. Le fournisseur de services infonuagiques (FSI) de la solution nuagique de la PGF est un FSI approuvé par SPC. Au moment de l’audit, la PGF contenait principalement des renseignements non classifiés, et aucun renseignement personnel identifiable.
La plateforme nuagique est construite de sorte à correspondre à un profil d’évaluation de sécurité pouvant manipuler de l’Information non-classée à faible intégrité et faible disponibilité IFIFD en tenant compte des répercussions potentielles associées à l’inclusion de renseignements de niveau protégé B, intégrité moyenne, disponibilité moyenne (IMDM). Une grande quantité de données géospatiales du GC sont évaluées au niveau protégé B et pourraient être intégrées à la plateforme à l’avenir. Cependant, à l’heure actuelle, Services partagés Canada et le SCT n’ont accordé à aucun FSI l’autorisation de manipuler des renseignements de niveau protégé B. L’effort requis pour respecter les exigences de sécurité IMDM par rapport aux IFIFD est considérable. Par exemple, 48 contrôles de sécurité sont requis pour un système non classifié, contre environ 500 contrôles pour respecter les exigences d’un système protégé B.
Risques et incidences
Il existe un risque que l’utilisation de la solution de PGF sur place sans une évaluation complète de ses contrôles de TI puisse compromettre l’intégrité et la disponibilité des données dans le système. Cela pourrait entraîner une érosion de la confiance accordée par les organismes partenaires, et affecter toute solution de PGF nuagique, en particulier pour les intervenants qui souhaiteraient conserver des données géospatiales confidentielles.
Recommandation
Recommandation 5 : Il est recommandé que le sous-ministre adjoint, SPSR, veille à ce qu’un examen des contrôles de sécurité essentiels soit mené sur la solution de PGF existante sur place.
Réponse de la direction et plan d’action
La direction est d’accord avec la recommandation 5.
En réponse à la recommandation 5, le SMA, SPSR et la DDPIS de RNCan veilleront à ce qu’un examen des contrôles de sécurité essentiels soit mené sur la solution de PGF existante sur place.
Responsable : Directeur de la PGF
Échéancier : Approbation par le SMA de l’examen réalisé des contrôles de sécurité essentiels – 31 décembre 2019
ANNEXE A – Critères d’audit
Les objectifs et critères de l’audit ont été mis au point en s’appuyant sur les mesures de contrôle clés définies dans les contrôles de gestion de base du CT du Canada. Le travail d’audit sur le terrain et la conclusion globale de l’audit reposent sur ces critères.
L’objectif de l’audit était d’évaluer l’adéquation et l’efficacité des processus de gestion et de gouvernance pour aider l’administration de la PGF.
Sous-objectifs de l’audit | Critères d’audit |
---|---|
Sous-objectif de l’audit 1 : Déterminer si RNCan a établi des processus de gestion de projet adéquats et efficaces pour la mise en place de la PGF, et pour informer de projets gérés horizontalement. |
1.1 Il est attendu qu’un plan de projet clairement défini soit mis en place pour le projet de PGF. |
1.2 Il est attendu que le rendement du projet fasse l’objet de surveillance et de rapports à la haute direction pour appuyer un processus décisionnel efficace concernant la PGF. | |
1.3 Il est attendu que les risques pouvant nuire à l’atteinte des objectifs soient définis et officiellement traités par la direction. | |
1.4 Il est attendu que l’équipe de projet de la PGF ait documenté les leçons apprises pour éclairer de projets gérés horizontalement. | |
Sous-objectif de l’audit 2 : Déterminer si RNCan a établi des processus adéquats et efficaces pour gérer les partenariats et répondre aux besoins des intervenants et des utilisateurs. |
2.1 Il est attendu que l’équipe de projet de la PGF participe à des activités de communication visant à promouvoir l’intégration de nouveaux utilisateurs. |
2.2 Il est attendu que les commentaires des partenaires, utilisateurs et intervenants déterminent des changements aux exigences et entraînent une amélioration permanente de la plateforme. | |
2.3 Il est attendu que des lignes de communication adéquates aient été établies avec les partenaires de la PGF pour garantir une collaboration efficace dans l’atteinte des objectifs du programme. | |
2.4 Il est attendu que les rôles et responsabilités en matière de gestion de l’information soient affectés et contrôlés pour favoriser une gestion efficace des données tout au long du cycle de vie du projet. | |
Sous-objectif de l’audit 3 : Déterminer si RNCan a géré de efficacement la technologie de l’information à l’appui de la PGF. |
3.1 Il est attendu que des plans de gestion efficace de la technologie de l’information aient été élaborés et mis en œuvre en vue d’atteindre les objectifs de la PGF. |
Détails de la page
- Date de modification :