Language selection

Recherche


Audit de la gestion des services de TI

Direction de l’audit et de l’évaluation
Ressources naturelles Canada

Présenté au Comité ministériel d’audit (CMA)
7 février 2024

En 2024, l’audit interne de la gestion des services de TI a été réalisé pour évaluer l’efficacité globale de la gouvernance, la pertinence des processus et des contrôles, ainsi que l’efficacité de la gestion des ressources humaines en appui à la prestation des services de TI dans l’ensemble du ministère.

Le Ministère prend des mesures pour répondre aux recommandations de l’audit.

Conformément au paragraphe 16 (2) (c) de la Loi sur l’accès à l’information, une partie du contenu du rapport d'audit a été caviardée.

RNCan a soigneusement évalué l’intérêt public concernant la divulgation comparativement à la nécessité d’assurer la sécurité des biens ministériels et de veiller aux intérêts nationaux en prenant sa décision.

Table des matières

Résumé

Introduction

La Politique sur les services et le numérique (PSN) du Conseil du Trésor (CT) et sa directive constituent un ensemble intégré de règles qui établissent la manière dont les organismes du gouvernement du Canada sont appelés à gérer la prestation de services, l’information et les données, les technologies de l’information et la cybersécurité à l’ère du numérique. Il est escompté, dans le cadre de la PSN, que la prestation de services, les activités opérationnelles et l’innovation en matière de programmes soient facilitées par la technologie et les données. Il est également escompté que la conception et la prestation des services soient axées sur les clients dès la conception. Un service, au sens de la PSN, s’entend d’un extrant final précis qui comble un ou plusieurs besoins d’un bénéficiaire visé et qui contribue à l’obtention d’un résultatNote de bas de page 1.

La gestion des services informatiques est l'ensemble des pratiques qu'une fonction de ces services suit pour répondre aux besoins informatiques de l'organisation. Cet ensemble de pratiques comprend l'identification des besoins informatiques de l'organisation, la conception et la fourniture de services informatiques pour répondre à ces besoins, ainsi qu'un contrôle permanent pour s'assurer que les besoins sont satisfaits et que les services informatiques continuent de s'améliorer. La gestion des services informatiques permet également d'établir de bonnes relations avec les parties prenantesNote de bas de page 2 grâce à la compréhension de leurs besoins, à la transparence et à un engagement continu.

À RNCan, la gestion des TI se fait à différents niveaux au sein du ministère. Plus précisément, la prestation des services de TI s’effectue aux niveaux organisationnel et sectoriel. Au niveau organisationnel, la Direction du dirigeant principal de l’information (DDPI) du Secteur de la gestion et des services intégrés (SGSI) est chargée d’assurer la gestion et la prestation des services organisationnels de TI, notamment la gestion des postes de travail, le développement des applications, la gestion des clients et de Services partagés Canada (SPC), l’analyse des données et la gestion de l’infonuagique, la gestion de l’information, la planification des TGI, l’infrastructure de TI, ainsi que la politique et la gouvernance en matière de gestion de l’information (GI).

Si tous les secteurs s’appuient dans une certaine mesure sur les services organisationnels de TI, certains disposent également de leurs propres équipes pour gérer et fournir des services de TI à même de répondre aux besoins qui leur sont propres. C’est le cas, par exemple, de cinq des neuf secteurs. RNCan dispose également de plusieurs systèmes d’applications et de services opérationnels critiques (ASOC) dont la responsabilité relève des programmes du Secteur de la politique stratégique et de l’innovation (SPSI), du Service canadien des forêts (SCF) et du Secteur des terres et des minéraux (STM). Les ASOC ont des exigences complexes en matière de TI, notamment en ce qui concerne le fonctionnement des stations de réception satellitaire et des réseaux de capteurs. Nombre des services de TI fournis par les ASOC sont assurés par des experts en la matière, mais ils nécessitent également de collaborer avec SPC afin de permettre l’accès aux centres de données et la gestion des réseaux à l’échelle nationale.

Cet audit avait pour objectif d’évaluer l’efficacité globale de la gouvernance, la pertinence des processus et des contrôles, ainsi que l’efficacité de la gestion des ressources humaines en appui à la prestation des services de TI dans l’ensemble du ministère.

Points forts

De manière générale, le ministère a mis en place des processus et des outils opérationnels pour faciliter la prestation des services de TI. Il existe des processus de suivi des dépenses en matière de TI, tant au niveau organisationnel qu’au niveau sectoriel, processus qui peuvent indirectement fournir des renseignements sur l’étendue des biens de TI dans l’ensemble du ministère. [CAVIARDÉE] afin de faciliter la gestion des biens de TI tout au long de leur cycle de vie.

Domaines d’amélioration

Il est nécessaire de renforcer la gouvernance de la GSTI par l’élaboration d’instruments de politique internes sur la GSTI, avec des rôles et des responsabilités clairement définis pour les principaux intervenants aux niveaux organisationnel et sectoriel, ainsi qu’avec un cadre de gestion du rendement pour permettre l’amélioration continue des services de TI. Il est également nécessaire de mettre à profit les comités de gouvernance pour assurer la supervision de la GSTI. Des efforts supplémentaires doivent être engagés pour renforcer les processus opérationnels de [CAVIARDÉE], des exigences en matière de services de TI et des effectifs de TI.

Certaines des difficultés rencontrées par RNCan pour gérer efficacement ses services de TI sont liées à des facteurs contributifs tels que la présence de priorités concurrentes et de contraintes en matière de ressources, ainsi que la complexité de la gouvernance dans un environnement de TI décentralisé. À cette complexité vient s’ajouter le fait que, en matière de TI, les secteurs ont des exigences uniques pour soutenir leurs activités de science et de recherche, exigences qui sont plus difficiles à satisfaire avec des solutions de TI standard ou communes.

L’absence d’amélioration dans ces domaines peut notamment avoir pour effet de limiter la capacité du ministère à mettre en œuvre efficacement la gestion des services de TI et à intégrer stratégiquement la gestion des TI dans l’ensemble du ministère, accentuant ainsi le risque d’une superposition des efforts, d’une augmentation des coûts et du non-respect des instruments de politique du CT.

Conclusion de l’audit interne et opinion

À mon sens, le ministère a mis en place des processus et des outils opérationnels pour faciliter la prestation des services de TI. Toutefois, un certain nombre d’améliorations sont nécessaires pour renforcer les structures de gouvernance et les processus opérationnels existants afin de mettre en œuvre efficacement la gestion des services de TI dans le cadre d’un modèle décentralisé, et d’intégrer stratégiquement la gestion des TI dans l’ensemble du ministère. Il serait également opportun de renforcer les activités de planification des RH afin de cerner les compétences, les connaissances et les capacités nécessaires à la satisfaction des besoins opérationnels. Ces améliorations contribueraient à s’assurer que les services de TI permettent la création de valeur et aident le ministère à atteindre ses objectifs.

Énoncé de conformité

J’estime, en ma qualité de dirigeant principal de l’audit et de l’évaluation, que cet audit est conforme aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes (IIA) et à la Politique sur l’audit interne du gouvernement du Canada, comme le confirment les résultats du Programme d’assurance et d’amélioration de la qualité.

Michel Gould, MBA, CPA, AIC

Dirigeant principal de l’audit et de l’évaluation

7 février 2024

Remerciements

L’équipe d’audit tient à remercier les personnes qui ont contribué à la réalisation de cet audit, et tout particulièrement les employés qui ont fait part de leur point de vue et de leurs observations dans le cadre de celui-ci.

Introduction

Qu’est-ce que la gestion des services de TI?

La Bibliothèque de l’infrastructure de la technologie de l’information (BITI), qui est un cadre reconnu par le secteur pour la gestion des services, définit la gestion des services de TI comme un ensemble de capacités organisationnelles spécialisées permettant de créer de la valeur pour les clients sous la forme de services de TINote de bas de page 3. Elle regroupe un éventail de politiques et de processus de TI appliqués dans l’ensemble de l’organisme en vue de fournir des services de TI efficaces et efficients et ainsi de répondre aux besoins opérationnels de l’organisme. La BITI dispose d’un système de valeur des services (SVS) qui décrit la manière dont les différentes composantes et activités de l’organisme doivent travailler de concert pour faciliter la création de valeur par l’entremise de services basés sur les TI.

chart

Version texte

Le système de valeur des services de la Bibliothèque de l’infrastructure de la technologie de l’information (BITI).
Ce diagramme représente la manière dont les différentes composantes et activités de l’organisme doivent travailler de concert pour faciliter la création de valeur par l’entremise de services basés sur les TI. 

Les cinq éléments du système de valeur du service comprennent les principes directeurs BITI ; la gouvernance, la chaîne de valeur du service, les pratiques et l’amélioration continue.  

L’opportunité/la demande est un intrant dans le système de valeur du service, avec la génération de valeur comme résultat. La chaîne de valeur des services se trouve au milieu du système.

Le schéma ci-dessous illustre le SVS de la BITI.

La Politique sur les services et le numérique (PSN) du Conseil du Trésor (CT) et sa directive, qui sont entrés en vigueur le 1er avril 2020, constituent un ensemble intégré de règles qui établissent la manière dont les organismes du gouvernement du Canada sont appelés à gérer la prestation de services, l’information et les données, les technologies de l’information et la cybersécurité à l’ère du numérique. Il est escompté, dans le cadre de la PSN, que la prestation de services, les activités opérationnelles et l’innovation en matière de programmes soient facilitées par la technologie et les données. Il est également escompté que la conception et la prestation des services soient axées sur les clients dès la conception. Un service, au sens de la PSN, s’entend d’un extrant final précis qui comble un ou plusieurs besoins d’un bénéficiaire visé et qui contribue à l’obtention d’un résultatNote de bas de page 4.

Pourquoi la gestion des services de TI est-elle importante?

La gestion des services de TI (GSTI) est en relation avec de nombreuses fonctions de l’organisme et doit permettre une prise de décision intégrée dans l’ensemble du ministère. La GSTI comprend la planification, l’amélioration, la conception et la prestation des services. Une offre de services vise à répondre aux besoins d’un groupe de consommateurs cible et peut comprendre des biens, un accès aux ressources et des actions de serviceNote de bas de page 5. Les biens impliquent le transfert de la propriété ou de la responsabilité à un consommateur, comme la fourniture d’appareils aux nouveaux employés. L’accès aux ressources implique l’octroi ou la concession d’une ressource avec des limitations convenues, comme l’accès au réseau. Les actions de service sont assurées par un fournisseur à l’intention d’un consommateur pour répondre à ses besoins, comme l’assistance à l’utilisateur. Une GSTI mature permet à chacune de ces activités de s’appuyer mutuellement. La GSTI permet également d’entretenir de bonnes relations avec les intervenants grâce à la compréhension de leurs besoins, à la transparence et à une mobilisation constante.

La PSN exige que l’administrateur général établisse la gouvernance afin d’assurer la gestion intégrée des services, de l’information, de données, des TI et de la cybersécurité. Elle exige également que les administrateurs généraux veillent à ce que les services soient examinés afin de cerner les améliorations possibles. La Directive sur les services et le numérique (DSN) du CT exige que le DPI du ministère élabore et tienne à jour des pratiques et des processus ministériels de gestion de TI, tout en donnant la priorité à la gestion des biens de TI, au catalogage des services de TI et à l’établissement des coûts et des tarifs des services de TI, suivant le cas.

À l’échelle du gouvernement du Canada, le secrétaire du Secrétariat du Conseil du Trésor du Canada (SCT) a la tâche d’établir et de présider un organisme de niveau supérieur chargé de fournir des conseils et des recommandations en appui aux priorités du gouvernement du Canada et aux Normes numériques du gouvernement du Canada concernant l’orientation stratégique en matière de gestion des services externes et internes intégrés, et la priorisation de la demande du gouvernement du Canada pour des services et des biens de TI partagés.

Le dirigeant principal de l’information (DPI) du Canada est chargé de fournir des conseils au secrétaire et au président du SCT. Il est également chargé de faciliter l’innovation et l’expérimentation en matière de conception et de prestation de services, d’approuver un plan pangouvernemental annuel prospectif sur trois ans qui établit une orientation stratégique pour la gestion intégrée des services, de l’information, des données, des TI et de la cybersécurité, et de veiller à ce que ce plan comprenne un rapport d’avancement sur la manière dont il a été mis en œuvre au cours de l’année précédente.

La GSTI à RNCan

Pour mener à bien son mandat, qui consiste à favoriser l’exploitation et l’utilisation responsables des ressources naturelles du Canada et la compétitivité des produits issus des ressources naturelles du pays, Ressources naturelles Canada (« RNCan » ou « le ministère ») s’appuie sur différents systèmes et processus de TI. De ce fait, la gestion efficace des services de TI dans l’ensemble du ministère est essentielle à la prestation des programmes et des services.

À RNCan, la gestion des TI se fait à différents niveaux au sein du ministère. Plus précisément, la prestation des services de TI s’effectue aux niveaux organisationnel et sectoriel.

Au niveau organisationnel, la Direction du dirigeant principal de l’information (DDPI) du Secteur de la gestion et des services intégrés (SGSI) est chargée d’assurer la gestion et la prestation des services organisationnels de TI, notamment la gestion des postes de travail, le développement des applications, la gestion des clients et de Services partagés Canada (SPC), l’analyse des données et la gestion de l’infonuagique, la gestion de l’information, la planification des TGI, l’infrastructure de TI, les finances, l’administration et les ressources humaines (RH), ainsi que la politique et la gouvernance en matière de gestion de l’information (GI).

Si tous les secteurs s’appuient dans une certaine mesure sur les services organisationnels de TI, certains disposent également de leurs propres équipes pour gérer et fournir des services de TI à même de répondre aux besoins qui leur sont propres. C’est le cas, par exemple, de cinq des neuf secteurs. RNCan dispose également de plusieurs systèmes d’applications et de services opérationnels critiques (ASOC) dont la responsabilité relève des programmes du Secteur de la politique stratégique et de l’innovation (SPSI), du Service canadien des forêts (SCF) et du Secteur des terres et des minéraux (STM). Les ASOC ont des exigences complexes en matière de TI, notamment en ce qui concerne le fonctionnement des stations de réception satellitaire et des réseaux de capteurs. Nombre des services de TI fournis par les ASOC sont assurés par des experts en la matière, mais ils nécessitent également de collaborer avec SPC afin de permettre l’accès aux centres de données et la gestion des réseaux à l’échelle nationale.

Secteur Capacités en matière de TI
Service canadien des forêts (SCF) Les effectifs sectoriels chargés des TI fournissent des services de TI, notamment des services d’infrastructure et d’application, afin de répondre aux besoins opérationnels du secteur. Le secteur fournit des applications et des services opérationnels critiques (ASOC). En mars 2023, le secteur était doté de 19 ressources en TI.
Secteur des communications et du portefeuille (SCP) Le personnel informatique du secteur fournit des services informatiques, notamment la publication sur le Web (intranet et site Web externe), des conseils sur l'utilisation et la mise en œuvre du modèle Canada.ca, et l'examen du contenu Web pour s'assurer qu'il est conforme aux lignes directrices sur l'accessibilité du contenu Web (WCAG) 2.0. En mars 2023, le secteur était doté de 10 ressources en TI.
Secteur de l’efficacité énergétique et de la technologie de l’énergie (SEETE) Le secteur dispose de ressources chargées de fournir des services de TI à l’Office de l’efficacité énergétique (OEE). L’OEE a un catalogue de services de TI en cours d’élaboration. En mars 2023, le secteur était doté de 46 ressources en TI.
Secteur des systèmes énergétiques (SSE) Le secteur ne dispose pas actuellement de ressources dédiées aux TI.
Secteur des carburants (SC) Le secteur ne dispose pas actuellement de ressources dédiées aux TI.
Nòkwewashk Le secteur ne dispose pas actuellement de ressources dédiées aux TI.
Secteur des terres et des minéraux (STM) Le secteur dispose de services de TI dont la gestion se fait à l’échelle de la direction. Sur les sept directions, cinq disposent de ressources chargées de fournir des services de TI. Le secteur fournit des applications et des services opérationnels critiques (ASOC). En mars 2022, le secteur était doté de 32 ressources en TI sur un total de 49 postes.
Bureau du scientifique principal (BSP) Le secteur ne dispose pas actuellement de ressources dédiées aux TI.
Secteur de la politique stratégique et de l’innovation (SPSI) et Centre canadien de cartographie et d’observation de la Terre (CCCOT) Le secteur dispose de 31 postes en TI, dont 22 sont pourvus. Le secteur fournit des applications et des services opérationnels critiques (ASOC). Une direction (CCCOT) a établi un cadre de microservices afin que les outils puissent être facilement partagés au sein du secteur. Un catalogue de services, notamment en matière de TI, est également en cours d’élaboration.

Cet audit était inscrit dans le Plan intégré d’audit et d’évaluation 2022-2027 (PIAE), que le sous-ministre a approuvé le 9 mai 2022.

But et objectifs de l’audit

Cet audit avait pour objectif d’évaluer l’efficacité globale de la gouvernance, la pertinence des processus et des contrôles, ainsi que l’efficacité de la gestion des ressources humaines en appui à la prestation des services de TI dans l’ensemble du ministère.

L’équipe d’audit a tout particulièrement cherché à vérifier :

  • s’il existait des mécanismes de gouvernance pour orienter et superviser les services de TI;
  • si les processus et les contrôles opérationnels des services de TI étaient pensés de manière à permettre la prestation de ces services et à en assurer l’amélioration constante;
  • s’il existait des pratiques de gestion des ressources humaines en matière de TI pour s’assurer que le ministère dispose des personnes adéquates et que celles-ci possèdent les compétences et les connaissances nécessaires pour répondre aux besoins en matière de services de TI.

Considérations relatives à l’audit

Une approche fondée sur le risque a été adoptée pour définir les objectifs, la portée et la stratégie de cette mission d’audit. Les principaux risques sous-jacents susceptibles de compromettre la gestion et la prestation efficaces des services de TI à l’échelle du ministère, risques mis en évidence au cours de la phase de planification, sont résumés ci-dessous :

  • Les mécanismes de gouvernance afin d’orienter et de superviser les services de TI, comme l’existence de rôles, de responsabilités et de pouvoirs clairement définis pour optimiser la prestation des services de TI à l’échelle du ministèreNote de bas de page 6, et les mécanismes de contrôle afin de surveiller la mise en œuvre des activités liées aux services de TI;
  • Les processus et les contrôles opérationnels des services de TI afin de permettre la prestation de ces services et d’en assurer l’amélioration constante;
  • Les pratiques de gestion des ressources humaines en matière de TI afin de s’assurer que le ministère dispose des personnes adéquates et que celles-ci possèdent les compétences et les connaissances nécessaires pour répondre aux besoins en matière de services de TINote de bas de page 7.

Portée

L’audit a essentiellement porté sur la gestion des services de TI à l’échelle du ministère, y compris les activités mises en œuvre aux niveaux organisationnel et sectoriel. Il a notamment ciblé l’ensemble des politiques et pratiques mises en œuvre par les services organisationnels de TI pour répondre aux objectifs et aux besoins de l’organisme, et pour aider les secteurs à atteindre leurs objectifs. Il a également ciblé toutes les politiques et pratiques mises en œuvre au sein des secteurs pour faciliter l’intégration à la DDPI et fournir des services de TI spécifiques aux secteurs.

L’audit a porté sur les considérations en matière de risque résumées ci-dessus en relation avec la manière dont les services de TI et les activités à l’appui de l’organisme fonctionnent de concert pour permettre la création de valeur. Dans le détail, l’équipe d’audit a examiné les composantes du système de valeur des services de la BITI, notamment les pratiques de gouvernance, de planification, de mobilisation, de conception et transition, d’obtention et d’élaboration, de prestation et soutien et d’amélioration continue, ainsi que les pratiques de soutien à la BITI.

L’équipe d’audit a examiné les activités de gestion des services de TI qui existaient en mars 2023.

Les résultats des précédents projets de conseil, d’audit et d’évaluation relatifs à des sujets connexes ont été pris en compte dans la mesure où ils ont été jugés pertinents pour éclairer l’audit et éviter la superposition des efforts.

L’équipe d’audit n’a pas examiné les activités ou les processus spécifiquement liés à la sécurité des TI, car un audit de la cybersécurité devrait être réalisé prochainement au cours de l’exercice 2023-2024.

[CAVIARDÉE]

Stratégie et méthodologie

La stratégie et la méthodologie suivies au cours de cet audit étaient conformes aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes et à la Politique sur l’audit interne du gouvernement du Canada. Ces normes exigent que l’audit soit planifié et réalisé de manière à obtenir l’assurance raisonnable que ses objectifs ont bien été atteints. L’audit a intégré les contrôles réputés nécessaires pour obtenir cette assurance. Les auditeurs internes ont effectué l’audit avec toute l’indépendance et l’objectivité nécessaires, conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

L’audit s’est articulé autour des principales tâches suivantes :

  • Entrevues avec les principaux membres du personnel de la DDPI et les représentants sectoriels chargés de faciliter la prestation des services de TI;
  • Examen et analyse des principaux documents, processus opérationnels et supports de communication sélectionnés;
  • Revue générale des principaux processus de gestion des services de TI.

Les critères de l’audit ont été élaborés à partir des processus pertinents du cadre COBIT 5 ainsi que de la Politique sur les services et le numérique du Conseil du Trésor. La phase d’exécution de cet audit s’est achevée pour l’essentiel en mai 2023.

Critères

Les critères de l’audit sont détaillés à l’Annexe A. Ces critères ont orienté le travail d’audit sur le terrain et servi de fondement à la conclusion générale de l’audit.

Constatations et recommandations

Gouvernance de la GSTI

Constatation générale

Le ministère a mis en place un certain nombre de structures de contrôle pour faciliter la gestion des TI. Cependant, il a été constaté qu’il était possible de renforcer la gouvernance de la GSTI, notamment par ce qui suit :

  • Les rôles et les responsabilités afférents à l’orientation, à la supervision et à la prestation des services de TI, ainsi qu’au respect des politiques applicables du CT n’ont pas été pleinement définis et attribués à des postes et à des structures de gouvernance spécifiques.
  • Les instruments de politique sur la GSTI, tels que les directives, les normes, les procédures et les orientations ministérielles, n’ont pas été pleinement élaborés et mis en œuvre.
  • Les mécanismes visant à mesurer et à gérer le rendement de la gestion des services de TI n’ont pas été pleinement élaborés et mis en œuvre.
  • Les rôles et les responsabilités des secteurs fournissant des services de TI ne sont pas communiqués.
  • Il n’existait pas d’orientations à l’intention des secteurs fournissant des services de TI.
  • La mise en œuvre des mécanismes de gestion des services de TI, notamment les catalogues de services, les répertoires de services et les normes de services, a été limitée dans les secteurs fournissant des services de TI.

Observations complémentaires

Il est attendu qu’il existe des mécanismes de gouvernance visant à orienter, superviser, conseiller, remettre en question et prendre des décisions en ce qui concerne la GSTI. L’équipe d’audit a vérifié si les rôles, les responsabilités et les obligations redditionnelles des principaux intervenants en matière d’orientation, de supervision et d’exécution des services de TI étaient clairement définis pour faciliter la gestion intégrée des services de TI dans l’ensemble du ministère. Elle a également vérifié si des politiques, des directives et des orientations exhaustives et approuvées avaient été élaborées et si elles étaient mises en œuvre à l’échelle du ministère en vue de gérer les services de TI. Par ailleurs, l’équipe d’audit a vérifié si des normes de rendement applicables aux services de TI étaient définies, et si des mécanismes permettant de mesurer le rendement par rapport à ces normes étaient mis en œuvre et employés pour cerner les possibilités d’amélioration des services de TI.

Rôles, responsabilités et obligations redditionnelles

Plusieurs instances de gouvernance ont été mises en place pour faciliter la gestion des TI à l’échelle du ministère. Certains comités sont chargés de faciliter et superviser la gestion des TI; c’est notamment le cas du Comité des activités de TI et du Comité sur la technologie et la gestion de l’information (CTGI). Les structures à l’appui des TI comprennent également le DPI et le sous-ministre adjoint (SMA), qui est le cadre supérieur désigné pour les services. Bien qu’il existe des structures de gouvernance pour superviser et faciliter la gestion des TI, leur mandat est plus étendu et ne porte pas spécifiquement sur la GSTI.

Les rôles et les responsabilités liés à la conception et à la prestation des services de TI devraient être clairement définis aux niveaux organisationnel et sectoriel. Cependant, il est ressorti de l’audit que les rôles et les responsabilités du cadre désigné en ce qui concerne le répertoire des services de TI, la conception des services et la prestation des services au niveau organisationnel n’étaient pas clairement définis, documentés ou communiqués. Dans le cadre du modèle décentralisé de RNCan pour la gestion des TI, certains secteurs gèrent eux-mêmes leurs services de TI afin de répondre à leurs besoins en la matière. L’équipe d’audit a constaté que cinq des neuf secteurs avaient mis sur pied des comités de gestion de l’information et de la technologie. Cependant, les rôles et les responsabilités liés à la conception et à la prestation des services de TI ne sont pas clairement définis dans la plupart des secteurs. Il est globalement ressorti de l’audit que la délimitation entre les rôles et les responsabilités de prestation des services de TI qui relèvent du niveau organisationnel et ceux qui relèvent du niveau sectoriel n’était pas claire. En outre, les mécanismes permettant de surveiller et garantir la responsabilisation à l’égard du respect des exigences du CT en matière de prestation de services, ainsi que de gérer le rendement des services de TI, sont limités.

Politiques et procédures

Il est ressorti de l’audit que le ministère avait mis en place un nombre limité d’instruments de politique pour orienter et assurer la gestion des services de TI. La directive actuelle de RNCan sur l’élaboration des systèmes de TI, qui est entrée en vigueur le 31 juillet 2010, ne reflète pas les exigences de la Politique sur les services et le numérique du CT. Les services organisationnels de TI disposent de politiques de gestion du changement, de politiques de gestion des accès, d’un cadre de gestion des projets de TI, d’un plan de gestion des incidents majeurs et d’un catalogue de services organisationnels de TI avec des procédures de demande de services en appui à la gestion des services de TI. Néanmoins, il n’existe pas d’orientations, de processus opérationnels et de contrôles formellement documentés, tant au niveau organisationnel qu’au niveau sectoriel, notamment en ce qui concerne les politiques de gestion des biens de TI, les politiques de gestion des exigences en matière de TI, les procédures de mesure et de rapport sur les services de TI et les normes relatives aux solutions organisationnelles de TI.

Cadre de gestion du rendement

Il est ressorti de l’audit que les services organisationnels de TI ne disposaient pas de cibles de rendement pleinement définies pour l’étendue des services de TI qu’ils fournissent au ministère. L’équipe d’audit a constaté qu’un projet de catalogue de services de TI était en cours d’élaboration, et que celui-ci comportait des cibles de rendement, notamment en ce qui concerne les délais d’exécution escomptés. Les autres attentes en matière de niveaux de service n’ont pas été définies et incluses dans les cibles de rendement. Au sein des secteurs, les cibles de rendement n’étaient pas non plus bien définies ou surveillées. Trois des cinq secteurs dotés d’effectifs chargés de fournir des services de TI ne disposaient pas de normes de rendement ou de mécanismes pour mesurer et surveiller le rendement des services de TI.

Risque et incidence

Le manque de clarté dans les rôles, les responsabilités et les obligations de compte rendu liés à la gestion des services de TI peut avoir pour effet de limiter la capacité du ministère à mettre en œuvre efficacement la gestion des services de TI et à intégrer stratégiquement la gestion des TI dans l’ensemble du ministère, accentuant ainsi le risque d’une superposition des efforts, d’une augmentation des coûts et du non-respect des instruments de politique du CT. L’absence d’orientations et d’instruments de politique peut également limiter la capacité de RNCan à adopter une approche intégrée de la gestion de la prestation des services de TI, et peut rendre difficiles la surveillance et l’application de la conformité aux politiques pertinentes du CT dans l’ensemble du ministère. Enfin, l’absence d’un cadre permettant de définir et de mesurer le rendement des services de TI peut entraver la capacité du ministère à cerner efficacement les lacunes et les possibilités d’amélioration constante de ses services de TI.

Recommandations

Recommandation 1 : Il est recommandé que le SMA du SGSI élabore des instruments de politique de gestion interne des services de TI (directives, normes, orientations) adaptés à la structure décentralisée du ministère en matière de TI afin d’aider celui-ci à veiller au respect de la Politique sur les services et le numérique. Ces instruments de politique devraient comprendre :

  1. des rôles et des responsabilités clairement définis pour les personnes associées à la gestion et à la prestation des services de TI, avec une délimitation claire entre les rôles et les responsabilités de gestion des services de TI qui relèvent du niveau organisationnel et ceux qui relèvent du niveau sectoriel, conformément à la Politique sur les services et le numérique;
  2. un cadre de gestion du rendement des services de TI aux niveaux organisationnel et sectoriel, afin de permettre une amélioration constante par la définition, le contrôle, le suivi et l’examen de cibles de rendement en matière de prestation de services afin de s’assurer qu’elles répondent aux besoins opérationnels;
  3. des rôles et des responsabilités clairement définis pour les comités ministériels existants afin de surveiller la conformité des secteurs aux instruments de politique du Conseil du Trésor et du ministère élaborés en appui à la gestion des services de TI.

Recommandation 2 : Il est recommandé que les SMA des secteurs fournissant des services de TI élaborent, avec l’appui et les conseils du SMA du SGSI, un cadre de gestion du rendement des services de TI, afin de permettre une amélioration constante par la définition, le contrôle, le suivi et l’examen de cibles de rendement en matière de prestation de services, et ainsi de s’assurer qu’elles répondent aux besoins opérationnels.

Réponse de la direction et plan d’action

La direction du SGSI est d'accord avec la recommandation no 1.

En réponse à la recommandation 1, nous travaillerons à la définition d'une vision collective et d'une feuille de route et d’une stratégie d'accompagnement sur l'évolution de notre GSTI au sein de RNCan, qui intègre les commentaires des secteurs.

Responsable du poste : DPI

Délai : 3 à 6 mois

Organiser une séance sur la vision : d'ici la fin du T1 2024

Définir la feuille de route et la gouvernance associée : d'ici la fin du T2 2024

A : La direction du SGSI est d'accord avec la recommandation no 1a.

En réponse à la recommandation 1a, nous mettrons en place un instrument de politique de gouvernance qui définit le modèle de service informatique hybride dans lequel la DDPI est responsable des services intégrés et des services partagés, et les secteurs sont responsables du soutien de leurs propres applications de portefeuille opérationnelles. Ceci comprendra des descriptions précises de ce qui définit un service central par rapport à un service de portefeuille. En outre, nous définirons les rôles relatifs au soutien des services intégrés par rapport aux services de portefeuille, ainsi que les rôles permettant de combler le fossé et de garantir la collaboration entre les secteurs et la DDPI, ainsi que les responsabilités associées.

La DDPI proposera aussi une restructuration des services centraux afin de réduire le dédoublement des services et de renforcer notre capacité de remplir notre mandat en matière de sécurité, de résilience et d’autres services intégrés de TI dont la responsabilité ultime revient à la DDPI.

Responsable du poste : DPI

Délai : T3 2024

B : La direction du SGSI est d'accord avec la recommandation no 1b.

En réponse à la recommandation 1b, nous publierons un tableau de bord de présentation des rapports afin que les IRC des services soient facilement accessibles aux clients des secteurs. Ce tableau sera examiné avec les secteurs deux fois par an.

La DDPI élaborera un cadre commun à l’aide de la séance de visualisation afin que des objectifs propres au contexte et adaptés aux secteurs puissent être mesurés. Cela permettra à la DDPI d’améliorer les services qui comptent pour les secteurs et, par ricochet, d’accroître leur capacité à fournir leurs services à eux.

Les objectifs stratégiques seront mesurés selon des indicateurs de rendement clés (IRC) qui seront surveillés sur une base périodique afin d’assurer leur pertinence. Cela se fera en collaboration avec les secteurs.

Responsable du poste : DPI

Délai : T4 2024

C : La direction du SGSI est d'accord avec la recommandation no 1c.

En réponse à la recommandation 1c, ces rôles seront intégrés dans l'ensemble des politiques sur la gestion des services et dans la description détaillée du modèle informatique hybride, où un rôle de liaison sera défini pour travailler avec les secteurs afin de faciliter la conformité aux exigences organisationnelles.

Responsable du poste : DPI

Délai : T3 2024

La direction du SGSI est d'accord avec la recommandation no 2.

En réponse à la recommandation 2, nous nous engagerons à fournir des ressources et du soutien à cette entreprise. La DDPI fournira des consultations sur les meilleures pratiques en matière de prestation de services de TI ainsi que des conseils sur la façon d’intégrer ses services au sein de la structure de gouvernance globale pour la prestation de services de TI à RNCan. Plus précisément, la DDPI aura pour objectif de faciliter l’intégration des services afin de garantir que la prestation de services de TI de RNCan est efficace et efficiente tant pour l’entreprise que pour chacun des secteurs.

Responsable du poste : DPI

La direction du STM est d'accord avec la recommandation no 2.

La direction du STM approuve la recommandation visant à améliorer la gestion du rendement des services informatiques en établissant un cadre solide qui permet l'amélioration continue de la prestation de services, en fonction des besoins opérationnels.

En réponse à la recommandation 2, nous proposons le plan d'action suivant :

1. Renforcer la structure actuelle de gouvernance informatique du STM par la création d'un comité de gouvernance de la gestion des services informatiques du STM représentant toutes les directions du STM.

2. Élaborer un cadre de gestion du rendement sectoriel, adapté aux besoins particuliers de nos services informatiques.

• Définir des indicateurs de rendement clés (IRC) pour mesurer et évaluer efficacement la prestation de services.

• Mettre en place des mécanismes de contrôle pour suivre et évaluer le rendement par rapport aux objectifs fixés.

Responsable du poste : Toutes les directions du STM

Délai : Mars 2025

La direction du SCP est d'accord. En réponse à la recommandation 2 : L'équipe de publication Web du SCP a déjà établi des normes de niveau de service relatives à la gestion des sites Web internes et externes de RNCan.

Ces normes tiennent compte des divers degrés de complexité associés au travail de l'équipe de publication Web et sont périodiquement mises à jour, au besoin.

Ces normes sont communiquées au comité ministériel de gouvernance du Web pour qu'il en prenne connaissance.

Le cadre de rendement/normes est déjà en place et activement utilisé par l'équipe. Il continuera d'être surveillé et mis à jour au besoin pour refléter la situation la plus récente.

Le SCP propose les mesures suivantes pour garantir l'amélioration continue de la prestation de services en fonction des besoins opérationnels. Il s'agit non seulement de surveiller les niveaux de service, mais aussi l'état général du site Web en fonction des diverses mises à jour demandées.

  1. Renforcer les statistiques de service existantes par un suivi régulier et des niveaux de référence afin de déterminer les mises à jour de processus et les recommandations d'amélioration nécessaires.

Responsable du poste : Responsable du site Web du SCP

Délai : T2 (septembre) 2024-25 et T4 (mars) 2024-25

  1. Examiner et fixer des indicateurs/niveaux de référence, le cas échéant, et veiller à ce que des processus de suivi et d'évaluation soient en place pour examiner et prendre des mesures.

Responsable du poste : Responsable du site Web du SCP

Délai : T1 (juin) 2024-25 et T3 (décembre) 2024-25

  1. Examiner les tableaux de bord Web pour détecter les problèmes liés à l'accessibilité, au langage clair, etc., repérer les pages et fixer des normes de niveau de service pour les corrections à apporter avec les différents secteurs/propriétaires de contenu.

Responsable du poste : Responsable du site Web du SCP

Délai : [CAVIARDÉE]

La direction du SCF approuve la recommandation d'améliorer la gestion du rendement des services informatiques avec le soutien du SGSI et de la DDPI.

En réponse à la recommandation 2, nous proposons le plan d'action suivant :

  1. Ce qui sera mis en œuvre :
  • Élaboration d'un cadre de gestion du rendement (CGR) adapté aux services informatiques en association avec le SGSI.
  • Les principaux éléments sont les objectifs de rendement, les IRC, les examens réguliers et les mécanismes de retour d'information.
  1. Comment cela sera-t-il mis en œuvre?
  • Évaluation initiale : déterminer les capacités et les lacunes actuelles en matière de prestation de services.
  • Développement du cadre : collaborer avec les représentants de l'informatique du SGSI ou de la DDPI, le réseau des responsables de l'informatique et les régions du SCF afin d'établir des objectifs de rendement et des IRC. Demander l'examen et l'approbation lors des réunions du comité de gouvernance de GI-TI du SCF.
  • Formation et communication : veiller à ce que tous les membres de l'équipe comprennent le nouveau cadre. Travailler avec le service informatique du SGSI de la DDPI pour adapter le matériel de formation et de communication existant au secteur.
  • Mise en œuvre : déployer le cadre en plusieurs phases.
  • Examen et modification continus : examiner régulièrement les données relatives au rendement et adapter les objectifs et les processus en fonction des besoins.
  1. Processus de suivi :
  • Examens réguliers des résultats (trimestriels) dans le cadre de la surveillance de la direction, discussions lors des réunions des responsables de l'informatique et communication des conclusions lors des réunions du comité de GI-TI du SCF.
  • Séances de retour d'information avec les utilisateurs des services informatiques.
  • Évaluation régulière de l'efficacité et de la conformité du cadre.
  1. Dépendances
  • Dépendance à l'égard des ressources régionales du SCF et des ressources du SGSI et de la DGDPI en ce qui concerne la collaboration pour la réalisation des étapes.
  • L'ensemble du processus dépend des directives et du soutien des représentants du SGSI et de la DGDPI.

Responsable du poste : Directeur général de la DPOI

Délai

  • S'aligner sur les activités et le calendrier du SGSI.
  • Tous les processus seront développés conformément aux lignes directrices établies par le SGSI.
  • Le lancement du projet dépend de la direction et des lignes directrices du SGSI.

La direction du SEETE approuve la recommandation visant à améliorer la gestion du rendement des services informatiques en établissant un cadre solide qui permet l'amélioration continue de la prestation de services, en fonction des besoins opérationnels.

Pour répondre à la recommandation 2, nous proposons le plan d'action suivant :

En principe, la division de GI-TI de l'OEE assure déjà le suivi de toutes les prestations de services à l'aide du système de billets [CAVIARDÉE].

Les indicateurs de rendement clés peuvent être établis à l'aide des données qui sont déjà suivies. Si des lacunes dans la collecte des données sont constatées au cours de cet exercice, ces données supplémentaires peuvent également faire l'objet d'un suivi.

Les objectifs de rendement clés peuvent ensuite être définis par la haute direction. Les objectifs peuvent consister à maintenir ou à améliorer des IRC particuliers.

Une fois les indicateurs de rendement et les objectifs clés définis et suivis, des rapports réguliers (trimestriels) sur la prestation de services informatiques peuvent être fournis à la direction de l'OEE et du SEETE au moyen du tableau de bord. Le rapport peut fournir une comparaison des résultats par rapport aux objectifs de rendement établis en matière de prestation de services.

Actuellement, les services informatiques du SEETE sont tous assurés par la division de GI-TI de l'OEE. Au fur et à mesure que de nouveaux services seront développés au sein de cette division ou par d'autres directions du SEETE, ils seront intégrés dans le cadre de gestion du rendement.

Responsable du poste : Directeur général de la Division des Politiques et Programmes de GI/TI

Délai : T2 2024

PSI

Le concept de microservices est au cœur des développements futurs en TI au Centre canadien de cartographie et d’observation de la Terre (CCCOT). À cette fin, le CCCOT a élaboré une architecture et un cadre de microservices qui serviront à guider le développement de microservices auprès de divers groupes d’intervenants.

Responsable du poste : La division de GéoBase du CCCOT

Délai : Ce cadre est maintenant complet et constitue la base du nouvel environnement de production du CCCOT depuis 2023.

Une proposition de SPSI/CCCOT, du STM/GSC, du SCF et du BSP a été présentée au CGPe de RNCan en 2021. Tous les produits livrables ont fait l’objet d’un suivi par la gestion de projet de RNCan, tel que défini par le processus CGPe. Tous les indicateurs de rendement ont été communiqués par l’équipe de projet au Conseil.

Processus et outils opérationnels à l’appui de la GSTI

Constatation générale

La GSTI comprend un certain nombre de processus visant à assurer la prestation efficace et efficiente des services de TI. Il est ressorti de l’audit que certains processus et outils opérationnels fondamentaux destinés à faciliter la prestation des services de TI devaient être renforcés. Plus précisément, les possibilités d’amélioration suivantes ont été relevées :

[CAVIARDÉE]

  • Les processus courants destinés à établir, surveiller et hiérarchiser les exigences en matière de services de TI, puis à gérer le catalogue des services de TI ne sont pas pleinement mis en œuvre.
  • Les processus et les outils de gestion des demandes de services de TI ne sont pas déployés de manière optimale pour faire en sorte que le centre de services soit le principal canal de mobilisation tactique et opérationnelleNote de bas de page 8.

Observations complémentaires

[CAVIARDÉE]

[CAVIARDÉE]

[CAVIARDÉE]

[CAVIARDÉE]

[CAVIARDÉE]

Exigences en matière de services de TI et gestion des niveaux de service

Selon les pratiques exemplaires en vigueur dans le secteur, la conception et la prestation des services de TI devraient être fondées sur les exigences des utilisateurs. Il est ressorti de l’audit que la fonction de gestion des services organisationnels de TI avait lancé un processus visant à coopérer avec chaque secteur et à solliciter ses exigences particulières en matière de TI, ainsi qu’à obtenir sa rétroaction sur les difficultés rencontrées en ce qui concerne les services de TI. L’objectif déclaré de cet exercice était de contribuer à alimenter et affiner le catalogue de services et d’établir des accords de prestation sectorielle afin de mieux gérer la prestation des services de TI. Bien que ce travail ait été entamé, les accords de prestation sectorielle reflétant ces exigences demeurent à l’état d’ébauche, et il n’est aucunement prévu de finaliser le travail et de faire signer ces accords au niveau des SMA. Au niveau sectoriel, les exigences sont recensées de différentes manières en fonction des secteurs. L’équipe d’audit a constaté que les exigences en matière de TI étaient souvent traitées de manière ponctuelle. Par exemple, des groupes de travail peuvent être mis en place ponctuellement pour répondre à des exigences assorties de délais, ou être parfois limités par la documentation fournie par le Bureau de gestion des projets. Il n’y avait qu’un nombre limité de processus permettant de définir les rôles et les responsabilités des personnes chargées de recenser, d’examiner et de surveiller les exigences des secteurs en matière de services.

La fonction de gestion des services organisationnels de TI était également en voie d’élaborer son catalogue de services, lequel comprenait le répertoire des services de TI fournis au ministère, ainsi que les détails des services, le processus de demande de services et les délais d’exécution escomptés. L’équipe d’audit a constaté que, dans la plupart des secteurs fournissant des services de TI, les catalogues de services n’étaient pas utilisés pour définir et gérer les services de TI. Cinq des neuf secteurs disposent de leurs propres services de TI grâce à des effectifs dédiés et, parmi ces secteurs, deux disposent d’un catalogue de services de TI à l’état d’ébauche, et un dispose d’un catalogue de services, mais qui ne comporte pas de services de TI.

Gestion des demandes de services

La gestion des demandes de services permet au ministère de procéder efficacement à l’examen des services et à leur amélioration constante, de recueillir les exigences des utilisateurs, de déceler les tendances ou les problèmes potentiels auxquels il convient de remédier et de fournir à l’utilisateur une visibilité sur l’état d’avancement de sa demande. [CAVIARDÉE] afin que les utilisateurs disposent d’un canal leur permettant de soumettre les demandes de services de TI et que la fonction de gestion assure le suivi de ces demandes et y réponde. [CAVIARDÉE] ne sont pas gérées de manière centralisée, mais sont adressées directement aux secteurs de la fonction de gestion des services organisationnels de TI. Cela repose sur des connaissances tacites et sur les relations nouées entre la fonction de gestion des services organisationnels de TI et les utilisateurs sectoriels, qui peuvent se distendre au fur et à mesure de la rotation au sein de l’organisme. [CAVIARDÉE]. Au sein des secteurs fournissant des services de TI, l’équipe d’audit a constaté que les mécanismes de demande de services étaient essentiellement informels et qu’il n’existait pas de processus centraux pour gérer les demandes de services et y répondre.

Lorsqu’ils sont déployés de manière optimale et utilisés de manière efficace, les outils de GSTI destinés à faciliter la gestion des demandes de services peuvent fournir des données permettant d’évaluer les services et de cerner les domaines d’amélioration continue (p. ex., améliorations des délais de réponse moyens). Au niveau organisationnel, bien que le centre de services surveille chaque semaine le rendement des services à l’aide des outils statistiques [CAVIARDÉE] et procède chaque mois à une évaluation formelle, il n’existe aucun processus formel précisant la manière dont la prestation des services de TI est surveillée pour éclairer la gestion des niveaux de service et leur amélioration constante. Bien que certains efforts soient déployés pour recueillir la rétroaction des utilisateurs dans les secteurs fournissant des services de TI, les cibles de services de ces secteurs ne sont pas bien définies, et les mécanismes permettant de surveiller la prestation des services de TI par rapport aux cibles de services de TI sont limités.

Risque et incidence

[CAVIARDÉE]

Faute de processus permettant de déterminer, de surveiller, de hiérarchiser et de gérer les exigences en matière de services de TI, la qualité des services sera compromise. Par ailleurs, à défaut d’une vue d’ensemble des exigences en matière de TI dans une perspective organisationnelle et au sein des secteurs, la capacité du ministère à déterminer les capacités dont il a besoin est mise à mal. Les lacunes observées dans la gestion ministérielle des demandes de services peuvent se répercuter sur la qualité globale de l’exécution des services.

Recommandations

Recommandation 3 : [CAVIARDÉE]

Recommandation 4 : Il est recommandé que le SMA du SGSI mette en œuvre une approche d’amélioration constante qui permette de cerner et de gérer les exigences ayant trait aux services organisationnels de TI et de s’assurer que la conception et la prestation de ces services tiennent compte des exigences des utilisateurs.

Recommandation 5 : Il est recommandé que le SMA du SGSI veille à ce que l’outil de GSTI du ministère soit déployé de manière optimale pour faciliter la gestion du répertoire complet des services organisationnels de TI et, lorsque cela est faisable, des services de TI au niveau sectoriel.

Recommandation 6 : Il est recommandé que les SMA des secteurs fournissant des services de TI, avec l’appui et les conseils du SMA du SGSI, élaborent des répertoires de services de TI et des processus formellement documentés pour gérer les exigences propres à chaque secteur en matière de services de TI, les demandes de services, les normes de rendement des services et les évaluations des services.

Réponse de la direction et plan d’action

La réponse de la direction et plan d’action du SGSI et des secteurs qui fournissent des services de TI (STM, SCP, SCF, SEETE, et SPSI).

La direction du SGSI est d'accord avec la recommandation no 3.

[CAVIARDÉE]

Responsable du poste : DPI, tous les secteurs

Délai : 2 à 4 ans, T1 2028

La direction du SGSI est d'accord avec la recommandation no 4.

En réponse à la recommandation 4, et parallèlement aux recommandations 1 et 2, l'équipe de GRA peut établir des priorités et des mesures de réussite avec les secteurs en utilisant des profils de services sectoriels détaillant les protocoles d'entente, les indicateurs de suivi des problèmes et des difficultés, les services et les mesures de réussite. Ces priorités peuvent être revues régulièrement afin d’informer sur la manière dont nous pouvons continuer à nous améliorer.

Cela s’appuiera sur les ententes de prestation de services (EPA) déjà en place, mais s’articulera autour des objectifs stratégiques et des IRC de notre vision et de nos priorités communes, de nos plans de travail, etc.

Responsable du poste : DPI

Délai : T2 2025 (cela prendra plus de temps étant donné le nombre de ressources dont nous disposons; pourrait changer si davantage de ressources pouvaient être placées ici)

La direction du SGSI est d'accord avec la recommandation no 5.

[CAVIARDÉE]

Des processus ont été mis en place afin que les autres équipes puissent faire de même.

Nous continuerons d’ajouter des services selon les besoins. Les secteurs clés comprennent : l’exécution des projets de TI, le support d’application, l’approvisionnement en TI).

Responsable du poste : DPI

Délai : d’ici mi-2025.

La direction du SGSI est d'accord avec la recommandation no 6.

La direction du SGSI est d'accord - nous pouvons apporter notre soutien et fournir des directives. La DDPI peut prodiguer des conseils sur ce qui doit être proposé au sein des secteurs d’activité et à proximité de ces derniers et sur la manière dont ceux-ci peuvent être ajoutés aux services intégrés.

La direction du STM approuve la recommandation d'établir des inventaires de services informatiques formellement documentés et des processus pour une gestion efficace des exigences sectorielles en matière de services informatiques.

En réponse à la recommandation 6, nous proposons le plan d'action suivant :

  1. Dresser un inventaire complet des services et fonctions informatiques afin qu'ils puissent être pris en compte lors de tout examen nécessaire des services.
  2. Le cas échéant, travailler en étroite collaboration avec le SMA du SGSI pour élaborer et consigner des processus formalisés de gestion des demandes de services informatiques, y compris des flux de travail clairs et des procédures d'escalade.

Responsable du poste : Toutes les directions du STM

Délai : Mars 2025

La direction du SCP est d'accord.

En réponse à la recommandation 6 :

Le SCP continuera de rendre compte de ses services informatiques en dressant son inventaire des services informatiques du ministère, mené par le SGSI, et tiendra également sa liste à jour en interne.

En ce qui concerne les services informatiques particuliers offerts par notre secteur, l'équipe de publication Web dispose déjà de mécanismes permettant de suivre les demandes de service et le rendement.

[CAVIARDÉE]

[CAVIARDÉE]

En outre, l'équipe de communication Web, en collaboration avec l'équipe de communication interne, élaborera une politique intranet pour guider l'utilisation du site intranet de RNCan, The Source, afin de s'assurer que les secteurs de RNCan connaissent les exigences et les processus qui régissent l'utilisation de ce site.

Responsable du poste : Directeur de la communication Web du SCP

Directeur de la communication interne du SCP

Tous les directeurs de secteur qui doivent faire part de leurs besoins en matière de services informatiques (concernant la liste d'inventaire des services).

Délai : Les éléments figurant dans la réponse ci-dessus sont tous actuellement en place et continueront d'être utilisés pour soutenir les projets informatiques du SCP.

En ce qui concerne l'élaboration de la politique relative à l'intranet, les équipes visent à la mettre en place d'ici la fin de l'exercice 2024-2025.

La direction du SCF convient que pour garantir la qualité des services informatiques fournis au secteur, il est nécessaire d'élaborer un inventaire et des processus de services informatiques formellement documentés. L'établissement de cet inventaire et de ces processus de services informatiques d'une manière cohérente dans l'ensemble de RNCan nécessitera le leadership, les directives et le soutien du SGSI et de la DDPI, ainsi qu'une collaboration avec les secteurs de RNCan qui assurent la prestation des services informatiques.

En réponse à la recommandation 6, nous proposons le plan d'action suivant :

  1. Ce qui sera mis en œuvre :

Un inventaire de tous les services et processus informatiques offerts, y compris ceux offerts par les services informatiques du SGSI et de la DDPI et ceux que le SCF peut offrir en tant que secteur en collaboration avec d'autres secteurs scientifiques de RNCan (p. ex. STM, SEETE). Il peut s'agir d'outils et de processus de gestion des demandes de service, de normes de rendement et d'examens des services. Cela nécessiterait un soutien et une coordination par l'intermédiaire des services informatiques du SGSI et de la DDPI pour coordonner toutes les contributions internes et sectorielles.

  1. Comment cela sera-t-il mis en œuvre?

Nécessite le soutien et les directives du SGSI et de la DDPI

  • Création d'un inventaire : Cataloguer tous les services et processus informatiques existants.
  • Documentation et normalisation : Rendre officielles les descriptions des services, les procédures de gestion des demandes et les normes de rendement.
  • Formation et diffusion : Former le personnel informatique et les utilisateurs à la nouvelle documentation et aux nouveaux processus.
  • Intégration avec les systèmes actuels : Veillez à ce que la nouvelle documentation soit intégrée aux outils actuels de gestion des services informatiques.
    1. Processus de suivi :
  • Examen du rendement des services par rapport aux normes documentées.
  • Collecte des commentaires des utilisateurs pour cerner les domaines à améliorer.
  • Mise à jour continue de l'inventaire et de la documentation en fonction des nouveaux services ou des modifications apportées aux services actuels.
    1. Risques et dépendances
  • Il y a une grande dépendance à l'égard des ressources régionales du SCF et des ressources du SGSI et de la DDPI en ce qui concerne la collaboration pour la réalisation des étapes.
  • Une grande partie de ce processus dépend du leadership, des directives et du soutien du SGSI et de la DGPI.
  • Le processus global peut être influencé par le manque de ressources au sein du SCF, ce qui peut être considéré comme un risque moyen.
  • Responsable du poste : Directeur général de la DPOI

    Délai

    • S'aligner sur les activités et le calendrier du SGSI.
    • Tous les processus seront développés conformément aux lignes directrices établies par le SGSI.
    • Le lancement du projet dépend de la direction et des lignes directrices du SGSI.

    La direction du SEETE approuve la recommandation d'établir des inventaires de services informatiques formellement documentés et des processus pour une gestion efficace des exigences sectorielles en matière de services informatiques.

    Pour répondre à la recommandation 6, nous proposons le plan d'action suivant :

    La division GI-TI de l'OEE peut achever le travail déjà entamé de compilation d'un inventaire complet des services et fonctions informatiques.

    Une fois qu’il aura été communiqué, les programmes et les secteurs d'activité de l'OEE seront impliqués et informés de l'inventaire des services informatiques.

    Coordonner l'inventaire des prestations de services avec la Direction générale du DPI afin d'éliminer tout double emploi.

    Au fur et à mesure que la GI-TI de l'OEE ou d'autres directions du SEETE mettent en ligne de nouveaux services, ceux-ci seront intégrés à l'inventaire et communiqués et coordonnés avec la Direction générale du DPI, le cas échéant.

    PSI

    Le catalogue de services du CCCOT a été finalisé en octobre 2023. La division Géobase du CCCOT est responsable de son entretien et de fournir des mises à jour périodiques au CMSS, au besoin.

    Gestion des effectifs de TI

    Constatation générale

    Il est ressorti de l’audit que certaines activités de planification des ressources humaines étaient menées dans le cadre du processus ordinaire de planification intégrée des ressources humaines; toutefois, des possibilités de renforcer les processus de gestion des effectifs de TI ont été relevées. Plus précisément, les processus de planification de la gestion des effectifs de TI, tant au sein de la fonction de gestion des services organisationnels de TI que des secteurs ayant leurs propres équipes de services de TI, n’étaient pas axés sur une perspective à long terme. Les processus permettant de déterminer les compétences, les connaissances et les capacités nécessaires pour répondre aux besoins opérationnels étaient limités.

    Observations complémentaires

    L’équipe d’audit a vérifié si le ministère avait mis en œuvre des processus de gestion des effectifs de TI afin de s’assurer que ses exigences en matière de services de TI étaient définies et utilisées pour déterminer les connaissances, les compétences et les capacités nécessaires à la satisfaction de ses besoins opérationnels. Elle a également vérifié si la fonction de gestion des services organisationnels de TI assurait un leadership fonctionnel au sein du ministère en ce qui concerne le développement et le maintien des effectifs de TI au travers des activités de gestion des talents et de perfectionnement professionnel.

    Des processus efficaces de gestion des effectifs de TI permettent de garantir que les services de TI nécessaires à l’organisme sont fournis en accord avec les attentes en matière de rendement. Avec les avancées technologiques telles que l’infonuagique, l’intelligence artificielle ou encore l’informatique quantique, la nécessité de développer et de pérenniser les connaissances et les compétences des effectifs de TI s’avère essentielle. L’équipe d’audit a constaté qu’il existait des plans afférents aux effectifs de TI à la fois au niveau organisationnel et au niveau sectoriel. Au niveau organisationnel, une stratégie de dotation en personnel du centre de services a été récemment proposée pour développer et pérenniser les connaissances et les compétences nécessaires à la mise en place d’un modèle de services adéquatement doté en personnel. Au niveau sectoriel, certains secteurs ont également élaboré des plans visant à s’assurer que les effectifs sectoriels de TI reçoivent la formation nécessaire pour pérenniser les capacités, les compétences et les connaissances requises en matière de TI. Cependant, les activités de gestion des talents et de perfectionnement professionnel ont été essentiellement menées de manière ponctuelle. Les processus permettant de cerner les exigences en matière de ressources en TI et les lacunes dans la capacité des ressources en TI, tant au niveau organisationnel qu’au niveau sectoriel, étaient limités.

    Risque et incidence

    Des programmes de perfectionnement professionnel inefficaces visant à développer et pérenniser les talents nécessaires pourraient donner lieu à des occasions manquées qui, à leur tour, pourraient se traduire par un taux de rotation plus élevé et des difficultés de recrutement.

    Recommandations

    Recommandation 7 : Le SMA du SGSI, en consultation avec l’ensemble des secteurs, devrait piloter l’élaboration et la mise en œuvre de plans afférents aux effectifs de TI afin de s’assurer que les exigences relatives aux capacités des ressources en TI sont comprises, documentées et validées, et qu’il existe des plans appropriés pour développer et pérenniser les connaissances et les compétences en TI nécessaires par rapport à l’étendue des services organisationnels de TI.

    Réponse de la direction et plan d’action

    La direction du SGSI est d'accord avec la recommandation no 7.

    En réponse à la recommandation 7, nous pouvons utiliser les rapports de rendement sur les délais de réponse des services, ainsi que la planification du travail informatique pour mieux comprendre les problèmes de capacité et les risques. Une fois les étapes ci-dessus complétées et que la DDPI aura plus d’informations, elle sera en meilleure position pour comprendre la charge de travail nécessaire pour soutenir RNCan et ses secteurs opérationnels. Cette information sera utilisée lors de nos réunions de gestion de la planification du personnel des RH pour éclairer les options et les stratégies de dotation, y compris les bassins de candidats et les plans de recrutement.

    La DDPI organisera des réunions régulières de gestion des RH pour examiner les besoins actuels et déterminer les besoins en matière de dotation de chaque offre de services.

    Une réunion régulière avec les RH à ce sujet ainsi qu'une documentation appropriée devrait être mise en place pour surveiller les risques et aider à planifier les besoins futurs.

    Responsable du poste : DPI

    Délai : T2 2025

    Annexe A – Critères d’audit

    Les critères de l’audit ont été élaborés à partir des processus pertinents du cadre COBIT 5 ainsi que de la Politique sur les services et le numérique du Conseil du Trésor.

    Les critères suivants ont été utilisés pour réaliser l’audit :

    Sous-objectifs de l’audit Critères d’audit
    Sous-objectif d’audit 1 : Déterminer si des mécanismes de gouvernance ont été mis en œuvre et s’ils sont appliqués pour orienter et superviser les services de TI.

    1.1 Il est attendu que les rôles, les responsabilités et les pouvoirs visant à orienter, superviser et assurer la prestation des services de TI à l’échelle du ministère aient été clairement définis et communiqués aux principaux intervenants ministériels.

    (COBIT 5 EDM01 : Garantir la mise en place et l’entretien d’un cadre de gouvernance; Politique sur les services et le numérique du CT – articles 4.1.3.1, 4.1.3.2, 4.1.3.3, 4.1.3.5, 4.1.3.6, 4.1.3.7, 4.4.2.3, 4.4.2.6)

    1.2 Il est attendu que le ministère ait élaboré et mis en œuvre des politiques et des orientations dans le but d’atteindre les objectifs de l’ensemble des politiques du Conseil du Trésor relativement à la gestion des services de TI.

    (COBIT 5 EDM01 : Garantir la mise en place et l’entretien d’un cadre de gouvernance; Politique sur les services et le numérique du CT – article 4.1.3.6)

    1.3 Il est attendu que des mécanismes adéquats aient été établis pour superviser la mise en œuvre des activités liées aux services de TI au sein du ministère, et ce, afin de veiller à ce qu’elles produisent les résultats escomptés et qu’elles soient conformes aux instruments de politique applicables.

    (COBIT 5 MEA01 : Contrôler, évaluer et apprécier le rendement et la conformité; COBIT 5 MEA01 : Contrôler, évaluer et apprécier la conformité aux exigences externes; Politique sur les services et le numérique du CT – articles 4.1.3.7, 4.6.1.1, 4.6.1.2, 4.6.1.3)

    1.4 Il est attendu que des pratiques visant à recueillir des données sur le rendement des services de TI et à mesurer ce rendement aient été mis en œuvre et qu’elles apportent des renseignements utiles pour aider les fonctions de gouvernance à orienter et surveiller la qualité des services de TI.

    (COBIT 5 EDM05 : Garantir la transparence auprès des intervenants; Politique sur les services et le numérique du CT – article 4.2.1.4)

    Sous-objectif d’audit 2 :

    Déterminer si les processus et les contrôles opérationnels des services de TI visant à permettre et à améliorer constamment la prestation des services de TI sont adéquats.

    2.1 Il est attendu qu’un cadre ministériel de gestion des biens de TI, constitué de processus, de systèmes et de contrôles, ait été établi pour assurer la gestion adéquate des biens de TI en appui à la prestation des services de TI.

    (COBIT 5 BAI09 : Gérer les biens; Politique sur les services et le numérique du CT – article 4.4.2.3)

    2.2 Il est attendu qu’un cadre ministériel constitué de processus, de systèmes et de contrôles ait été établi pour recueillir, définir et surveiller les besoins en matière de services de TI, et y répondre de manière adéquate.

    (COBIT 5 BAI02 : Gérer la définition des exigences; Politique sur les services et le numérique du CT – articles 4.1.3.7, 4.2.1.1, 4.2.1.2, 4.2.1.3, 4.4.2.1, 4.4.2.1, 4.4.2.2)

    2.3 Il est attendu qu’un cadre ministériel constitué de processus, de systèmes et de contrôles ait été établi pour répondre adéquatement aux demandes de services de TI, ainsi que pour remédier aux incidents et continuer d’en améliorer la gestion.

    (COBIT 5 DSS02 : Gérer les demandes de services et les incidents; Politique sur les services et le numérique du CT – articles 4.1.3.8, 4.2.1.1, 4.2.1.2, 4.2.1.3, 4.2.1.4, 4.2.1.5, 4.4.2.1, 4.4.2.2, 4.4.2.3, 4.4.2.5, 4.4.2.6, 4.4.2.8)

    Sous-objectif d’audit 3 :

    Déterminer si des pratiques de gestion des ressources humaines en matière de TI ont été mises en place et si elles sont appliquées pour s’assurer que le ministère dispose des personnes adéquates et que celles-ci possèdent les compétences et les connaissances nécessaires pour répondre aux besoins en matière de services de TI.

    3.1 Il est attendu que les besoins du ministère en matière de compétences, de capacités et de perfectionnement professionnel en appui à la prestation des services de TI soient cernés et satisfaits à l’échelle du ministère.

    (COBIT 5 APO07 : Gérer les ressources humaines; Politique sur les services et le numérique du CT – articles 4.5.2.1, 4.5.2.2)

    Détails de la page

    Date de modification :