Audit ciblé de l’infonuagique et du stockage

Présenté au Comité ministériel d’audit (CMA)

11 octobre 2022

En 2022, l’audit interne ciblé de l’infonuagique et du stockage a été réalisé pour évaluer la pertinence et l’efficacité des mécanismes de gouvernance, de gestion des risques et de contrôle que RNCan a mis en place pour surveiller et gérer les solutions infonuagiques.

Le Ministère prend des mesures pour répondre aux recommandations de l’audit ciblé.

Conformément au paragraphe 16 (2) (c) de la Loi sur l’accès à l’information, une partie du contenu du rapport d'audit a été caviardée.

RNCan a soigneusement évalué l’intérêt public concernant la divulgation comparativement à la nécessité d’assurer la sécurité des biens ministériels et de veiller aux intérêts nationaux en prenant sa décision.

Table des matières

Résumé
Introduction
Constatations et recommandations
- Annexe A – Critères de l’audit ciblé

Résumé

Dans le cadre des objectifs stratégiques du gouvernement du Canada (GC) en matière de technologies de l’information (TI), la transition vers une infrastructure infonuagique a été définie comme une priorité. Le GC a énoncé les orientations stratégiques liées aux transformations infonuagiques dans la Politique sur les services et le numérique (la Politique) et la Directive sur les services et le numérique (la Directive) du Secrétariat du Conseil du Trésor du Canada (SCT). La Politique et la Directive sont entrées en vigueur le 1er avril 2020. Elles constituent un ensemble intégré de règles qui établissent la manière dont les organismes du GC gèrent la prestation de services, l’information et les données, les technologies de l’information et la cybersécurité à l’ère du numérique.

À RNCan, la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) est chargée de superviser l’intégration des projets infonuagiques, de chapeauter le processus d’évaluation et d’autorisation de sécurité (EAS), de garantir les accès nécessaires, de produire une certification avec l’énoncé de la nature délicate (END), de mettre en place des capacités infonuagiques complémentaires et d’assurer un soutien en développement auprès des secteurs en ce qui concerne les services infonuagiques. La Directive sur les services et le numérique confère aux dirigeants principaux de l’information (DPI) des ministères la tâche d’élaborer, de mettre en œuvre et de pérenniser les stratégies ministérielles de production ou d’utilisation de services et de solutions informatiques intégrés, et de veiller à ce que les services infonuagiques soient conformes aux lois, aux politiques et aux normes fédérales applicables en matière de sécurité et de protection des renseignements personnels. Avant que l’audit ne commence, la DDPIS avait indiqué avoir connaissance de cette exigence et que, bien qu’il n’existe pas à l’heure actuelle de stratégie ou de politique en matière d’infonuagique, elle s’employait à en établir une pour le ministère.

Étant donné que l’adoption des technologies infonuagiques sera encore plus importante dans les années à venir, ce changement généralisé aura pour effet d’accroître les possibilités et les risques opérationnels pour le ministère.^{Note de bas de page 1} Dès lors, pour maximiser l’efficacité des solutions infonuagiques tout en réduisant au minimum les risques, il est prévu qu’une stratégie infonuagique dotée de politiques et de procédures connexes soit documentée, communiquée et mise en œuvre à l’échelle du ministère, en accord avec les directives et les politiques du CT.^{Note de bas de page 2}

Ce rapport présente les principales constatations et recommandations sur les risques liés à l’infonuagique et au stockage qui ont été recensés lors de l’audit ciblé. En vertu de la politique « L’infonuagique d’abord » du GC, il importe de donner suite aux constatations issues de cet audit, et ce, en raison du nombre croissant d’applications et de solutions informatiques qui sont actuellement migrées vers les environnements infonuagiques, ou qui y sont développées, augmentant ainsi l'exposition au risque du ministère.

Points forts

De manière générale, il est ressorti de l’audit ciblé que le ministère avait appliqué différents mécanismes de gouvernance au répertoire d’applications infonuagiques, qui comprend certaines fonctionnalités telles que la gestion des commandes, le suivi de localisation, la communication avec les fournisseurs, l’automatisation des demandes et l’optimisation des coûts. Le ministère a mis en œuvre quelques procédures de gestion des risques et quelques processus de diligence raisonnable dans le cadre des déploiements infonuagiques. La DDPIS est en train d’adapter les processus afin d’intégrer des exemples de déploiements infonuagiques, car plusieurs secteurs ministériels possèdent une très grande expertise en infonuagique, certains travaillant avec ce domaine depuis plus de sept ans.

Domaines à améliorer

[CAVIARDÉE].

Conclusion de l’audit interne et opinion

Selon moi, le ministère a mis en œuvre certains processus de surveillance et de gestion des risques afin de permettre le déploiement des services infonuagiques; toutefois, il reste encore un certain nombre d’améliorations à apporter afin de mieux définir et communiquer les rôles et les responsabilités liés à [CAVIARDÉE] en vue de garantir leur efficacité.

Énoncé de conformité

J’estime, en ma qualité de dirigeant principal de l’audit et de l’évaluation, que cet audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes (IIA) et à la Politique sur l’audit interne du gouvernement du Canada, comme le confirment les résultats du Programme d’assurance et d’amélioration de la qualité.

Michel Gould, MBA, CPA, AIC
Dirigeant principal de l’audit et de l’évaluation
11 octobre 2022

Remerciements

L’équipe d’audit tient à remercier les personnes qui ont contribué à la réalisation de cet audit, et tout particulièrement les employés qui ont fait part de leurs idées et de leurs observations dans le cadre de celui-ci.

Introduction

Dans le cadre des objectifs stratégiques du gouvernement du Canada (GC), la transition vers une infrastructure infonuagique a été définie comme une priorité. Le GC a énoncé les orientations stratégiques liées aux transformations infonuagiques dans la Politique sur les services et le numérique (la Politique) et la Directive sur les services et le numérique (la Directive) du Secrétariat du Conseil du Trésor du Canada (SCT). La Politique et la Directive sont entrées en vigueur le 1^er avril 2020. Elles constituent un ensemble intégré de règles qui établissent la manière dont les organismes du GC gèrent la prestation de services, l’information et les données, les technologies de l’information et la cybersécurité à l’ère du numérique.

Il existe trois types principaux de services infonuagiques. Le premier est l’« infrastructure sous forme de service » : les fournisseurs de services infonuagiques (FSI) commercialisent l’utilisation de services essentiels d’informatique, de réseautique et de stockage qui sont hébergés sur du matériel leur appartenant. Un client peut, en fonction de ses besoins, développer n’importe quel type d’environnement sur cette infrastructure. Le deuxième type de service est la « plateforme sous forme de service » : les fournisseurs de services infonuagiques mettent à la disposition du client des outils matériels et logiciels qui lui permettent de développer, de déployer, d’exécuter et de gérer une plateforme informatique avec une ou plusieurs applications. Enfin, le troisième type de service est le « logiciel sous forme de service » : il s’agit d’un modèle d’octroi de licence de logiciel dans lequel le propriétaire du logiciel est responsable du matériel informatique et de stockage nécessaire à l’exécution de l’application, et dans lequel le client accède à l’application et à ses données par l’entremise d’une application en ligne.

Les ministères fédéraux se procurent généralement les services infonuagiques par le truchement du cadre régissant le mécanisme d’approvisionnement en services infonuagiques du GC, qui a pour but de mobiliser différentes méthodes d’approvisionnement pour répondre aux besoins en infonuagique du gouvernement du Canada. Le cadre vise à simplifier le processus d’approvisionnement et à le rendre plus transparent et plus équitable, ainsi qu’à intensifier la concurrence et à améliorer l’accès aux solutions infonuagiques les plus récentes. Les ministères fédéraux bénéficient de l’appui conjoint de SPAC et de SPC en ce qui concerne l’acquisition de services infonuagiques par l’entremise du cadre régissant le mécanisme d’approvisionnement.^{Note de bas de page 3}

Au sein du GC, la gouvernance de l’architecture fédérale intégrée incombe au Conseil d’examen de l’architecture intégrée du GC (CEAI GC), qui est chargé de superviser la mise en œuvre de l’orientation du GC en matière d’architecture intégrée. Comme défini dans la Directive sur les services et le numérique, chaque ministère est chargé d’établir son propre Conseil ministériel d’examen de l’architecture (CMEA) afin que celui-ci supervise et évalue la concordance entre les solutions infonuagiques et les stratégies ministérielles et fédérales en la matière. RNCan a mis en place un CMEA auquel il incombe, entre autres, d’évaluer la gouvernance et la concordance entre les solutions infonuagiques et la stratégie infonuagique globale du ministère.

À RNCan, la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) est chargée de superviser l’intégration des projets infonuagiques, de chapeauter le processus d’évaluation et d’autorisation de sécurité (EAS), de garantir les accès nécessaires, de produire une certification avec l’énoncé de la nature délicate (END), de mettre en place des capacités infonuagiques complémentaires et d’assurer un soutien en développement auprès des secteurs en ce qui concerne les services infonuagiques. La Directive sur les services et le numérique confère aux dirigeants principaux de l’information (DPI) des ministères la tâche d’élaborer, de mettre en œuvre et de pérenniser les stratégies ministérielles de production ou d’utilisation de services et de solutions informatiques intégrés, et de veiller à ce que les services infonuagiques soient conformes aux lois, aux politiques et aux normes fédérales applicables en matière de sécurité et de protection des renseignements personnels. Avant que l’audit ciblé ne commence, la DDPIS avait indiqué avoir connaissance de cette exigence et que, bien qu’il n’existe pas à l’heure actuelle de politique en matière d’infonuagique, elle s’employait à en établir une pour le ministère.

En vertu des priorités du GC et de sa politique « L’infonuagique d’abord », le ministère a modernisé son infrastructure de TI, mis en œuvre des applications infonuagiques et intégré des fonctionnalités infonuagiques à ses programmes actuels. Étant donné que l’adoption des technologies infonuagiques s’annonce encore plus importante dans les années à venir, ce changement généralisé aura pour effet d’accroître les possibilités et les risques opérationnels pour le ministère.^{Note de bas de page 4} Dès lors, pour maximiser l’efficacité des solutions infonuagiques tout en réduisant au minimum les risques, il est prévu qu’une stratégie infonuagique dotée de politiques et de procédures connexes soit documentée, communiquée et mise en œuvre à l’échelle du ministère, en accord avec les directives et les politiques du CT.^{Note de bas de page 5}

Un audit ciblé de l’infonuagique et du stockage a été inscrit dans le Plan intégré d’audit et d’évaluation 2021-2026 que le sous-ministre a approuvé le 26 mai 2021.

But et objectifs de l’audit ciblé

L’audit avait pour but d’évaluer la pertinence et l’efficacité des mécanismes de gouvernance, de gestion des risques et de contrôle que RNCan a mis en place pour superviser et gérer les solutions infonuagiques.

Dans le détail, l’audit ciblé a cherché à déterminer si le ministère avait mis en place :

des activités efficaces de gouvernance et de gestion des risques pour l’ensemble du répertoire de services infonuagiques afin de pouvoir réaliser pleinement ses objectifs opérationnels; et
des mécanismes adaptés de gestion du rendement technique et financier des fournisseurs afin de garantir la prestation des services, la disponibilité, l’intégrité des données et la sécurité.

Facteurs pris en considération lors de l’audit

Un audit ciblé doit permettre d’obtenir une assurance raisonnable par rapport à des critères bien définis, tout en se conformant aux normes professionnelles d’audit interne et de certification. En comparaison avec un audit interne « typique », l’audit ciblé a une portée plus restreinte et plus ciblée.

Une approche fondée sur le risque a été adoptée pour définir les objectifs, la portée et la stratégie de cette mission d’audit ciblé. Les principaux risques sous-jacents susceptibles de compromettre la bonne gestion de l’infonuagique et du stockage à RNCan sont :

L’existence ou non de processus et de procédures pour régir les activités liées au répertoire d’applications infonuagiques et pour superviser les activités de gestion des risques (dont la planification des RH) afin de permettre à l’organisme de réaliser ses objectifs opérationnels; et,
L’existence ou non de processus de suivi et de surveillance des coûts et du rendement des fournisseurs afin de garantir à l’organisme la prestation des services, la disponibilité, l’intégrité des données et la sécurité.

Portée

L’audit s’est focalisé sur la question de savoir si les politiques, les processus et les contrôles visant les solutions d’infonuagique et de stockage avaient été élaborés et mis en œuvre au 30 juin 2022. L’audit a examiné les pratiques de gouvernance et de gestion des risques ainsi que leur concordance par rapport à la stratégie infonuagique de RNCan. L’audit a examiné également les contrôles de TI mis en place afin de protéger et gérer les actifs infonuagiques.

L’équipe d’audit a interrogé chaque secteur de RNCan afin de comprendre l’utilisation qu’il faisait et qu’il prévoyait faire des services infonuagiques et, à partir de ces entrevues et d’une évaluation des risques menée lors de la phase de planification, elle a sélectionné un échantillon destiné au travail d’audit sur le terrain.

L’équipe de l’audit ciblé a examiné le travail accompli lors des derniers audits internes en matière de GI-TI afin d’éviter tout double emploi.

Critères

Les critères d’audit sont détaillés à l’Annexe A. Ces critères ont orienté le travail d’audit sur le terrain et servi de fondement à la conclusion générale de l’audit.

Constatations et recommandations

Sous-objectif 1

Le ministère a mis en place des activités efficaces de gouvernance et de gestion des risques pour l’ensemble du répertoire de services infonuagiques afin de pouvoir réaliser pleinement ses objectifs opérationnels.

Domaine de constatation	Principales constatations	Recommandation et réponse de la direction
[CAVIARDÉE]	[CAVIARDÉE]	Recommandation n^o 1 [CAVIARDÉE] Réponse de la direction La direction est d'accord. Nous avons besoin d'une fonction appropriée de surveillance et de contrôle de l'infonuagique à RNCan pour assurer des processus et des contrôles efficaces et cohérents dans l'ensemble du Ministère. La mise en place de ces processus et contrôles nécessitera une consultation dans l'ensemble de RNCan et une harmonisation avec les autres recommandations de l'audit et les travaux en cours sur l'amélioration de la sécurité des TI. La mise en œuvre des activités visant à donner suite à la recommandation nécessitera des ressources supplémentaires. En réponse à la recommandation no. 1, la Direction du dirigeant principal de l'information et de la sécurité (DDPIS) élaborera une demande de proposition (DP) pour acquérir des services professionnels afin de créer un plan d'action détaillé pour la mise en œuvre de la recommandation. Le plan d'action découlera de la priorisation des activités avec les besoins en ressources et les implications financières. Responsable : SMA, Secteur de la gestion et des services intégrés (SGSI) Échéance : DP et attribution du contrat : 1er trimestre, 2023 - 24 Plan d'action détaillé avec priorisation des activités, niveau de ressources et besoins de financement : 3e trimestre, 2023-24
[CAVIARDÉE]	[CAVIARDÉE]	Recommandation n^o 2 [CAVIARDÉE] Réponse de la direction La direction est d'accord. En réponse à la recommandation n° 2, la DDPIS a recueilli des informations auprès d'autres ministères pour fonder [CAVIARDÉE] du point de vue de la gestion des risques. Le [CAVIARDÉE] est ajusté de façon continue. Conformément au plan d'action qui sera élaboré (voir la recommandation no 1), un examinateur externe sera engagé pour examiner [CAVIARDÉE] et fournir des recommandations pour des améliorations supplémentaires. Responsable : SMA, Secteur de la gestion et des services intégrés (SGSC) Echéance : 3e trimestre, 2023-2024
Le ministère ne dispose pas de processus efficaces de planification de ressources humaines liées à l’expertise technique en infonuagique.	Constatation Il est ressorti de l’audit ciblé que plusieurs secteurs ministériels possédaient une très grande expertise en infonuagique, certains d’entre eux travaillant avec ce domaine depuis plus de sept ans. Malgré cela, l’audit ciblé n’a pu mettre en évidence des processus définis et appliqués de planification des ressources humaines liées à l’expertise technique en infonuagique. Il a été noté qu’il n’existait pas de mécanismes établis et structurés pour assurer la saisie et le suivi des besoins ou des capacités en ressources humaines techniques (p. ex., le nombre de ressources infonuagiques nécessaires, les types de ressources les plus souvent demandées par les secteurs ayant besoin d’une expertise technique). Par ailleurs, l’audit ciblé a mis en évidence un besoin croissant de personnel doté de compétences techniques en infonuagique. Les compétences requises pour travailler avec les fournisseurs de services infonuagiques (FSI) sont extrêmement spécialisées et nécessitent une formation particulière ou des certifications professionnelles. Les propriétaires fonctionnels qui utilisent les services infonuagiques ont été interrogés, et il a été noté que le ministère avait recours à un large éventail de FSI, les secteurs étant soumis à peu ou pas de restrictions quant aux fournisseurs auxquels ils peuvent faire appel. Étant donné que le ministère fait appel à de nombreux FSI tels que AWS, Azure, Salesforce et Google, il importe de mettre en place une meilleure stratégie de gestion des RH afin d’optimiser les processus de recherche et de recrutement, et ce, dans le but d’attirer et de maintenir en poste les ressources humaines dotées des compétences dont le ministère a le plus besoin. Aucune activité de planification stratégique visant à répondre à ce besoin n’a été relevée dans l’ensemble du processus ordinaire de RH. Par ailleurs, dans le cadre des entrevues menées avec la DDPIS et les chefs de secteur, il a été noté que les processus existants de planification des ressources étaient appliqués de manière ponctuelle plutôt qu’en suivant un plan stratégique de gestion des ressources humaines. Risque et incidence : Risque d'audit évalué comme MODÉRÉ En l’absence de plans bien définis de gestion des ressources humaines, il se peut que le ministère ne connaisse pas bien ses capacités actuelles et les besoins en ressources humaines auxquels il doit répondre pour embaucher, maintenir en poste et planifier la relève, et ce, afin d’assurer la prestation continue des solutions infonuagiques à l’échelle du ministère. La complexité, le profil de sécurité et l’efficacité technique des déploiements infonuagiques varient d’un fournisseur à l’autre. De plus, les ressources humaines suivent généralement des cours de certification professionnelle extrêmement spécialisés afin d’acquérir les compétences nécessaires pour travailler avec certains fournisseurs de services infonuagiques, et le bassin de talents se réduit lorsqu’on recherche des personnes spécialisées dans les TI capables de travailler avec plusieurs FSI. Par ailleurs, l’expertise en infonuagique fait l’objet d’une forte demande et a un coût particulièrement élevé. De ce fait, le ministère peut être exposé à des risques opérationnels, à des difficultés et à des coûts indirects plus élevés en rapport avec la gestion de différentes configurations de sécurité de l’environnement et de différents contrôles des utilisateurs finaux et des fournisseurs. Enfin, le fait que le ministère fasse appel à différents fournisseurs a pour effet de nécessiter des compétences, des architectures et des logiciels propres à chacun d’entre eux. Cela amène le ministère à engager des coûts plus élevés pour embaucher des ressources spécialisées par fournisseur, ou à recourir à des conseillers externes.	Recommandation n^o 3 Il est recommandé que le SMA du SGSI, en collaboration avec les SMA des autres secteurs, mette en œuvre des processus pour déterminer les besoins en ressources humaines et les niveaux actuels de dotation liés à l’expertise technique en infonuagique ainsi que pour élaborer et appliquer une stratégie de gestion des RH dans le but d’attirer, d’embaucher et de maintenir en poste les ressources humaines dans ce domaine. Réponse de la direction En réponse à la recommandation n° 3, la DDPIS développera une feuille de route des talents pour les compétences difficiles à trouver, telles que l'expertise avec l’infonuagique, dans le cadre de sa stratégie numérique. Responsable : SMA, Secteur de la gestion et des services intégrés (SGSI) Echéance : 4^e trimestre, 2023-24

Domaine de constatation

Principales constatations

Recommandation et réponse de la direction

[CAVIARDÉE]

[CAVIARDÉE]

Recommandation n^o 1

[CAVIARDÉE]

Réponse de la direction

La direction est d'accord. Nous avons besoin d'une fonction appropriée de surveillance et de contrôle de l'infonuagique à RNCan pour assurer des processus et des contrôles efficaces et cohérents dans l'ensemble du Ministère. La mise en place de ces processus et contrôles nécessitera une consultation dans l'ensemble de RNCan et une harmonisation avec les autres recommandations de l'audit et les travaux en cours sur l'amélioration de la sécurité des TI. La mise en œuvre des activités visant à donner suite à la recommandation nécessitera des ressources supplémentaires. En réponse à la recommandation no. 1, la Direction du dirigeant principal de l'information et de la sécurité (DDPIS) élaborera une demande de proposition (DP) pour acquérir des services professionnels afin de créer un plan d'action détaillé pour la mise en œuvre de la recommandation. Le plan d'action découlera de la priorisation des activités avec les besoins en ressources et les implications financières.

Responsable : SMA, Secteur de la gestion et des services intégrés (SGSI)

Échéance :

DP et attribution du contrat : 1er trimestre, 2023 - 24
Plan d'action détaillé avec priorisation des activités, niveau de ressources et besoins de financement : 3e trimestre, 2023-24

[CAVIARDÉE]

[CAVIARDÉE]

Recommandation n^o 2

[CAVIARDÉE]

Réponse de la direction

La direction est d'accord.

En réponse à la recommandation n° 2, la DDPIS a recueilli des informations auprès d'autres ministères pour fonder [CAVIARDÉE] du point de vue de la gestion des risques. Le [CAVIARDÉE] est ajusté de façon continue. Conformément au plan d'action qui sera élaboré (voir la recommandation no 1), un examinateur externe sera engagé pour examiner [CAVIARDÉE] et fournir des recommandations pour des améliorations supplémentaires.

Responsable : SMA, Secteur de la gestion et des services intégrés (SGSC)

Echéance : 3e trimestre, 2023-2024

Le ministère ne dispose pas de processus efficaces de planification de ressources humaines liées à l’expertise technique en infonuagique.

Constatation

Il est ressorti de l’audit ciblé que plusieurs secteurs ministériels possédaient une très grande expertise en infonuagique, certains d’entre eux travaillant avec ce domaine depuis plus de sept ans. Malgré cela, l’audit ciblé n’a pu mettre en évidence des processus définis et appliqués de planification des ressources humaines liées à l’expertise technique en infonuagique. Il a été noté qu’il n’existait pas de mécanismes établis et structurés pour assurer la saisie et le suivi des besoins ou des capacités en ressources humaines techniques (p. ex., le nombre de ressources infonuagiques nécessaires, les types de ressources les plus souvent demandées par les secteurs ayant besoin d’une expertise technique).

Par ailleurs, l’audit ciblé a mis en évidence un besoin croissant de personnel doté de compétences techniques en infonuagique. Les compétences requises pour travailler avec les fournisseurs de services infonuagiques (FSI) sont extrêmement spécialisées et nécessitent une formation particulière ou des certifications professionnelles. Les propriétaires fonctionnels qui utilisent les services infonuagiques ont été interrogés, et il a été noté que le ministère avait recours à un large éventail de FSI, les secteurs étant soumis à peu ou pas de restrictions quant aux fournisseurs auxquels ils peuvent faire appel. Étant donné que le ministère fait appel à de nombreux FSI tels que AWS, Azure, Salesforce et Google, il importe de mettre en place une meilleure stratégie de gestion des RH afin d’optimiser les processus de recherche et de recrutement, et ce, dans le but d’attirer et de maintenir en poste les ressources humaines dotées des compétences dont le ministère a le plus besoin.

Aucune activité de planification stratégique visant à répondre à ce besoin n’a été relevée dans l’ensemble du processus ordinaire de RH.

Par ailleurs, dans le cadre des entrevues menées avec la DDPIS et les chefs de secteur, il a été noté que les processus existants de planification des ressources étaient appliqués de manière ponctuelle plutôt qu’en suivant un plan stratégique de gestion des ressources humaines.

Risque et incidence : Risque d'audit évalué comme MODÉRÉ

En l’absence de plans bien définis de gestion des ressources humaines, il se peut que le ministère ne connaisse pas bien ses capacités actuelles et les besoins en ressources humaines auxquels il doit répondre pour embaucher, maintenir en poste et planifier la relève, et ce, afin d’assurer la prestation continue des solutions infonuagiques à l’échelle du ministère.

La complexité, le profil de sécurité et l’efficacité technique des déploiements infonuagiques varient d’un fournisseur à l’autre. De plus, les ressources humaines suivent généralement des cours de certification professionnelle extrêmement spécialisés afin d’acquérir les compétences nécessaires pour travailler avec certains fournisseurs de services infonuagiques, et le bassin de talents se réduit lorsqu’on recherche des personnes spécialisées dans les TI capables de travailler avec plusieurs FSI. Par ailleurs, l’expertise en infonuagique fait l’objet d’une forte demande et a un coût particulièrement élevé. De ce fait, le ministère peut être exposé à des risques opérationnels, à des difficultés et à des coûts indirects plus élevés en rapport avec la gestion de différentes configurations de sécurité de l’environnement et de différents contrôles des utilisateurs finaux et des fournisseurs. Enfin, le fait que le ministère fasse appel à différents fournisseurs a pour effet de nécessiter des compétences, des architectures et des logiciels propres à chacun d’entre eux. Cela amène le ministère à engager des coûts plus élevés pour embaucher des ressources spécialisées par fournisseur, ou à recourir à des conseillers externes.

Recommandation n^o 3

Il est recommandé que le SMA du SGSI, en collaboration avec les SMA des autres secteurs, mette en œuvre des processus pour déterminer les besoins en ressources humaines et les niveaux actuels de dotation liés à l’expertise technique en infonuagique ainsi que pour élaborer et appliquer une stratégie de gestion des RH dans le but d’attirer, d’embaucher et de maintenir en poste les ressources humaines dans ce domaine.

Réponse de la direction

En réponse à la recommandation n° 3, la DDPIS développera une feuille de route des talents pour les compétences difficiles à trouver, telles que l'expertise avec l’infonuagique, dans le cadre de sa stratégie numérique.

Responsable : SMA, Secteur de la gestion et des services intégrés (SGSI)

Echéance : 4^e trimestre, 2023-24

Sous-objectif 2

Le ministère a mis en place des mécanismes adaptés de gestion du rendement technique et financier des fournisseurs afin de garantir la prestation des services, la disponibilité, l’intégrité des données et la sécurité.

Domaine de constatation	Principales constatations	Recommandation et réponse de la direction
Le ministère ne dispose pas de politiques, de processus et d’outils pour gérer le rendement technique et financier des fournisseurs, ni pour examiner les risques associés à ces derniers et y remédier.	Constatation [CAVIARDÉE]	Recommandation n^o 4 Il est recommandé que le SMA du SGSI, en collaboration avec les SMA des autres secteurs, mette en œuvre un processus de gestion des fournisseurs établissant les rôles et responsabilités liés au suivi du rendement des fournisseurs et à la résolution d’ éventuels problèmes . Par ailleurs, afin d’apporter l’assurance raisonnable que le fournisseur agit constamment en accord avec les politiques et les directives applicables du GC, le processus de gestion des fournisseurs doit comporter l’obligation de recueillir et d’examiner les exigences liées à l’établissement des rapports financiers et techniques (p. ex., rapports COS). Réponse de la direction La direction est d'accord. Le ministère doit avoir l'assurance que ses fournisseurs d’infonuagique disposent de contrôles adéquats et efficaces sur une base continue pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. Les responsables d’activités dans les secteurs comprennent mieux leurs coûts d'exploitation par rapport aux avantages offerts aux Canadiens par leur prestation de services. Chaque programme étant différent, les responsables d’activités sont mieux placés pour suivre et surveiller les coûts de leurs fournisseurs respectifs. En réponse à la recommandation no 4, la DDPIS demandera aux organismes centraux d'obtenir des conseils sur la façon dont RNCan devrait acquérir l'assurance de l'efficacité des contrôles des fournisseurs sur une base continue pour se conformer aux politiques et directives du GC. En plus de ces directives, une politique clarifiant les rôles et les responsabilités en matière de surveillance continue du rendement des fournisseurs sera mise en place pour que les propriétaires d'entreprise dans les secteurs s'y conforment. Étant donné que la mise en œuvre de cette politique relèvera de la mise en œuvre de la recommandation n° 1, l’échéance de réalisation de cette action est liée à la recommandation n° 1. Responsable : SMA, Secteur de la gestion et des services intégrés (SGSC) Echéance : 4e trimestre, 2022-2023

Domaine de constatation

Principales constatations

Recommandation et réponse de la direction

Le ministère ne dispose pas de politiques, de processus et d’outils pour gérer le rendement technique et financier des fournisseurs, ni pour examiner les risques associés à ces derniers et y remédier.

Constatation

[CAVIARDÉE]

Recommandation n^o 4

Il est recommandé que le SMA du SGSI, en collaboration avec les SMA des autres secteurs, mette en œuvre un processus de gestion des fournisseurs établissant les rôles et responsabilités liés au suivi du rendement des fournisseurs et à la résolution d’ éventuels problèmes .

Par ailleurs, afin d’apporter l’assurance raisonnable que le fournisseur agit constamment en accord avec les politiques et les directives applicables du GC, le processus de gestion des fournisseurs doit comporter l’obligation de recueillir et d’examiner les exigences liées à l’établissement des rapports financiers et techniques (p. ex., rapports COS).

Réponse de la direction

La direction est d'accord.

Le ministère doit avoir l'assurance que ses fournisseurs d’infonuagique disposent de contrôles adéquats et efficaces sur une base continue pour la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la vie privée. Les responsables d’activités dans les secteurs comprennent mieux leurs coûts d'exploitation par rapport aux avantages offerts aux Canadiens par leur prestation de services. Chaque programme étant différent, les responsables d’activités sont mieux placés pour suivre et surveiller les coûts de leurs fournisseurs respectifs.

En réponse à la recommandation no 4, la DDPIS demandera aux organismes centraux d'obtenir des conseils sur la façon dont RNCan devrait acquérir l'assurance de l'efficacité des contrôles des fournisseurs sur une base continue pour se conformer aux politiques et directives du GC. En plus de ces directives, une politique clarifiant les rôles et les responsabilités en matière de surveillance continue du rendement des fournisseurs sera mise en place pour que les propriétaires d'entreprise dans les secteurs s'y conforment. Étant donné que la mise en œuvre de cette politique relèvera de la mise en œuvre de la recommandation n° 1, l’échéance de réalisation de cette action est liée à la recommandation n° 1.

Responsable : SMA, Secteur de la gestion et des services intégrés (SGSC)

Echéance : 4e trimestre, 2022-2023

Annexe A – Critères de l’audit ciblé

Les sous-objectifs de l’audit ciblé ont été définis à partir des principaux risques cernés par les membres du personnel de RNCan qui ont été consultés lors de la phase de planification; les risques liés à la transformation et à la migration infonuagiques ont été mis en évidence en examinant les politiques et les procédures applicables connexes (p. ex., Politique sur les services et le numérique), et en consultant les organismes leaders d’opinion dans l’industrie (p. ex., ISACA) et les entreprises du secteur privé. Ces critères ont orienté le travail sur le terrain et servi de fondement à la conclusion générale de l’audit.

Les critères suivants ont été utilisés pour réaliser l’audit ciblé :

Sous-objectifs de l’audit	Critères d’audit
Sous-objectif 1 : Déterminer si le ministère a mis en place des activités efficaces de gouvernance et de gestion des risques pour l’ensemble du répertoire de services infonuagiques afin de pouvoir réaliser pleinement ses objectifs opérationnels.	1.1 Il est escompté que des activités de supervision soient mises en place pour l’ensemble du répertoire des services infonuagiques au sein du ministère et de ses secteurs.
	1.2 Il est escompté que le ministère exerce systématiquement des activités adéquates de diligence raisonnable tout au long du cycle de vie des solutions infonuagiques, ce qui suppose, entre autres, d’évaluer le caractère approprié des contrôles de cybersécurité intégrés à l’environnement infonuagique, d’effectuer le processus d’évaluation et d’autorisation de sécurité (EAS) et de mener une évaluation des facteurs relatifs à la vie privée (EFVP).
	1.3 Il est escompté que le ministère a élaboré des processus efficaces de planification des ressources humaines dans le but de déterminer l’expertise en infonuagique et les capacités disponibles nécessaires.
	1.4 Il est escompté que le ministère a configuré des processus de gestion des identités et des accès infonuagiques.
	1.5 Il est escompté que le ministère a documenté et communiqué les processus de gestion des risques infonuagiques en accord avec les directives, politiques et lignes directrices applicables du ministère et du CT (p. ex., ensemble de politiques sur les services et le numérique).
Sous-objectif 2 : Déterminer si le ministère a mis en place des mécanismes adaptés de gestion du rendement technique et financier des fournisseurs afin de garantir la prestation des services, la disponibilité, l’intégrité des données et la sécurité.	2.1 Il est escompté que le ministère a établi des processus de gestion des fournisseurs afin de saisir, de suivre et de surveiller les coûts liés à ces derniers.
	2.2 Il est escompté que le ministère a documenté et communiqué des seuils de rendement et des exigences en matière de production de rapports (p. ex., rapport COS).
	2.3 Il est escompté qu’il existe un processus visant à examiner et atténuer les risques cernés dans l’environnement infonuagique du fournisseur, ainsi qu’à gérer adéquatement les processus et les contrôles que les utilisateurs de l’infonuagique devraient avoir mis en place, selon ce qui a été déterminé par le fournisseur de services infonuagiques.

Migration Content Type:

Publication

Détails de la page

Date de modification :: 2023-01-30

Language selection

Recherche

Audit ciblé de l’infonuagique et du stockage

Table des matières

Résumé

Points forts

Domaines à améliorer

Conclusion de l’audit interne et opinion

Énoncé de conformité

Remerciements

Introduction

But et objectifs de l’audit ciblé

Facteurs pris en considération lors de l’audit

Portée

Critères

Constatations et recommandations

Annexe A – Critères de l’audit ciblé

Détails de la page

Merci de votre aide!