Audit de la gestion des biens liés à la technologie de l’information

Télécharger en format PDF
(855 KB, 40 pages)

Organisation : Santé Canada

Date publiée : juin 2022

Rapport présenté aux Comités ministériels d'audit de Santé Canada et l'Agence de la santé publique du Canada

18 janvier 2022

Table des matières

Liste des acronymes

ASPC
Agence de la santé publique du Canada
DGMB
Division de la gestion du matériel et des biens
DSGI
Division des services de gestion de l'information
EAI
Examen annuel des immobilisations
EEIB
Exercice d'examen de l'inventaire des biens
GBE
Gestion des biens d'entreprise (solution informatique)
GBL
Gestion des biens logiciels
GBTI
Gestion des biens liés à la technologie de l'information
GPA
Gestion des portefeuilles d'applications
LNM
Laboratoire national de microbiologie
SAP
Systèmes, applications et produits
SC
Santé Canada
SCT
Secrétariat du Conseil du Trésor
TI
Technologie de l'information

Résumé

Points examinés

La gestion des biens liés à la technologie de l'information (GBTI) est le processus par lequel les biens liés à la technologie de l'information (TI) sont gérés tout au long de leur cycle de vie.

Figure #. La version textuelle suit.
Figure 1 - Équivalent textuel

Cette image décrit le cycle de vie de la gestion des biens de la technologie de l'information (TI). En haut de l'image, on trouve le mot « Planification » sur un arrière-plan orange, avec une flèche à la droite qui courbe vers le bas au mot « Acquisition » sur un arrière-plan rouge, avec une flèche qui courbe vers le bas et la gauche au mot « Opérations » sur un arrière-plan vert. Ceci est suivi par une flèche qui mène à gauche et courbe vers le haut au mot « Disposition » sur un arrière-plan bleu. Le cycle est complété par une flèche qui monte vers le haut et courbe à la droite pour retourner à l'étape de « Planification ».

Les secteurs d'intérêt et les critères d'audit étaient axés sur les domaines du cycle de vie des biens liés à la TI suivants (voir ci-dessus) :

Les constatations, conclusions et recommandations de l'audit sont présentées dans le rapport en fonction de ces trois secteurs d'intérêt et des critères d'audit connexes. L'étape de la Planification de la GBTI et l'achat, qui fait partie de l'étape de l'Acquisition, étaient hors de la portée de cet audit.

Ce que nous attendions

Aux fins de cet audit, nous avons défini les biens liés à la TI comme étant le matériel, tels que les ordinateurs portables, les tablettes, les serveurs et les moniteurs; les logiciels généraux de bureau, tels que les programmes de traitement de texte et de communication; ainsi que les applications opérationnelles, telles que les systèmes directement utilisés par les utilisateurs finaux qui appuient des processus opérationnels fondamentaux particuliers.

Les trois systèmes soutenant la gestion des biens liés à la TI pertinents pour la portée de l'audit sont : Systèmes, applications et produits (SAP), le système financier de Santé Canada et de l'ASPC; la Gestion des portefeuilles d'applications (GPA), la base de données qui assure le suivi des applications, y compris des applications opérationnelles et la base de données de Gestion des biens logiciels (GBL).

Vous trouverez ci-dessous une description générale de l'interaction entre les secteurs d'intérêt, le type de bien et les systèmes de soutien.

Gestion et suivi de l'inventaire Surveillance et entretien Élimination
Matériel informatique SAP SAP SAP
Biens logiciels SAP et base de données de GBL SAP et base de données de GBL SAP
Applications opérationnelles Système de GPA de base Système de GPA de base Système de GPA de base

Nous avons examiné les mesures de contrôle, les processus et les systèmes en place pour vérifier le caractère approprié de la gestion des biens liés à la TI, comme le prévoient le Cadre de politique sur la gestion des actifs et services acquis du Conseil du Trésor (CT), la Politique sur la gestion du matériel du CT ainsi que la Norme sur la gestion des actifs et le Guide sur la GBTI de Santé Canada (SC) et de l'Agence de la santé publique du Canada (ASPC) de 2015-2016 à 2019-2020.

Au sein de Santé Canada et de l'ASPC, les parties qui interviennent dans les domaines de la gestion des biens liés à la TI et qui font l'objet de cet audit sont : la Division des services de gestion de l'information (DSGI), la Division de la gestion du matériel et des biens (DGMB), le groupe de la gestion du portefeuille d'applications (GPA) (DSGI), divers laboratoires au sein de Santé Canada et les gestionnaires de centres de coûts (GCC) de Santé Canada et de l'ASPC.

Pourquoi est-ce important?

Tous les employés et programmes utilisent des biens liés à la TI, y compris le matériel, les logiciels et les applications opérationnelles, pour exécuter leurs tâches quotidiennes et atteindre les objectifs des programmes. Le Ministère et l'Agence disposent tous deux d'environnements numériques scientifiques complexes, et il est essentiel de gérer les biens liés à la TI de manière à maximiser leur disponibilité et leur fiabilité pour les intervenants. Tout en permettant la prestation des programmes et services, il est également important de gérer efficacement les ressources limitées dont on dispose pour maintenir l'état des biens liés à la TI, de tirer plus de valeur des biens sur le plan de l'utilisation et de l'efficacité, et d'assurer la sécurité des données contenues dans les biens liés à la TI.

Ce que nous avons constaté

Dans l'ensemble, bien que nous ayons constaté des aspects positifs à la gestion des biens matériels et des applications organisationnelles liés à la TI qui était pratiquée, nous avons constaté que les données sur les biens sont incomplètes et inexactes dans chacun des systèmes de soutien des biens liés à la TI, et que le soutien, la planification et la mobilisation en matière de gouvernance à des fins de gestion des biens liés à la TI sont inadéquats. Ces lacunes entravent la prise de décisions pleinement informées par Santé Canada et l'ASPC en ce qui concerne les investissements dans les biens, ainsi que l'entretien et l'élimination de ceux-ci, et compromet leur capacité à se concentrer sur l'établissement des priorités et la réalisation des programmes relatifs aux biens de manière rentable, proactive et stratégique. Les faiblesses décelées posent des problèmes en ce qui a trait à la protection des biens et des données contre la perte et l'utilisation inappropriée, et au respect entier des licences d'utilisation des logiciels.

Gestion et suivi de l'inventaire

Le module matériel Gestion des biens d'entreprise (GBE) du système SAP, mis en œuvre en juillet 2017, a permis de suivre de manière appropriée les nouveaux biens matériels. Cependant, en ce qui concerne les biens matériels liés à la TI achetés avant cette date, qui représentent 74 % des stocks de matériel informatique de Santé Canada et de l'ASPC, nous avons constaté qu'il ne permettait pas de bien les consigner et les suivre. De plus, nous avons constaté que 30 % des biens matériels liés à la TI des laboratoires ne faisaient l'objet d'aucun suivi, quel qu'il soit, puisqu'ils n'étaient pas traités au moyen du processus de réception de l'entrepôt de TI. Dans l'ensemble, la DSGI n'était pas en mesure de gérer des biens dont elle ignorait l'existence, et les outils disponibles n'étaient pas suffisants pour offrir un aperçu, par voie électronique, du paysage informatique. Une vérification physique devait donc être effectuée pour comptabiliser tous les biens matériels.

Les données sur les biens logiciels étaient saisies et suivies, au moyen d'un processus manuel exigeant en main-d'œuvre, dans deux systèmes distincts, le SAP et la base de données de GBL, dont aucun n'offrait un inventaire complet des biens logiciels ni de leurs licences. Étant donné qu'on trouve les biens logiciels sur divers appareils (ordinateurs, ordinateurs portables, tablettes), ainsi que sur des appareils scientifiques non reliés au réseau organisationnel, ce processus purement manuel à deux systèmes s'est avéré inefficace, susceptible d'erreurs et irréaliste quant à la possibilité d'effectuer un suivi approprié de tous les biens logiciels; il expose notamment Santé Canada et l'ASPC à des risques juridiques et financiers en raison d'une possible mauvaise gestion des licences logicielles.

Les données pertinentes sur les biens faisaient l'objet d'un suivi dans le système de GPA de base des applications organisationnelles. Nous avons constaté que certaines données étaient incomplètes et inexactes, mais surtout que les coûts liés au soutien aux applications ne faisaient pas l'objet d'un suivi. Sans les coûts de soutien, il manquait à l'évaluation de l'état technique et de la valeur organisationnelle du bien par Santé Canada et l'ASPC un élément essentiel à l'orientation des mesures de gestion. La visibilité des coûts permet à Santé Canada et à l'ASPC d'optimiser des ressources limitées et de s'assurer que le portefeuille des applications organisationnelles est en suffisamment bon état pour la prestation des programmes et services.

Surveillance et entretien

L'inventaire complet des biens matériels de faible valeur (moins de 10 000 $) n'a pas fait l'objet d'un suivi adéquat, comme l'exigent les politiques, les normes et les guides de Santé Canada, de l'ASPC et du Secrétariat du Conseil du Trésor (SCT).

Les immobilisations liées à la TI incluses dans l'examen annuel des immobilisations (EAI) avaient fait l'objet d'une surveillance adéquate pour ce qui est du contrôle ministériel, et leur état, qui doit correspondre à un entretien approprié aux fins d'utilisation ministérielle, a été évalué de manière adéquate. Cependant, en raison du suivi incomplet de ces biens dans le SAP, l'exercice d'EAI ne couvrait pas l'ensemble des immobilisations de Santé Canada et de l'ASPC.

Nous avons constaté que les biens matériels vieillissants liés à la TI étaient entretenus en fonction d'un modèle de réparation en cas de bris, c'est-à-dire qu'ils n'étaient pas réparés ou remplacés qu'en cas de problème, ce qui entraînait des inefficacités et de possibles vulnérabilités liées à la TI.

Nous avons constaté que la DSGI surveillait et analysait les données sur l'état des applications organisationnelles existantes et des attributs organisationnels et techniques connexes, et qu'elle menait des activités visant à déterminer les domaines nécessitant une attention particulière. Malgré ces efforts, rien n'indiquait que des analyses de la GPA et rapports connexes sont présentés régulièrement aux comités de gouvernance de haut niveau pour examen et orientation, et les propriétaires d'applications et conseillers techniques prenaient peu de mesures ou ne planifiaient pratiquement pas l'entretien adéquat des applications organisationnelles en vue de l'usage ministériel.

Selon les données de surveillance de la DSGI, Santé Canada et l'ASPC n'ont pas atteint l'objectif minimum du SCT de 30 % du portefeuille d'applications organisationnelles ne nécessitant pas d'attention, et 80 % des applications organisationnelles de l'ASPC et de Santé Canada ont été jugées vieillissantes. Compte tenu du pourcentage important d'applications nécessitant une certaine attention et du niveau d'effort et de ressources requis pour remédier au vieillissement, Santé Canada et ASPC pourraient ne pas être en mesure de fournir aux intervenants les applications organisationnelles bien entretenues, sécurisées et disponibles dont ils ont besoin pour offrir des programmes et des services.

Disposition

Dans l'ensemble, nous avons constaté que la disposition des biens matériels liés à la TI au sein de Santé Canada et de l'ASPC respectait les exigences établies, malgré le fait que les directives publiées étaient dépassées.

Les exigences et les processus décrits par Santé Canada et l'ASPC pour la mise hors service des applications organisationnelles n'étaient pas respectés, et aucun propriétaire de processus opérationnel n'avait été désigné pour superviser le processus. Par conséquent, les données qui se trouvaient dans les applications organisationnelles risquaient d'être traitées de manière inappropriée ou d'être perdues, et Santé Canada et l'ASPC risquaient d'être en situation de non-conformité par rapport aux exigences du SCT régissant l'élimination des données.

Contexte

Santé Canada et l'ASPC exploitent un modèle de services partagés dans lequel les biens liés à la TI sont gérés par la Division des services de gestion de l'information (DSGI) au sein de la Direction générale des services de gestion (DGSG), qui est responsable de la garde et de la gestion des biens liés à la TI. L'autre secteur responsable des biens liés à la TI est la Division de la gestion du matériel et des biens (DGMB) au sein de la Direction générale du dirigeant principal des finances (DGDPF), qui fournit une orientation fonctionnelle en ce qui concerne les politiques applicables et coordonne le suivi des biens ministériels afin qu'ils soient gérés de manière adéquate.

Le cadre de la gestion des biens liés à la TI au sein de Santé Canada et de l'ASPC consiste en un ensemble disparate d'outils de soutien, de processus, de normes, de mesures de contrôle et d'intervenants constitué au fil du temps.

Un audit de suivi a été réalisé en 2012-2013 à la suite de l'audit de 2009 de la gestion des biens liés à la technologie de l'information (TI). L'audit de suivi a révélé que si certaines améliorations avaient été constatées dans l'élaboration de l'ensemble de politiques sur la gestion des biens de Santé Canada et de l'ASPC, entre autres relativement à la surveillance de la conformité et au processus de rapprochement, de vidage du contenu et de sauvegarde de données liée aux biens excédentaires, d'autres progrès s'avéraient nécessaires dans les domaines suivants :

Ces conclusions ont mené à la mise en œuvre d'actions importantes telles que le suivi annuel des biens et l'élaboration d'une série de protocoles de gestion des biens liés à la TI. L'audit a également mis en évidence la nécessité de restructurer les processus de GBTI et de mettre en œuvre une stratégie pour gérer et contrôler les stocks de matériel et de logiciels.

Avant 2017, les biens liés à la TI étaient gérés à l'aide de plusieurs anciennes applications, notamment Lotus Notes pour les demandes d'approbation liée à la TI, HP Openview – Gestion des biens (Centre des biens) pour le matériel informatique, ainsi que le système financier organisationnel, SAP, pour le soutien des achats et des rapports financiers sur l'inventaire des biens liés à la TI. L'utilisation de ces applications nécessitait de multiples saisies manuelles de données dans chacun des systèmes, ce qui entraînait la saisie de données inexactes et un rapprochement difficile des applications à des fins de rapport et de suivi de l'inventaire.

Dans le but de moderniser la gestion des biens liés à la TI et de réunir les données sur les biens liés à la TI, on a mis en œuvre un projet lié à la TI en juillet 2017 afin d'utiliser les capacités des modules de gestion des biens et de maintenance des installations du SAP et de faire de la solution de gestion des biens d'entreprise (GBE) du SAP le système d'enregistrement de tous les biens liés à la TI de Santé Canada et de l'ASPC. La mise en place du composant matériel a entraîné la migration des anciennes données et la création de nouvelles entrées de données. Le composant logiciel du projet a ensuite été mis en place en avril 2018, mais il a été jugé « trop lourd », étant donné que le processus était manuel, que la fonctionnalité de suivi des licences était limitée et qu'il n'y avait pas d'outil d'exploration permettant de retracer tous les biens logiciels sur le réseau. Pour combler cette lacune, en 2018, la DSGI a conçu et mis en place un outil distinct (base de données Access) pour la gestion des licences logicielles.

Conformément aux directives du SCT, la DSGI a également mis en œuvre le programme de gestion des portefeuilles d'applications (GPA) et l'outil habilitant (système de GPA de base) en 2017 afin d'assurer la conformité aux exigences du SCT en matière de rapports et d'analyse des applications opérationnelles. Selon la DSGI, le système de GPA de base était considéré comme le référentiel des données sur les biens logiciels de Santé Canada et de l'ASPC et devait constituer la source d'information unique pour le suivi et la surveillance de ces biens. Au fur et à mesure que le programme de GPA mûrit, il devient de plus en plus essentiel à la gestion efficace des applications opérationnelles de Santé Canada et de l'ASPC.

Les annexes du présent rapport d'audit fournissent des renseignements supplémentaires sur les résultats de l'audit et sur la façon dont elle a été menée :

Constatations, recommandations et réponses de la direction

Gestion des stocks et suivi des biens

Gestion des stocks – Matériel informatique

En septembre 2015, on a lancé un projet d'investissement afin de moderniser la gestion des biens de Santé Canada et de l'ASPC. Le projet consistait à utiliser deux modules de l'actuel système financier organisationnel (SAP) pour gérer les biens liés à la TI de l'organisation. Ces deux modules, auxquels s'ajoutent des fonctionnalités supplémentaires, constituent la solution « Gestion des biens d'entreprise SAP » (GBE SAP).

Avant la mise en œuvre de ce projet, les biens matériels liés à la TI étaient gérés au moyen de plusieurs anciennes applications qui nécessitaient de multiples saisies, ce qui avait pour conséquence des données inexactes et un rapprochement difficile des applications aux fins des rapports et du suivi de l'inventaire.

En juillet 2017, on a fait migrer plus de 33 000 anciens biens informatiques matériels vers la nouvelle base de données d'inventaire du matériel GBE SAP.

Nous nous attendions à trouver un processus approprié en place pour la réception, la gestion et la distribution des stocks de biens informatiques matériels, et à constater que le processus fonctionnait comme prévu.

Nous avons constaté qu'il existait un processus approprié pour la réception, la gestion et la distribution des stocks de biens informatiques matériels acquis après la mise en œuvre de l'inventaire du matériel informatique SAP au sein de la solution GBE. Il a été constaté que les biens informatiques matériels acquis après juillet 2017, qui représentent 26 % des stocks de matériel informatique, étaient correctement reçus, étiquetés et entrés dans le système de suivi par l'entrepôt de TI de la Région de la capitale nationale (RCN). La réception et le traitement des biens informatiques matériels par l'intermédiaire de l'entrepôt de TI garantissaient le maintien de la séparation des tâches et la conformité des biens reçus aux spécifications contractuelles avant leur déploiement chez les clients.

Les autres 74 % des stocks de matériel informatique étaient constitués de biens qui avaient été achetés avant juillet 2017, ou d'anciens biens que l'on avait fait migrer du Centre des biens vers le nouveau registre d'inventaire du matériel informatique SAP. Il a été constaté que ces biens informatiques matériels n'étaient pas consignés suffisamment en détail, qu'ils ne faisaient pas l'objet d'un suivi adéquat et qu'il était impossible de les associer à leurs documents d'achat. L'incapacité d'associer ces biens à leurs documents d'achat, notamment leurs bons de commande, limitait la capacité de confirmer que les biens reçus inclus dans le nouveau registre d'inventaire du matériel informatique répondaient aux spécifications des clients et faisaient l'objet d'un suivi adéquat avant leur déploiement, et cela constituait une menace à la fiabilité globale des données de l'inventaire du matériel informatique.

Nous avons constaté que 30 % des biens informatiques matériels se trouvant dans les laboratoires n'étaient pas reçus et suivis de manière adéquate, car ils n'étaient pas étiquetés comme des biens de Santé Canada et n'étaient pas comptabilisés dans le système de suivi. Ces biens étaient souvent reçus directement par les laboratoires dans le cadre d'acquisitions liées à « l'équipement de laboratoire » et ne respectaient pas le processus standard de réception et de déploiement par l'intermédiaire de l'entrepôt de TI.

Le fait de ne pas respecter un processus adéquat de réception, de gestion et de distribution des stocks de biens limitait la capacité du Ministère à comptabiliser avec précision et à protéger adéquatement l'ensemble de ses stocks de biens informatiques.

Enfin, les procédures opérationnelles normalisées (PON) publiées dans maSource pour la réception, la gestion et la distribution des stocks de biens informatiques matériels liés n'ont pas été mises à jour depuis la mise en œuvre du nouveau GBE SAP en 2017 et reflètent des procédures obsolètes de gestion des biens informatiques. Bien que les processus décrits dans les PON soient conformes aux exigences du Conseil du Trésor, les PON désuètes qui demeuraient publiées à l'intention des employés pouvaient engendrer de la confusion et entraîner des erreurs de saisie dans le système, notamment la création incorrecte d'entrées relatives aux biens informatiques dans le SAP. Étant donné que les PON ne reflétaient pas le nouveau flux de saisie dans le système, le fait de suivre ces procédures obsolètes ne permettrait pas un suivi précis des biens dans les registres d'inventaire de TI du SAP.

Il a été constaté que les biens informatiques matériels acquis avant juillet 2017, qui représentent 74 % des stocks de matériel informatique, n'étaient pas consignés suffisamment en détail et ne faisaient pas l'objet d'un suivi adéquat, ce qui nuit à l'intégrité globale de l'inventaire du matériel informatique. De plus, certains biens informatiques se trouvant dans les laboratoires n'étaient pas passés par le processus de réception à l'entrepôt de TI. Par conséquent, 30 % des biens informatiques matériels de laboratoire examinés n'étaient pas étiquetés comme des biens de Santé Canada et n'étaient pas comptabilisés dans le système de suivi.

Gestion des stocks – Logiciels

Ainsi que la gestion des biens informatiques matériels, la solution GBE SAP nouvellement mise en œuvre devait également permettre de moderniser la gestion des biens logiciels. Contrairement à la situation concernant le matériel, aucun système n'était en place avant ce projet pour le suivi des biens logiciels. Par conséquent, les biens logiciels ne font l'objet d'un suivi au sein de Santé Canada et de l'ASPC que depuis avril 2018.

Selon les documents liés au projet, le composant logiciel GBE SAP nouvellement mis en œuvre devait fournir une [traduction] « solution de gestion des stocks où chaque licence logicielle est répertoriée dans un registre d'inventaire unique et qui constitue un portrait complet de ce qui est en stock et de ce qui est installé sur le poste d'un utilisateur ». Comme pour l'inventaire du matériel, le processus de gestion des biens logiciels mis en œuvre nécessitait une saisie manuelle dans le système pour la création, la mise à jour et le maintien d'entrées dans la base de données.

Cependant, la nouvelle solution s'est avérée trop lourde à utiliser, car les fonctionnalités de suivi des licences logicielles étaient limitées et ne répondaient pas aux exigences de la gestion des biens logiciels. Ces exigences comprenaient la capacité de relever, de détecter ou de signaler les biens logiciels inutilisés et la capacité de trouver des licences et d'en automatiser la détection. Cette capacité à trouver et à gérer les licences au moyen d'une fonction d'exploration automatisée aurait permis de trouver en temps réel l'endroit où les licences sont installées à tout moment. Nous avons constaté que cette fonction faisait partie des exigences du projet GBE SAP, mais n'avait pas été livrée.

Cette lacune a entraîné la mise en œuvre d'une base de données distincte de gestion des biens logiciels (GBL) par la DSGI en avril 2018 afin de gérer les licences reçues et déployées. Cette base de données était également manuelle, et les deux systèmes (GBE SAP et GBL) servaient à gérer les biens logiciels (licences).

Nous nous attendions à trouver en place un processus adapté à la réception, à la gestion et à la distribution des stocks de biens informatiques logiciels, et à constater que le processus fonctionnait comme prévu.

Nous avons constaté des faiblesses dans le suivi des biens logiciels et des licences. Comme pour la solution relative au matériel informatique, nous avons constaté que les données relatives aux bons de commande étaient introuvables pour 51 % des biens logiciels examinés (19 sur 37). Le registre d'inventaire des logiciels ne comprenant que les biens achetés depuis sa mise en œuvre en 2018, ces constatations indiquent un manque de mesures de contrôle du système pour l'intégration du système financier et du nouveau module de biens.

Nous avons constaté que les commandes de logiciels étaient saisies dans le registre d'inventaire des logiciels SAP dans le but de compléter le processus de réception des marchandises et de fermer la boucle de l'approvisionnement à des fins de comptabilité financière et d'établissement de rapports. De précieuses données sur les biens logiciels, notamment en ce qui concerne les licences et les utilisateurs auxquels elles sont attribuées, n'étaient pas saisies comme prévu dans le registre d'inventaire des logiciels SAP. Par exemple, nous avons relevé des cas où les licences étaient saisies par « lot » (p. ex., plusieurs licences saisies dans le SAP sous une seule entrée). Dans ces cas, il était impossible de faire le suivi du processus de réception et de déploiement des licences à l'aide du SAP, et le système était donc incapable de suivre avec précision les biens logiciels.

Dans les cas où des données sur les achats ont été trouvées, nous avons tenté de rapprocher ces entrées avec celles de la base de données des licences GBL de la DSGI afin de suivre le processus complet de réception et de déploiement. Dans l'ensemble, nous avons constaté que 32 % des biens examinés (12 sur 37) faisaient l'objet d'un suivi adéquat à l'aide de la solution logicielle SAP et de la base de données des licences GBL.

En résumé, aucun des deux systèmes de suivi des logiciels n'offrait un inventaire complet des biens logiciels et des licences, que ce soit séparément ou conjointement avec l'autre système. L'incapacité à gérer adéquatement les licences logicielles expose le Ministère et l'Agence à la non-conformité avec les accords de licence, à la prise de décisions peu éclairées en matière d'achat (p. ex., la sous-utilisation des licences existantes) et à des difficultés à répondre aux audits des fournisseurs.

Gestion des stocks – Applications opérationnelles

En 2017, la DSGI a mis en œuvre le programme de gestion des portefeuilles d'applications (GPA) et l'outil habilitant (système de GPA de base) afin d'assurer le respect des exigences du SCT et la gestion des applications opérationnelles. Lors de l'élaboration et de l'affinement du programme de GPA, l'accent a été mis sur la collecte et l'analyse des données relatives aux applications opérationnelles, la satisfaction des exigences du SCT en matière de rapports et l'organisation de la collaboration avec les propriétaires d'application opérationnelle.

En ce qui concerne la gestion des stocks d'applications opérationnelles, nous nous attendions à trouver en place et fonctionnant comme prévu des cadres de gestion et de gouvernance et les processus applicables.

Nous avons constaté que de nombreux propriétaires d'application opérationnelle et conseillers techniques n'étaient pas suffisamment mobilisés à l'égard de la gestion des applications opérationnelles et que la plupart des applications opérationnelles ne disposaient donc pas d'un plan d'entretien. Nous avons également constaté que les rôles et les responsabilités concernant la mise à jour des données dans le système de GPA de base, ainsi que la planification et le paiement de l'entretien des applications opérationnelles, faisaient l'objet de différentes perceptions.

Nous avons également constaté qu'aucune politique ni directive du Ministère et de l'Agence ne précisent les objectifs du programme de GPA, les pouvoirs des intervenants, les rôles et les responsabilités des principaux acteurs et les exigences en matière de planification et de rapports.

De plus, nous avons constaté qu'aucun organe de gouvernance ne se concentrait sur le programme de GPA et que la GPA ne figurait pas à l'ordre du jour d'aucun des comités chargés de la planification et de l'affectation des ressources informatiques. Dans le cadre de notre examen des procès-verbaux des comités de gouvernance, nous avons trouvé peu de preuves de discussions ou de décisions liées à la gestion du portefeuille existant d'applications opérationnelles. En ce qui concerne la gouvernance, l'accent semblait être mis principalement sur les nouvelles applications. En l'absence d'un cadre de gouvernance pour la gestion des applications opérationnelles, les initiatives importantes en matière d'applications opérationnelles pourraient ne pas être correctement hiérarchisées et réalisées, les ressources limitées pourraient ne pas être affectées efficacement et des possibilités de réduction des coûts pourraient ne pas être saisies.

Bien qu'un plan triennal de TI (pour la période 2019-2022) ait été préparé par la DSGI pour Santé Canada et l'ASPC, il n'y avait pas de détails quant aux mesures d'atténuation liées à la gestion des applications opérationnelles essentielles aux opérations qui ne fonctionnaient pas bien et nécessitaient une attention, ni sur la façon dont Santé Canada et l'ASPC créaient un équilibre dans les décisions d'investissement, entre les besoins du portefeuille existant et ceux des propositions de nouvelles applications. Bien qu'elle dispose d'activités planifiées et de coûts déterminés pour le maintien des applications opérationnelles actuelles ainsi que pour les nouvelles initiatives de TI, sans plan de TI intégré, la direction ne dispose pas d'un portrait complet du portefeuille de Santé Canada et de l'ASPC et des besoins connexes. Cela entrave la capacité de la haute direction à prendre des décisions stratégiques, ainsi qu'à gérer et à évaluer de manière proactive les investissements futurs du portefeuille.

En résumé, certains éléments d'un processus approprié de gestion des applications opérationnelles étaient en place, mais des faiblesses de conception ont été relevées, ainsi qu'un manque de soutien à la gouvernance, ce qui entrave la maturation du programme de GPA et empêche le processus de fonctionner comme prévu.

Suivi des biens – Matériel informatique

LaPolitique sur la gestion du matériel du Conseil du Trésor exige que les ministères et organismes disposent d'un système d'information en matière de gestion du matériel qui permet de recueillir et de générer des données complètes et précises, soutenant en temps opportun la prise de décisions éclairées en matière de gestion du matériel.

Nous nous attendions à ce qu'un système de suivi de la gestion des biens informatiques matériels soit en place et à ce qu'il contienne des données précises, fiables et utiles à la prise de décision.

Comme nous l'avons mentionné dans la section précédente, nous avons constaté que le système d'inventaire du matériel informatique nouvellement mis en œuvre n'était pas fiable puisqu'il ne contenait pas un inventaire complet des biens matériels informatiques et ne fournissait pas de données précises sur les biens permettant la prise de décisions stratégiques en matière de TI.

Le suivi des biens informatiques matériels à l'aide d'un processus de saisie manuelle s'est avéré inefficace et a engendré des données incomplètes et peu fiables sur le matériel informatique. Bien que nous ayons constaté que « l'analyse du réseau de Santé Canada » était l'outil de recherche le plus fiable à la disposition de Santé Canada et de l'ASPC, ayant permis de trouver en temps réel 16 577 biens informatiques, l'outil n'échangeait pas de données avec la solution GBE SAP et nécessitait une saisie manuelle pour la mise à jour des renseignements sur les biens découverts. Même si nous avons constaté que tous les biens trouvés au moyen de l'analyse du réseau avaient fait l'objet d'un suivi adéquat dans le registre d'inventaire du matériel informatique, l'outil ne pouvait rendre compte que de 27 % des ordinateurs répertoriés dans l'ensemble du SAP et de 53 % des ordinateurs répertoriés dans le nouvel inventaire du matériel informatique.

Nous avons constaté que 14 808 des ordinateurs du nouvel inventaire du matériel informatique et 20 473 des ordinateurs se trouvant ailleurs dans le SAP n'avaient pas été trouvés par l'analyse du réseau et que leur existence et leur emplacement n'avaient pas pu être confirmés.

Selon l'information que nous a transmise la DSGI, même s'il est possible que certains des biens informatiques matériels non trouvés par l'analyse du réseau soient de nouveaux biens qui ont été reçus, mais non encore déployés, il s'agit également de biens définitivement hors ligne ou d'anciens biens qui ne se trouvent plus physiquement dans les locaux de Santé Canada et de l'ASPC. La DSGI a également indiqué que certains de ces appareils pourraient aussi être des biens utilisés par les employés de l'ancienne Direction générale de la santé des Premières Nations et des Inuits transférée à Services autochtones Canada, qui n'ont pas encore été retirés de l'inventaire de Santé Canada.

Nous avons constaté que le manque d'exhaustivité de l'inventaire était également attribuable à divers facteurs, notamment :

De plus, la DSGI n'était pas en mesure de comptabiliser tous les biens informatiques matériels dans l'environnement numérique scientifique, étant donné que l'analyse du réseau ne pouvait pas saisir les biens qui n'étaient pas connectés au réseau du Ministère. Une enquête menée par l'équipe d'audit auprès des laboratoires de Santé Canada a permis d'identifier 608 biens informatiques soutenant les laboratoires de Santé Canada et hébergés sur sept réseaux scientifiques différents. Parmi ces biens, seuls 177 (30 %) avaient été inclus dans le nouvel inventaire du matériel SAP.

L'absence de mesures de contrôle suffisantes pour la saisie dans le système et le manque d'intégrité de la base de données ont fait en sorte que des données ont été saisies dans de mauvais champs, que des données importantes sur les biens n'ont pas été saisies et que des erreurs de saisie humaines ou par le système n'ont pas été détectées. Par exemple, sur les 59 760 biens du nouvel inventaire du matériel, un utilisateur ou un emplacement avait été affecté à seulement 49 % des biens; pour le reste des biens, cette information était indiquée comme manquante, ou encore le champ avait été laissé vide. Un tel degré d'exhaustivité ne permet pas de produire l'intégrité des données nécessaire à la prise de décisions parfaitement éclairées à des fins de gestion du cycle de vie des biens informatiques. Un autre exemple est la découverte de numéros d'étiquettes de bien en double dans l'inventaire du matériel, révélant que différents biens faisaient l'objet d'un suivi au moyen d'un même numéro. Cela augmente le risque que les biens ne puissent pas être protégés, entretenus ou contrôlés de manière appropriée.

En raison d'un manque de données précises, d'un manque de visibilité quant au paysage de la TI et de l'absence de mesures du rendement, la solution de matériel informatique SAP mise en œuvre ne permet pas de prendre des décisions éclairées concernant les biens liés à la TI. Étant donné que les réseaux, les infrastructures et les biens informatiques sont très mobiles et évoluent rapidement, la mise à jour du système à l'aide de processus manuels s'est avérée être une tâche très difficile et a donné des résultats insatisfaisants.

Le module d'inventaire du matériel GBE SAP, récemment mis en œuvre, ne contenait pas des données totalement exactes, fiables et utiles aux décisions. Bien que tous les biens découverts lors de l'analyse du réseau aient fait l'objet d'un suivi adéquat dans la base de données du matériel SAP, l'outil de recherche ne pouvait pas rendre compte de tous les ordinateurs de Santé Canada et de l'ASPC, et la nouvelle base de données du matériel SAP ne répertoriait pas tout le matériel de TI, y compris les anciens biens encore utilisés ou de biens informatiques de laboratoire. Étant donné que le nouvel inventaire du matériel de TI ne disposait pas d'une fonctionnalité de découverte automatisée, la mise à jour du système était manuelle et s'est avérée être un processus difficile et exigeant en main-d'œuvre. Rien n'indique non plus que l'on a défini des indicateurs et des objectifs de rendement des biens informatiques de Santé Canada et de l'ASPC en vue de mesurer l'efficacité des processus de gestion des biens actuels et futurs, par exemple pour examiner la consommation ou surveiller l'âge, les coûts, l'utilisation, la perte et le rendement.

Dans l'ensemble, les outils dont disposent actuellement le Ministère et l'Agence ne sont pas suffisants pour que l'on puisse avoir un aperçu électronique complet du paysage de la TI, ce qui se traduit par un inventaire incomplet des biens informatiques matériels.

Suivi des biens – Logiciels

Si nous avons constaté de récentes améliorations en ce qui concerne l'intégrité des données saisies dans la solution GBE SAP pour les biens informatiques matériels (biens trouvés par l'analyse du réseau et faisant l'objet d'un suivi adéquat dans le nouvel inventaire du matériel), nous n'avons pas constaté de telles améliorations pour les biens logiciels. Cela est dû en grande partie à la nature des biens. Les biens informatiques matériels sont des biens physiques et sont donc plus facilement suivis au moyen des outils classiques de gestion des biens. Les biens logiciels, en revanche, sont immatériels et nécessitent des outils différents.

L'inventaire SAP mis en œuvre ne prenant pas en charge la découverte automatisée des biens logiciels, le processus de saisie manuelle mis en œuvre dans le cadre de la solution GBE SAP pour la gestion des logiciels ne répondait pas aux exigences de la gestion des biens logiciels (GBL). En raison des limites de l'inventaire des logiciels SAP et du manque d'intégrité des données qu'il contient, nous n'avons pas été en mesure d'effectuer une analyse complète de cet inventaire.

Nous nous attendions à ce qu'un système de suivi de la gestion des biens logiciels soit en place et à ce qu'il contienne des données précises, fiables et utiles à la prise de décisions.

Nos études de cas menées dans la base de données de licences GBL de la DSGI ont révélé les défis que représente la gestion manuelle de milliers de licences de logiciels en constante évolution. Étant donné que ni l'inventaire des logiciels SAP ni la base de données GBL ne permettent la découverte automatisée des biens logiciels, Santé Canada et l'ASPC ne disposent pas d'outils adéquats pour gérer de manière appropriée leurs stocks de biens logiciels et de licences.

Étant donné qu'on trouve les biens logiciels de Santé Canada et de l'ASPC sur divers appareils (ordinateurs, ordinateurs portables, tablettes), ainsi que sur des appareils scientifiques non reliés au réseau organisationnel, un processus de recherche des biens logiciels purement manuel s'est avéré inefficace, sujet à des erreurs et irréaliste quant au suivi approprié de tous les biens logiciels et de toutes les licences. Par exemple, nous avons trouvé, en nous basant sur les données saisies dans la base de données GBL, des preuves d'une possible attribution excédentaire de licences de Markido Engage (234 licences installées sur des ordinateurs, alors que seules 227 licences ont été saisies dans GBL), et nous avons constaté que 16 % de ces licences étaient attribuées au mauvais utilisateur dans la base de données des licences GBL. L'utilisation de logiciels sans licence ou l'attribution excédentaire d'un type de licence peut entraîner des risques juridiques et financiers pour le Ministère et l'Agence, d'où l'importance de recueillir des données précises et opportunes sur les dates et les logiciels.

De plus, les données contenues dans la base de données des licences GBL ne pouvaient rendre compte que de 13 % de toutes les licences Visio installées, et 20 % des saisies de la base de données GBL étaient inexactes (licences non installées sur l'ordinateur indiqué dans la base de données GBL). Bien que la base de données GBL ait contribué à atténuer certaines des lacunes de l'inventaire des logiciels SAP, elle est incomplète et ne permet pas de rendre compte de l'inventaire complet des licences de logiciels actuellement utilisées par Santé Canada et l'ASPC. Des cas d'installations multiples d'une même licence perpétuelle Visio sur un appareil ont également été décelés, ce qui témoigne d'une mauvaise optimisation des logiciels et d'une utilisation ou attribution inefficace des licences logicielles.

Dans l'ensemble, l'inventaire des logiciels SAP et la base de données GBL mis en œuvre ne permettaient pas à Santé Canada et à l'ASPC d'assurer un suivi approprié et efficace des biens logiciels et des licences et ne contenaient pas des données complètes et précises utiles à la prise de décisions. Ces lacunes exposent le Ministère et l'Agence à des risques juridiques et financiers.

Suivi des biens – Applications opérationnelles

La surveillance organisationnelle et la prise de décisions éclairées exigent l'existence de données précises et complètes. L'outil que constitue le système de GPA de base est le référentiel de données sur les applications opérationnelles de Santé Canada et de l'ASPC, et il est conçu comme la source d'information unique pour le suivi de ces biens.

Nous nous attendions à ce qu'un système de suivi de la gestion des applications opérationnelles soit en place et contienne des données précises, fiables et utiles à la prise de décisions.

Malgré l'existence d'un système de suivi (système de GPA de base) pour les applications opérationnelles, nous avons relevé une série de problèmes d'exhaustivité et de qualité des données, principalement dans les champs de données concernant l'information sur les intervenants, l'état de l'application et la date prévue de mise hors service. Bien que des efforts considérables aient été déployés pour suivre et analyser les données relatives aux applications opérationnelles afin de permettre la prise de décisions, la raison pour laquelle les données n'étaient pas suffisamment précises et fiables était le manque de rigueur et d'uniformité au sein des directions générales en ce qui a trait à la collecte et la mise à jour des données sur les biens. Les équipes chargées de la mobilisation des clients de la DSGI se sont vu attribuer chacune un groupe de propriétaires d'application opérationnelle, mais la nature, l'étendue et le moment de la mobilisation variaient d'une équipe à l'autre, ce qui a engendré des données qui n'étaient pas toujours à jour, des erreurs de saisie et une collecte de données inégale. De plus, nous avons constaté que les mesures de contrôle internes manuelles et automatisées destinées à prévenir et à déceler les erreurs de données dans le système de GPA de base étaient insuffisantes.

Nous avons également constaté que les coûts de soutien des applications, un élément pertinent pour l'évaluation et la gestion significatives du portefeuille d'applications opérationnelles, ne faisaient pas l'objet d'un suivi dans le système de GPA de base. Bien qu'il y ait un champ dans le système de GPA de base pour les données sur les coûts, il n'y avait pas de politique ou d'exigence de gouvernance sur le suivi des données sur les coûts de soutien, aucune exigence de fournir ces données imposée aux propriétaires d'application opérationnelle de la part de la DSGI, et aucune formule de calcul des coûts ni de conseils pour obtenir un calcul précis des coûts de soutien. Nous avons également constaté qu'il était d'usage au sein de Santé Canada et de l'ASPC de mettre en production les nouvelles applications opérationnelles sans tenir compte des coûts d'entretien et de soutien permanents et sans les budgétiser. En l'absence de suivi des coûts de soutien, un élément clé permettant d'orienter les actions de gestion était absent de l'évaluation TIME (tolérer, innover, atténuer et éliminer), qui devait permettre d'assurer le suivi de l'état technique et de la valeur opérationnelle du bien à des fins de prise de décisions. La visibilité des coûts permet à Santé Canada et à l'ASPC d'optimiser leurs ressources limitées en s'assurant que le portefeuille d'applications opérationnelles est suffisamment sain pour la prestation de leurs programmes et services.

Les applications opérationnelles faisaient l'objet d'un suivi au moyen du programme de gestion des portefeuilles d'applications (GPA) et de son système d'appui, le système de GPA de base. Cependant, les données sur les applications opérationnelles faisant l'objet d'un suivi n'étaient pas suffisamment précises, fiables et utiles à la prise de décisions en raison de lacunes dans le contrôle des processus, d'une mobilisation non uniforme des propriétaires d'application opérationnelle et d'un manque d'information sur les coûts de soutien des applications.

Recommandations liées à la gestion des stocks et au suivi des biens

Recommandation no 1. Le sous-ministre adjoint de la Direction générale des services de gestion (SMA-DGSC) et le dirigeant principal des finances (DPF) de Santé Canada devraient s'assurer que tous les biens liés à la technologie de l'information (TI) sont étiquetés de façon appropriée aux fins d'inventaire, qu'un inventaire de base des biens liés à la TI est effectué et que les données d'inventaire de la TI du système SAP sont mises à jour en conséquence, y compris le retrait des biens de Services aux Autochtones Canada de l'inventaire de Santé Canada et le transfert pertinent. Ces mesures permettront de s'assurer que les stocks complets de biens liés à la TI de Santé Canada et de l'ASPC peuvent être comptabilisés avec exactitude et protégés de manière adéquate.

Recommandation no 2. Le SMA-DGSC et le DPF de SC devraient mettre à jour les politiques, les directives et les procédures opérationnelles normalisées du Ministère et de l'Agence en matière de gestion des biens liés à la technologie de l'information (GBTI), y compris une définition des biens liés à la TI et de l'équipement de laboratoire, afin de refléter les pratiques et les systèmes actuels et de se conformer aux politiques du Conseil du Trésor en matière de matériel de TI, de logiciels et d'applications opérationnelles. Au minimum, ils devraient préciser les objectifs de la GBTI, les pouvoirs des intervenants et les rôles et responsabilités des acteurs clés, afin de garantir une mobilisation suffisante des intervenants pour une gestion efficace des biens liés à la TI.

Recommandation no 3. Le SMA-DGSC et devrait intégrer la gouvernance et la planification de la GBTI dans le cadre de gouvernance actuel de Santé Canada et de l'ASPC et dans le cycle ou le cadre de planification organisationnelle afin de s'assurer que les biens liés à la TI font l'objet de l'attention, des ressources et des mesures décisives nécessaires pour être gérés efficacement.

Recommandation no 4. Le SMA-DGSC, le DPF de SC et le DPF de l'ASPC devraient réévaluer les processus et systèmes actuels de suivi des biens logiciels et mettre en place une solution intégrée. La solution intégrée doit permettre une gestion efficace des biens logiciels tout au long de leur cycle de vie, éliminer la nécessité de saisir plusieurs fois les données relatives aux biens logiciels dans les différents systèmes de suivi, offrir une fonctionnalité de découverte automatisée et permettre l'établissement de liens avec d'autres renseignements complémentaires, tels que les documents d'achat, les licences logicielles et les coûts d'entretien.

Recommandation no 5. Le DPF et le SMA-DGSC devraient veiller à ce que des mesures de contrôle suffisantes des processus opérationnels et des applications soient mises en œuvre au sein des systèmes de suivi et de surveillance des biens pour le matériel de TI, les logiciels et les applications opérationnelles afin de réduire les erreurs de saisie de données et de garantir l'exhaustivité, la fiabilité et la pertinence des données sur les biens liés à la TI. (GBE SAP, GBL et GPA)

Recommandation no 6. Le DPF de SC, le DPF de l'ASPC et le SMA-DGSC devraient veiller à l'établissement d'une formule de financement pour les coûts de soutien et d'entretien des applications opérationnelles existantes, à l'inclusion des futurs coûts d'entretien continu dans le coût total des nouvelles applications opérationnelles et à la budgétisation des fonds nécessaires en conséquence. Ces actions permettront de prendre des décisions éclairées pour assurer le bon état actuel et futur du portefeuille d'applications opérationnelles.

Réponse de la direction

Recommandation no. 1
La direction approuve la recommandation.

Depuis 2017, tous les biens de TI qui ont une valeur financière (au-delà du seuil nominal des faibles valeurs) ou opérationnelle (tous les biens acquis qui pourront contenir des données, y compris les appareils numériques et de mémoire) sont étiquetés et suivis.

Un nouveau système de gestion des biens d'entreprise est en cours de développement avec l'intention d'être opérationnel en T3 de 2022-2023. Ceci mettra en place des mesures supplémentaires pour suivre l'utilisation opérationnelle et la protection des biens. Le système SAP demeurera la source officielle d'information pour la rétention et la protection des renseignements financiers liés aux biens.

Bien qu'un système de gestion des biens d'entreprise est en développement, des mesures supplémentaires seront mises en œuvre pour suivre l'utilisation opérationnelle et la protection des biens. La coordination et la liaison comprendront un engagement continu avec les propriétaires, y compris ceux dans des environnements de laboratoire, afin d'assurer la bonne manipulation de tous les biens.

De plus, des technologies sont en place pour atténuer le risque de la mauvaise manipulation des renseignements. Des exemples de ces technologies comprennent l'utilisation continue des capacités du CST, tel que des capteurs basés sur les hôtes et les réseaux, ainsi que des capacités internes, y compris « bitlocker » et la contrôle positive des USB.

Recommandation no. 2
La direction approuve la recommandation.

La Norme sur la gestion des biens de Santé Canada définit les biens de TI comme suit : « L'équipement qui est pris en charge par la Direction des services de gestion de l'information, notamment les ordinateurs, les moniteurs, les ordinateurs portatifs, les imprimantes, les numériseurs, les disques durs externes, les projecteurs, les appareils BlackBerry/ANP, les serveurs et l'équipement de serveur. » Elle indique également que les laboratoires spécifiés sont responsables des activités liées à l'acquisition, à la gestion des code-barres et à l'élimination des biens de laboratoire. Les biens de laboratoire dotés de composantes numériques ne correspondent pas à la définition des biens de TI, ne sont pas soumis à la gestion des biens de TI et n'auraient pas dû être inclus dans la portée de l'audit. La DGSG et la DGDPF continueront à travailler auprès des DG chargés des opérations de laboratoire afin d'assurer que les biens sont pris en compte et que les protections nécessaires pour les renseignements sont en place.

Recommandation no. 3
La direction approuve la recommandation.

Il existe un certain nombre de discussions avec la gouvernance qui font partie du cycle général de planification des investissements et de la TI. L'équipe d'architecture d'entreprise présente les données de la GPA aux différentes directions générales afin d'éclairer leur planification opérationnelle et d'alimenter le processus de planification des investissements du Ministère. Cela aboutit à des décisions d'investissement au niveau du Comité exécutif pour les immobilisations et les PI. Le processus annuel de planification de la TI complète le processus de planification des investissements et permet d'identifier les risques et les occasions d'investissement à l'appui du cadre de modernisation numérique. Ils sont tous deux examinés par les organes de gouvernance ministériels et approuvés par l'administrateur général.

Un élément clé de la gouvernance des PI ministérielles à SC est le rôle des experts en la matière au niveau des DG pour les quatre classes d'actifs. Une de ces classes d'actifs est le domaine de la GI/TI qui surveille les biens de TI et est mené par le DPI de Santé Canada. Les investissements en la GI/TI qui sont significatifs en valeur monétaire ou sont un risque plus élevé sont présentés à la gouvernance de la PI aux fins d'approbation et sont assignés les capacités et les ressources convenables.

En juillet 2021, l'ASPC a créé un comité au niveau des vice-présidents pour les ressources et les opérations; le comité est responsable du suivi et de la supervision de la planification des investissements, ce qui comprend la gouvernance et la surveillance de l'affectation des ressources financières, des décisions d'investissement et des subventions et contributions, ainsi que l'exercice d'une fonction d'examen critique de la planification financière, opérationnelle et des ressources des directions générales et de l'Agence (achats, TI, locaux, etc.), et le suivi de la mise en œuvre continue des plans approuvés afin de garantir l'harmonisation entre les opérations, les dépenses et les résultats pour la réalisation générale des priorités et des résultats de l'Agence.

Recommandation no. 4
La direction approuve la recommandation.

La DGSG fournit la gestion des logiciels pour Santé Canada et l'ASPC et l'approvisionnement est géré dans le système SAP avec les données provenant directement du Service passerelle : https://servicegateway-passerelledeservice.hc-sc.gc.ca/en/software.html.

Le système de SAP n'a pas la même fonctionnalité que d'autres outils de gestions des biens logiciels et la direction convient qu'un nouveau système est nécessaire pour gérer les logiciels plus efficacement. Toutefois, un audit réalisé en 2019 par KPMG pour le compte d'IBM a révélé une conformité dans 120 cas sur 125, ce qui indique de façon fiable que la gouvernance, les politiques et les processus en place pour la gestion des biens logiciels à Santé Canada et ASPC sont en relativement bon état.

La DGSG travaillera avec la DGDPF pour améliorer la gestion du cycle de vie des logiciels. Un examen des outils et des processus existants dans le cadre d'une analyse des lacunes sera pris en compte pour établir les exigences d'une solution intégrée de gestion des biens logiciels (GBL) visant à numériser le processus opérationnel afin de soutenir l'intégrité des données dans le cadre de la gestion des biens.

Recommandation no. 5
La direction approuve la recommandation.

Il convient de faire une distinction entre la gestion des applications opérationnelles, du matériel de TI et des logiciels. Le matériel et les logiciels seront traités par l'adoption d'un nouveau système de GBTI.

Des fonctions améliorées de gestion et d'intégration des données, des processus et des capacités de GBTI (logiciels et matériel) seront fournies dans le cadre d'une nouvelle capacité de GBTI (1.2), où les erreurs humaines seront réduites au minimum grâce à l'utilisation des capacités d'automatisation fournies par l'outil. La qualité des données sera également améliorée par le déploiement d'une capacité de découverte qui permettra de trouver et d'identifier les biens matériels et logiciels de TI sur le réseau, fournissant une identification et un suivi des biens en temps réel.

En plus de la mise en œuvre par la DGSG d'une solution de GBTI indépendante pour le suivi et la surveillance du matériel et des logiciels, la DGDPF examinera les mesures de contrôle actuelles des entrées dans le système (SAP) afin de déterminer si d'autres erreurs de saisie de l'utilisateur peuvent être signalées, et elle lancera une demande de modification du système SAP en conséquence.

Comme indique l'audit, le processus de gestion et de suivi des données pour les applications opérationnelles de l'organisation est bon, mais pas cohérent, ce qui entraîne certains problèmes de qualité des données. Il serait également possible de collaborer davantage avec les intervenants, y compris les organes de gouvernance, dans le suivi et la gestion des applications opérationnelles par la GPA. Depuis son introduction en 2017, cependant, le programme de GPA a évolué en ce qui a trait à la gestion des applications opérationnelles et Santé Canada et l'ASPC ont reçu des notes favorables liées au CRG pour le niveau global de maturité en matière de TI, qui inclut la GPA comme facteur d'évaluation.

Recommandation no. 6
La direction approuve la recommandation.

De plus en plus, des mesures sont en place pour assurer que les coûts continus d'entretien sont prises en compte dans les décisions concernant les applications opérationnelles. La gouvernance ministérielle assure des coûts permanents conformément au modèle convenu dans les plans de transition pour les nouvelles applications opérationnelles. Il s'agit d'une condition préalable à l'approbation du point de contrôle 4, conformément au cadre ministériel de gestion de projets. En réponse à la recommandation voulant que les futurs coûts d'entretien permanents soient inclus dans le coût total des nouvelles applications opérationnelles, la DGDPF a créé en 2020, en collaboration avec la DSGI, un outil ministériel de calcul des coûts des projets de TI pour déterminer le coût des nouvelles applications opérationnelles; l'outil a été approuvé par la gouvernance ministérielle, et il comprend un composant permettant de calculer les futurs coûts d'entretien permanents. Une fois les coûts d'entretien permanents calculés, les décisions de financement sont prises. Si l'application opérationnelle fait partie d'une demande de financement du cadre financier, le financement des coûts d'entretien permanents est inclus dans la demande budgétaire et la présentation connexe au Conseil du Trésor.

L'outil de calcul des coûts des projets de TI peut également être utilisé pour déterminer les coûts continus des applications opérationnelles existantes. Pour une application opérationnelle existante, la source de financement pour les coûts d'entretien continus a été établie. Pour une situation dans laquelle la source de financement est insuffisante, l'outil de calcul des coûts des projets de TI peut servir à déterminer le besoin en matière de ressources et les demandes de financement peuvent être présentées à la gouvernance ministérielle pour demander un financement supplémentaire. Le Ministère continuera à examiner les applications d'affaires vieillissantes de TI comme partie de la présentation annuelle de rapport au SCT et évaluer les risques associés aux coûts continues d'entretien.

Le cadre de gestion du développement des systèmes de TI s'applique aux applications opérationnelles nouvelles ou modifiées et comprend l'élaboration d'un plan de transition (voir ci-dessus). Le cadre a été accepté en tant que produit livrable achevé dans le cadre de la réponse et du plan d'action de la direction (RPAD) à l'audit du développement des systèmes de TI (1.1). Le processus d'assurance de la qualité visant à faire respecter la conformité est en train d'être achevé pour clore cette RPAD (3.4).

Surveillance et entretien

Surveillance – Biens informatiques de faible valeur et immobilisés

LaPolitique sur la gestion du matériel du Conseil du Trésor et le document d'orientation applicable du SCT stipulent que les ministères et organismes doivent effectuer des vérifications physiques régulières des biens. La norme sur la gestion des biens de Santé Canada et de l'ASPC et le Guide d'instruction sur l'inventaire des biens indiquent que le Ministère et l'Agence doivent effectuer des vérifications physiques régulières de leurs biens. Santé Canada et l'ASPC effectuent chaque année deux exercices distincts de vérification de l'inventaire des biens ministériels : un exercice de vérification de l'inventaire des biens évalués à moins de 10 000 $, réalisé tous les trois ans, le dernier ayant eu lieu en 2017, et un examen annuel des immobilisations évaluées à 10 000 $ et plus. Conformément au Guide d'instruction sur l'inventaire des biens de Santé Canada et de l'ASPC, tous les appareils informatiques tels que les ordinateurs, les moniteurs, les télécopieurs, les imprimantes, les numériseurs, etc. doivent être vérifiés dans le cadre de l'exercice d''examen de l'inventaire des biens (EEIB). Tous les éléments logiciels ont été exclus de cet exercice. Les immobilisations informatiques, qu'il s'agisse de matériel ou de logiciels, d'une valeur égale ou supérieure à 10 000 $ ont toutes été comptabilisées dans le cadre de l'examen annuel des immobilisations.

Ces exercices d'inventaire se sont appuyés sur les données relatives aux biens saisies dans le système de suivi GBE SAP, pour un contrôle de 100 % des biens. Dans le SAP, il existait deux types d'enregistrement de biens : des fiches d'équipement créées pour tous les biens évalués à 1 000 $ et plus (y compris toutes les immobilisations et tous les biens attrayants); une fiche d'immobilisation créée uniquement pour les immobilisations (évaluées à 10 000 $ et plus).

Pour lancer les processus de surveillance, la DGMB génère des listes des immobilisations (en se basant sur les dossiers de fiche d'immobilisation) et des listes des biens de faible valeur (en se basant sur les dossiers de fiche d'équipement) pour chaque centre de coûts, et elle envoie les listes d'inventaire aux gestionnaires des centres de coûts pour qu'ils les valident et les vérifient.

Nous nous attendions à ce que les biens informatiques fassent l'objet d'un suivi adéquat et à ce que les résultats de ce suivi fassent l'objet de mesures.

Biens informatiques de faible valeur (EEIB)

Bien que les processus de suivi de Santé Canada et de l'ASPC se soient avérés bien consignés et conformes à la Politique sur la gestion du matérieldu Conseil du Trésor, notre examen de ces processus a révélé qu'il n'y avait pas eu de suivi des biens informatiques de faible valeur au sein de Santé Canada et de l'ASPC. Bien que la DGMB ait effectué un EEIB, tous les biens informatiques, qu'il s'agisse de matériel ou de logiciels, ont été exclus de la liste des biens examinés, ce qui est contraire aux politiques et orientations susmentionnées. Aucun autre exercice de suivi des biens informatiques de faible valeur n'a eu lieu.

L'EEIB ayant exclu les biens informatiques de son exercice de vérification, nous avons constaté qu'aucun processus n'était en place pour garantir que les stocks de biens informatiques de faible valeur de Santé Canada et de l'ASPC, tels que les clés USB, les serveurs, les ordinateurs portables, les tablettes, les ordinateurs et les moniteurs, étaient bien gérés, adéquatement comptabilisés et enregistrés dans le SAP, conformément à la politique de Santé Canada et de l'ASPC. Cette absence de suivi fait croître le risque que les biens informatiques de faible valeur soient mal protégés et expose le Ministère et l'Agence à des risques de mauvaise utilisation, de manque d'entretien et de vol des biens. Ces risques sont accrus par le fait que les biens matériels peuvent contenir des renseignements de nature sensible qui, s'ils ne sont pas pris en compte, pourraient entraîner des risques pour la vie privée, la GI-TI et la cybersécurité.

Biens informatiques immobilisés

Même si les biens informatiques ne faisaient pas partie de l'EEIB, nous avons constaté que les biens informatiques immobilisés étaient inclus dans l'examen annuel des immobilisations (EAI), comme l'exige la norme sur la gestion des biens de Santé Canada et de l'ASPC, le Guide d'instruction sur l'inventaire de biens, ainsi que la Politiqueet leGuide sur la gestion du matériel du CT. Dans le cadre de l'EAI 2018-2019, des biens d'une valeur d'acquisition combinée de 55 744 051 $ ont fait l'objet d'un suivi approprié. Cependant, la conception du processus d'EAI repose sur l'intégrité et l'exhaustivité des données saisies pour les immobilisations dans le SAP. Compte tenu des difficultés rencontrées pour garantir la saisie de données exactes et fiables dans le système GBE SAP, nous avons constaté que les biens informatiques immobilisés ayant reçu le mauvais code ou saisis de manière inappropriée dans le SAP n'apparaissaient pas dans les listes d'inventaire utilisées pour réaliser l'EAI et n'étaient pas comptabilisées dans le cadre du processus de suivi.

Nous avons trouvé 384 biens informatiques, de valeur d'acquisition égale ou supérieure à 10 000 $, qui n'avaient pas été inclus dans l'EAI 2018-2019. Les raisons invoquées pour expliquer ces écarts étaient notamment un codage incorrect, une erreur humaine dans la saisie des données et l'absence de mesures de contrôle de la saisie dans le système, ayant entraîné des entrées de biens en double ou obsolètes (c.-à-d., que des biens n'avaient pas été correctement éliminés ou désactivés).

De plus, alors que la Norme sur la gestion des biens indiquait clairement que la DGMB devait « vérifier physiquement les biens elle-même » au cours de l'EAI, les orientations concernant la sélection des biens à vérifier étaient énoncées de manière générale et ne permettaient pas de garantir que l'échantillon choisi était représentatif de l'ensemble des immobilisations informatiques. Par conséquent, nous avons constaté qu'une seule immobilisation logicielle avait fait l'objet d'une vérification physique par la DGMB au cours de l'EAI 2018-2019, ce qui ne permet pas d'assurer une surveillance suffisante du processus.

Nous avons également constaté que le manque de clarté à l'égard des rôles et des responsabilités de la DSGI et de la DGMB a entraîné une certaine confusion et le non-respect des exigences de suivi. Cela a engendré davantage de confusion. En effet, les immobilisations informatiques ont fait l'objet d'un suivi par la DGMB, mais les biens informatiques de faible valeur ont été exclus de son examen, car il avait été indiqué que la DSGI était responsable « de la garde et de la gestion » de tous les biens informatiques.

Dans l'ensemble, des mesures de contrôle renforcées de la saisie dans le système sont nécessaires pour que le Ministère et l'Agence puissent comptabiliser et surveiller l'ensemble de leurs biens informatiques.

L'inventaire complet des biens informatiques de faible valeur n'a pas fait l'objet d'un suivi adéquat, comme l'exigent la norme sur la gestion des biens de Santé Canada et de l'ASPC, le Guide d'instruction sur l'inventaire des biens, ainsi que la Politiqueet le Guide de gestion du matériel du SCT. Les biens informatiques n'avaient pas été inclus dans les exercices de vérification de l'inventaire des biens et aucun autre exercice de suivi n'a eu lieu pour s'assurer que les biens informatiques de faible valeur étaient gérés de manière adéquate.

Les immobilisations informatiques incluses dans l'examen annuel des immobilisations (EAI) ont fait l'objet d'un suivi adéquat et ont bien été comptabilisées dans le cadre de l'exercice, et leur « état », dont la connaissance permet un entretien approprié aux fins de l'utilisation ministérielle, a été évalué de manière adéquate. Cependant, en raison du fait que certains champs de la base de données de gestion des biens du SAP liés à la TI n'étaient pas remplis, l'EAI n'a pas pu comptabiliser toutes les immobilisations liées à la TI; par conséquent, l'EAI n'a pas comptabilisé et évalué l'état de l'inventaire complet des immobilisations liées à la TI. Nous avons également constaté que les vérifications physiques effectuées par la DGMB étaient insuffisantes, car un seul bien logiciel avait fait l'objet d'une vérification physique lors du dernier examen.

Surveillance et entretien – Applications opérationnelles

Aux fins de la surveillance de l'état du portefeuille d'applications opérationnelles de Santé Canada et de l'ASPC et de la transmission annuelle des données sur la GPA au SCT, le programme de GPA est conçu pour surveiller et évaluer l'état technique et la valeur opérationnelle continue de chaque application opérationnelle faisant l'objet d'un suivi, au moyen d'une évaluation du vieillissement de la TI et du classement de chaque application opérationnelle dans l'une de quatre catégories d'action (évaluation TIME) : tolérer, innover, atténuer ou éliminer. Afin d'assurer un entretien adéquat des applications opérationnelles et de gérer le vieillissement de la TI, le SCT a établi un objectif minimal pour les ministères : 30 % des portefeuilles d'applications opérationnelles ne devraient pas nécessiter d'attention. Santé Canada et l'ASPC rendent des comptes par rapport à cet objectif chaque année au SCT.

Nous nous attendions à ce que les applications opérationnelles fassent l'objet d'un suivi et soient entretenues de manière adéquate. Plus précisément, nous nous attendions à ce que la DSGI fasse participer les propriétaires opérationnels à la surveillance de l'état des applications opérationnelles et fournisse de l'information, des analyses et des conseils aux propriétaires opérationnels et aux responsables de la gouvernance en temps opportun pour qu'ils puissent les examiner et prendre des mesures. Nous nous attendions en outre à ce que les propriétaires d'application opérationnelle disposent d'un plan d'action pour entretenir leur portefeuille de biens, pour atteindre ou dépasser l'objectif minimal du SCT et pour prendre des mesures au sujet du vieillissement de leurs biens liés à la TI.

Nous avons constaté que la DSGI a mobilisé les propriétaires d'application opérationnelle et des experts techniques tout au long de l'année dans le cadre de plusieurs activités de surveillance afin de : recueillir les données à jour sur les applications opérationnelles qu'elle devait verser dans le système de GPA de base, réaliser des évaluations; aider les propriétaires d'application opérationnelle à comprendre l'état de leurs applications opérationnelles; déterminer les points nécessitant une attention particulière. Ces efforts ont permis à la DSGI d'effectuer l'analyse TIME et du vieillissement du portefeuille d'applications opérationnelles, de transmettre en temps opportun des données sur la GPA au SCT et de produire un rapport annuel d'analyse du portefeuille d'applications opérationnelles. Cependant, rien n'indiquait que les analyses de la GPA et les rapports connexes sont régulièrement présentés aux responsables de la gouvernance pour qu'ils les examinent et fournissent les instructions nécessaires aux propriétaires opérationnels.

Nous avons constaté que les applications opérationnelles faisaient l'objet d'un suivi par la DSGI, mais que le degré de rigueur et de cohérence appliqué au cours de ces activités variait en fonction des directions générales, des équipes de mobilisation des clients de la DSGI et des conseillers techniques, ce qui peut nuire à la précision des résultats et à la confiance à leur égard. De plus, malgré les efforts de la DSGI, nous avons constaté que des mesures ou des plans n'étaient pas toujours mis en place pour assurer l'entretien adéquat des applications opérationnelles à l'usage ministériel et que la plupart des propriétaires opérationnels ou des directions générales ne disposaient pas de stratégie ni de plan d'action pour assurer l'entretien de leurs applications opérationnelles. Selon les données de surveillance de la DSGI, Santé Canada et l'ASPC n'ont pas atteint l'objectif minimum du SCT de 30 % du portefeuille d'applications opérationnelles ne nécessitant pas d'attention (entretien, mise à niveau, remplacement, mise hors service, etc.), l'ASPC et Santé Canada présentant respectivement des pourcentages de 15 % et de 27,2 % en date de septembre 2019. De plus, selon les évaluations du vieillissement de la TI de la DSGI, 80 % des applications opérationnelles de l'ASPC et de Santé Canada étaient vieillissantes (il s'agit généralement d'applications dépendant de logiciels obsolètes, reposant eux-mêmes sur une expertise technique de plus en plus rare, et d'une infrastructure ancienne, dont l'exploitation coûte de plus en plus cher).

Nous avons constaté qu'il n'existait pas d'autorité au sein du Ministère ou de l'Agence chargée de superviser activement les propriétaires opérationnels et de les obliger à rendre compte de l'entretien du portefeuille d'applications opérationnelles. Nous avons également constaté qu'à tous les niveaux, dans l'ensemble du Ministère et de l'Agence, l'accent a principalement été mis sur la mise en place de nouvelles applications opérationnelles et sur le respect des exigences du SCT en matière de rapports annuels sur l'état du portefeuille d'applications opérationnelles. Une priorité moindre avait été accordée à l'entretien des applications existantes qui soutenaient la prestation des programmes et des services. En matière d'attention et de ressources de gestion, les applications opérationnelles existantes étaient en concurrence avec les nouvelles applications, ainsi qu'avec les initiatives obligatoires du gouvernement du Canada, pour un même bassin de ressources.

Malgré les efforts déployés par la DSGI pour surveiller, analyser et préparer les données sur les applications opérationnelles, et pour mobiliser les propriétaires d'applications opérationnelles et leur fournir des conseils, ces biens n'étaient pas entretenus de manière adéquate. Compte tenu du pourcentage important d'applications nécessitant une certaine attention et du niveau d'effort et de ressources requis pour remédier au vieillissement, Santé Canada et ASPC pourraient ne pas être en mesure de fournir aux intervenants les applications organisationnelles bien entretenues, sécurisées et disponibles dont ils ont besoin pour offrir des programmes et des services.

Surveillance et entretien – Vieillissement du matériel

Selon la Politique sur la gestion du matériel du CT, l'entretien préventif doit être conçu de manière à préserver et à améliorer la fiabilité de l'équipement, par le remplacement des composants usés avant qu'il n'y ait défaillance. Cet objectif est généralement atteint par la mise en œuvre d'un processus informatique évolutif, permettant de remplacer ou de mettre à niveau de façon continue le matériel informatique selon un calendrier d'actualisation planifié, afin de garantir que l'équipement demeure pertinent, sûr et à jour.

Nous nous attendions à ce que les biens liés à la TI soient entretenus de manière adéquate.

La DSGI a indiqué qu'elle ne disposait pas des ressources nécessaires pour mener à bien un programme efficace de mise à jour continue au sein de Santé Canada et de l'ASPC. Le matériel vieillissant était plutôt principalement entretenu au moyen d'une approche privilégiant les réparations en cas de bris. En novembre 2018, la DSGI estimait que 55 % des principaux appareils informatiques déployés au sein de Santé Canada et de l'ASPC étaient hors garantie et présentaient un risque de défaillance, alors que la norme du secteur est en moyenne de 20 %.

En analysant la base de données sur la gestion des biens dans le SAP, nous avons constaté que de nombreux biens matériels vieillissants « hérités » n'avaient pas été désignés à des fins d'élimination en temps opportun. La DSGI a expliqué que, bien que nombre de ces biens soient obsolètes, l'absence d'un programme de mise à jour continue, ainsi que de nombreuses années de tenue inadéquate des dossiers ont nui à l'intégrité des données sur les biens dans le SAP et ont restreint la capacité du Ministère à détecter de manière proactive les biens informatiques à aliéner. Par exemple, l'analyse des dates de remplacement des stocks de matériel informatique nouvellement mis en œuvre a révélé qu'une « date de remplacement » est indiquée dans l'entrée du bien pour seulement 27 % des ordinateurs et des tablettes répertoriés dans l'inventaire, et qu'une telle date n'est pas saisie pour plus de 22 900 ordinateurs et tablettes dans l'inventaire.

La capacité à traiter efficacement les problèmes de TI a également été entravée par le manque de données sur les mesures de rendement en matière de TI et de vieillissement de la TI, ainsi que par des objectifs de rendement non définis. Alors que des données limitées sur le rendement des biens étaient recueillies pour les immobilisations incluses dans l'examen annuel des immobilisations (EAI), il n'y avait pas de processus similaire en place pour les biens informatiques de faible valeur monétaire, car l'EEIB n'était pas réalisé pour les biens informatiques. Nous avons constaté qu'il n'y avait pas de processus en place pour évaluer adéquatement l'état de tous les biens matériels liés à la TI et pour recueillir des données sur le rendement qui permettraient d'en assurer l'entretien en temps opportun, de veiller à ce que les biens soient utilisés de façon aussi efficace et efficiente que possible afin d'optimiser la valeur que procure leur utilisation, et de déterminer s'il y a lieu de les aliéner dès qu'ils deviennent excédentaires par rapport aux exigences d'exécution des programmes.

Puisque les décisions d'élimination n'étaient pas fondées sur une analyse coûts-avantages de l'inventaire, nous avons constaté que les anciens biens matériels n'étaient pas désignés comme excédentaires ni aliénés en temps opportun. Par exemple, nous avons trouvé 19 541 ordinateurs et tablettes dont la date de remplacement était fixée à 2018 et qui n'avaient pas encore été aliénés. Dans cet exemple, le matériel informatique qui n'a pas été désigné à des fins d'élimination en temps voulu peut avoir dépassé sa durée de vie utile et ne plus être d'aucune utilité pour le programme Ordinateurs pour les écoles.

Le vieillissement du matériel informatique présente également des risques pour la sécurité informatique, car ce matériel est vulnérable à la perte de l'assistance technique sur les anciens systèmes, ce qui fait croître le risque de réussite des cyberattaques. Par exemple, Microsoft a mis fin à la prise en charge de son système d'exploitation Windows 7 le 14 janvier 2020, ce qui signifie que l'entreprise ne fournira plus de nouvelles mises à jour de sécurité ni d'assistance. Cela engendre de possibles risques de sécurité pour les systèmes de Santé Canada et de l'ASPC ainsi que pour les applications encore exécutées sous Windows 7, car elles sont de plus en plus menacées par les logiciels malveillants et le piratage. Les nouveaux systèmes d'exploitation, tels que Windows 10, représentent également un défi pour le Ministère et l'Agence, car le matériel vieillissant devient incompatible avec la nouvelle technologie (p. ex. certains disques durs d'ordinateurs ne pouvaient pas prendre en charge le système d'exploitation Windows 10 et devaient être remplacés). Ces défis et risques auraient pu être atténués par l'adoption d'un programme de mise à jour continue.

Nous avons constaté que les mesures de contrôle en place pour l'entretien du matériel informatique étaient insuffisantes étant donné que le processus était de nature réactive. Les biens informatiques matériels vieillissants étaient entretenus selon un modèle de réparation en cas de bris et n'étaient pas réparés ou remplacés qu'en cas de problème, ce qui entraînait des inefficacités et de possibles vulnérabilités liées à la TI. Compte tenu des cybermenaces de plus en plus sophistiquées, il est important que Santé Canada et l'ASPC non seulement tiennent compte de tous les biens dans leur environnement numérique, mais aussi qu'ils réparent, soutiennent ou remplacent de manière proactive et en temps opportun les biens endommagés.

Recommandations liées à la surveillance et à l'entretien

Recommandation no 7. Le DPF, en collaboration avec le SMA-DGSC, devrait s'assurer que les activités de surveillance des biens informatiques de faible valeur respectent les directives mises à jour afin de protéger les renseignements privés et publics que ces biens contiennent.

Recommandation no 8. Le SMA-DGSC devrait s'assurer que les mesures suivantes sont prises afin d'atteindre les objectifs du SCT et de traiter les 80 pourcent d'applications opérationnelles jugées vieillissantes, de manière efficace et en toute connaissance de cause :

Recommandation no 9. Le SMA-DGSC, en collaboration avec la haute direction, devrait définir une stratégie pour s'attaquer de façon proactive aux problèmes liés au vieillissement du matériel informatique, ce qui pourrait comprendre l'établissement d'un programme de mise à jour continue de ce matériel, et devrait inclure l'établissement de mesures et de cibles de rendement permettant de surveiller les progrès réalisés par Santé Canada et l'ASPC à l'égard de l'élimination des risques liés au vieillissement de la TI, de la prise de décisions éclairées en matière d'élimination de la TI, et de l'atteinte continue des objectifs opérationnels et d'exécution des programmes, et d'en rendre compte.

Réponse de la direction

Recommandation no. 7
La direction approuve la recommandation.

L'audit met en évidence un manque de contrôle des biens et le risque subséquent d'une éventuelle perte de contrôle des renseignements privés et publics. La direction a noté, après examen, que les renseignements contenus dans ces biens de faible valeur sont sécurisés, en s'appuyant sur les preuves ci-dessous.

Les renseignements stockés sur les clés USB sont sécurisés :

Tous les appareils de Santé Canada et l'ASPC sont chiffrés pour protéger les renseignements si un appareil est perdu, volé ou accédé de façon inappropriée :

Tous les ordinateurs de Santé Canada et de l'ASPC sont dotés de capteurs du CST qui permettent de surveiller les appareils pour les protéger contre le vol et les tentatives d'accès involontaires ou intentionnelles :

La DGDPF examinera la politique actuelle de GBTI sur les biens de faible valeur attrayants et pouvant être suivis. Les responsabilités des SMA et des autres intervenants seront clairement définies dans les politiques et les directives révisées.

Recommandation no. 8
La direction approuve la recommandation.

La gouvernance liée à la gestion des applications est plus mature que ce qui est représenté. Le rapport d'audit souligne que la Gestion des du portefeuille d'applications de la DSGI manque de collaboration avec les clients des organes de gouvernance. Il convient de noter qu'il existe un certain nombre de discussions avec la gouvernance qui font partie du cycle général de planification des investissements et de la TI.

L'équipe chargée de la GPA présente les données de la GPA aux différentes directions générales afin d'éclairer leur planification opérationnelle et d'alimenter le processus de planification des investissements du Ministère. Cela aboutit à des décisions d'investissement au niveau du Comité exécutif pour les immobilisations, la planification des investissements et les vulnérabilités ciblées ou les demandes visant la réserve du sous-ministre.

Le processus annuel de planification de la TI complète le processus de planification des investissements et permet d'identifier les risques et les occasions d'investissement à l'appui du cadre de modernisation numérique. Ils sont tous deux examinés par les organes de gouvernance ministériels et approuvés par l'administrateur général.

Il existe un processus défini pour soutenir les plans de travail pour la gestion des applications :

Recommandation no. 9
La direction approuve la recommandation.

Au cours de l'exercice financier de 2020-2021, la DGSG a mis en œuvre un programme de mise à jour continue du matériel de TI pour les ordinateurs, fondé sur un cycle d'amortissement de cinq ans, pour Santé Canada et l'ASPC.

La DGSG continuera de mobiliser les intervenants et de faire évoluer la stratégie de mise à jour continue en collaboration avec SPC dans le cadre des activités de TI d'entreprise.

Disposition des biens

Disposition des biens – Matériel informatique

Une gestion appropriée des biens garantit que les biens qui ne sont pas réparables, qui ne fonctionnent plus comme prévu ou qui sont remplacés aux fins de la mise en œuvre de projets durables (tels que la mise à jour continue de la TI) doivent être désignés comme excédentaires en temps opportun. L'objectif primordial en matière d'élimination est de « s'assurer que l'élimination du matériel en surplus est effectuée le plus efficacement possible et le plus rapidement possible dès que ces biens deviennent excédentaires par rapport aux besoins liés à l'exécution des programmes, et ce d'une façon permettant à la Couronne d'obtenir le montant net le plus élevé et qu'elle se fait en conformité avec la Directive sur l'élimination du matériel en surplusdu Conseil du Trésor. » Du point de vue de la sécurité informatique, il y a également des avantages importants à l'élimination des biens vulnérables qui ne sont plus pris en charge de manière efficace et opportune.

Nous nous attendions à ce que le processus interne d'élimination soit conforme à la Politique sur la gestion du matériel du CT et à ce qu'il permette de conclure à l'élimination des biens informatiques excédentaires de la manière la plus efficace et la plus opportune possible. Nous nous attendions également à ce que Santé Canada et l'ASPC appuient le programme « Ordinateurs pour les écoles » (OPE) et éliminent tous les ordinateurs conformément aux directives du programme OPE.

Notre évaluation du processus d'élimination des biens matériels en place à l'entrepôt de TI a démontré que les mesures de contrôle en place soutiennent efficacement l'élimination appropriée du matériel. Le processus évalué répondait aux exigences de la politique du CT et était conforme au programme « Ordinateurs pour les écoles », car tout le matériel informatique examiné avait été adéquatement traité, consigné et mis en surplus au moyen de mécanismes appropriés, permettant une réutilisation efficace des ressources.

Nous avons également pu déterminer que des mesures de contrôle adéquates étaient en place en ce qui a trait aux pratiques de nettoyage des disques durs avant l'élimination, car les disques durs des biens étaient effacés de manière appropriée et certifiés excédentaires avant l'élimination. Ces mesures de contrôle permettaient de garantir la protection des données ministérielles.

Nous avons toutefois constaté que des directives publiées à l'intention des employés, les procédures opérationnelles normalisées, étaient obsolètes, et correspondaient au précédent processus d'élimination dans le SAP. Le respect de ces procédures obsolètes pourrait entraîner des erreurs de saisie dans le système, ce qui nuirait davantage à l'intégrité des données contenues dans l'inventaire du matériel SAP.

Nous avons constaté que, dans l'ensemble, l'élimination des biens informatiques matériels au sein de Santé Canada et de l'ASPC était conforme aux exigences établies, mais que les directives publiées étaient obsolètes.

Disposition des biens – Applications opérationnelles

Santé Canada et l'ASPC disposent d'un processus de mise hors service des applications opérationnelles, ainsi que d'un formulaire d'approbation étape par étape qui intègre les exigences du SCT régissant l'élimination des données contenues dans les applications opérationnelles et les bases de données. Le propriétaire de l'application opérationnelle, avec l'aide de la DSGI, détermine et recommande le plan de mise hors service qui convient le mieux à la conservation des données et aux exigences opérationnelles. Le plan est examiné par un spécialiste de la gestion de l'information (GI) et approuvé par le propriétaire de l'application opérationnelle et le directeur général concerné.

Nous nous attendions à ce que l'élimination des biens informatiques respecte les exigences de Santé Canada et de l'ASPC. En ce qui concerne les applications opérationnelles, nous nous attendions en outre à ce que des mesures aient été prises ou à ce que des plans aient été établis pour mettre hors service les applications opérationnelles considérées comme « en attente de mise hors service ».

Nous avons constaté que les exigences et le processus décrits par Santé Canada et l'ASPC pour la mise hors service des applications opérationnelles n'étaient pas respectés. Malgré l'existence d'un processus détaillé et d'un outil (formulaire de mise hors service) destiné à aider le propriétaire opérationnel, l'absence d'un propriétaire désigné chargé de superviser la mise hors service des applications opérationnelles signifie que l'utilisation du processus n'était pas imposée. Il n'y avait pas de communication officielle uniformisée avec les propriétaires opérationnels après la désignation d'une application opérationnelle comme étant en attente de mise hors service, et il n'y a pas non plus de preuve d'un suivi qui permettrait de déterminer si l'application opérationnelle a bien été mise hors service et si oui, si cela a été fait conformément aux exigences.

Nos essais des applications opérationnelles désignées comme étant « en attente de mise hors service » dans le système de GPA de base ont révélé que la plupart d'entre elles n'avaient pas fait l'objet d'une action de mise hors service ou, si tel était le cas, que le processus de mise hors service n'avait pas été suivi de manière appropriée, et que rien n'indiquait qu'un formulaire de mise hors service allait être rempli et approuvé ou qu'un plan de mise hors service avait été établi. Les données contenues dans ces applications opérationnelles risquaient d'être utilisées de manière inappropriée et de ne pas être disponibles pour les réponses aux demandes d'accès à l'information et de protection des renseignements personnels (AIPRP), aux procédures juridiques et d'enquête ou à titre de valeur opérationnelle future. Avant de retirer une application opérationnelle du réseau, il est important de déterminer si les données doivent demeurer accessibles et de les traiter en conséquence.

Nos essais ont également indiqué que les données relatives à l'état de « mise hors service » dans le système de GPA de base n'étaient pas fiables. Parmi les 258 applications opérationnelles faisant l'objet d'un suivi dans le système de GPA de base, 19 ont été désignées comme étant « en attente de mise hors service ». Cependant, une date de mise hors service avait été indiquée pour seulement huit de ces 19 applications, et la mise hors service de deux d'entre elles était en retard. De plus, selon le système de GPA de base, 15 applications étaient désignées comme étant « en production », mais comportaient une date de mise hors service dépassée.

Les exigences et les processus décrits par Santé Canada et l'ASPC pour la mise hors service des applications organisationnelles n'étaient pas respectés, et aucun propriétaire n'avait été désigné pour superviser le processus. Par conséquent, les données dans les applications organisationnelles risquaient d'être utilisées de manière inappropriée ou d'être perdues, et Santé Canada et l'ASPC risquaient d'être en situation de non-conformité par rapport aux exigences du SCT régissant l'élimination des données.

Recommandation liée à la disposition des biens

Recommandation no 10. Le SMA-DGSC devrait désigner un propriétaire de processus opérationnel disposant de l'autorité appropriée pour superviser le processus de mise hors service des applications opérationnelles et en imposer le respect. Cela atténuera le risque que des données importantes contenues dans les applications opérationnelles soient utilisées de manière inappropriée ou perdues.

Réponse de la direction

Recommandation no 10
La direction approuve la recommandation.

L'équipe d'architecture d'entreprise de la DGSG est responsable du processus opérationnel de déclassement des applications.

L'équipe d'architecture d'entreprise dispose déjà d'une stratégie de déclassement des applications qui a été élaborée en consultation avec des groupes de la DSGI et de l'extérieur de celle-ci, ainsi qu'avec la participation des responsables opérationnels dans le cadre de divers projets pilotes en 2019-2020. La mise en œuvre plus officielle de la stratégie a commencé en 2020-2021, lorsqu'une description écrite du processus de déclassement et le formulaire connexe destiné au client ont été publiés sur GCpédia.

La participation directe des intervenants pour communiquer le processus de déclassement et les attentes sous-jacentes est encore nécessaire, notamment pour la socialisation et l'intégration aux projets d'investissement en TI par l'intermédiaire des diverses tables de gouvernance.

Conclusion

Dans l'ensemble, bien que nous ayons constaté des aspects positifs à la gestion des biens matériels et des applications opérationnelles qui était pratiquée, nous avons constaté que les données sur les biens sont incomplètes et inexactes dans chacun des systèmes de soutien aux biens informatiques, et que le soutien, la planification et la mobilisation en matière de gouvernance pour la gestion des biens informatiques sont inadéquats. Ces lacunes entravent la prise de décisions pleinement éclairées par Santé Canada et l'ASPC en ce qui concentre les investissements, l'entretien et l'élimination en matière de biens, et compromet leur capacité à se concentrer sur l'établissement de priorités et la réalisation des programmes relatifs aux biens de manière rentable, proactive et stratégique. De plus, les faiblesses décelées posent des problèmes en ce qui a trait à la protection des biens et des données contre la perte et l'utilisation inappropriée, et au respect total des licences d'utilisation des logiciels.

Annexe A – À propos de l'audit

Objectif de l'audit

Cet audit avait pour objectif de donner l'assurance raisonnable que des mesures de contrôle appropriées sont en place pour la gestion des biens liés à la TI.

Portée de l'audit

L'audit comprenait l'examen et l'évaluation de l'ensemble des systèmes, des dossiers, du personnel et des propriétés physiques pertinents liés aux biens informatiques de Santé Canada et de l'ASPC jusqu'en date de juin 2019.

Activités non visées par l'audit

La portée de l'audit ne comprenait pas :

Méthode de l'audit

Effectué conformément à la Politique sur l'audit interne du gouvernement du Canada, l'audit porte sur l'examen de données suffisantes et pertinentes, ainsi que sur l'obtention d'information et d'explications suffisantes pour fournir une assurance raisonnable à l'appui de la conclusion de l'audit.

Les critères de l'audit ont été tirés du document du Bureau du contrôleur général intitulé « Critères d'audit liés au Cadre de responsabilisation de gestion : outil à l'intention des auditeurs internes » (2011), de la norme sur la gestion des biens de Santé Canada et de l'Agence de la santé publique du Canada et du Guide sur la gestion du matériel du CT.

La méthode retenue comprenait notamment les éléments suivants :

Énoncé de conformité

Cet audit a été mené conformément aux Normes internationales pour la pratique professionnelle de l'audit interne, comme en font foi les résultats du Programme d'assurance et d'amélioration de la qualité du Bureau de l'audit et de l'évaluation.

Annexe B – Champs d'enquête et critères

Audit de la gestion des biens de la technologie de l'information (TI)
Titre du critère Critère d'audit
Champs d'enquête 1 – Gestion et suivi des stocks
Critère no 1 : les biens liés à la TI étaient reçus et suivis de manière appropriée, garantissant que les données sont exactes, fiables et utiles à la prise de décisions.
Sous-critère no 1.1 Nous nous attendions à ce qu'un processus approprié soit en place pour la réception, la gestion et la distribution des stocks de biens liés à la TI et à ce qu'il fonctionne comme prévu.
Sous-critère no 1.2 Nous nous attendions à ce qu'un système de suivi de la gestion des biens liés à la TI soit en place et à ce qu'il contienne des données précises, fiables et utiles à la prise de décisions.
Champ d'enquête 2 – Surveillance et entretien
Critère no 2 : les biens liés à la TI ont été entretenus de manière appropriée pour utilisation ministérielle et ont fait l'objet d'une surveillance adéquate aux fins de contrôle ministériel.
Sous-critère no 2.1 Nous nous attendions à ce que les biens liés à la TI fassent l'objet d'une surveillance adéquate et à ce que les résultats de cette surveillance fassent l'objet de mesures.
Sous-critère no 2.2 Nous nous attendions à ce que les biens liés à la TI soient entretenus de manière adéquate.
Champ d'enquête 3 – Élimination des biens
Critère no 3 : l'élimination des biens liés à la TI respectait les exigences de Santé Canada et de l'ASPC.
Sous-critère no 3 Nous nous attendions à ce que l'élimination de biens liés à la TI respecte les exigences de Santé Canada et de l'ASPC.

Annexe C – Grille d'évaluation

Audit de la gestion des biens de TI à Santé Canada et de l'Agence de la santé publique du Canada
Critère Cote du risque Note de bas de page 1 Risque résiduel pour les objectifs du programme si la recommandation n'est pas mise en œuvre No de rec.

Gestion et suivi des inventaires :

Des processus appropriés étaient en place pour la gestion et le suivi des stocks et fonctionnent comme prévu pour garantir que les données sont exactes, fiables et utiles à la prise de décisions.

4 Les biens matériels liés à la TI ne sont pas étiquetés et comptés de manière appropriée, et les données d'inventaire du matériel ne sont pas exactes dans le système SAP, ce qui compromet la capacité du Ministère à comptabiliser avec précision et à protéger adéquatement ses stocks complets de biens matériels liés à la TI. 1
3 Les politiques, orientations et normes sont obsolètes et ne sont pas appliquées conformément aux pratiques et systèmes actuels. 2
4 En raison de l'absence de planification et de gouvernance intégrées, les biens liés à la TI ne font pas l'objet de l'attention, des ressources et des mesures décisives nécessaires. Les initiatives importantes risquent de ne pas être correctement hiérarchisées et réalisées, les ressources limitées, de ne pas être affectées efficacement, et des possibilités de réduction des coûts, de ne pas être saisies. 3
5 En raison de l'absence d'une solution intégrée de gestion et de suivi des stocks de biens informatiques logiciels, le Ministère et l'Agence risquent de ne pas respecter les accords de licence, des difficultés liées à la saisie manuelle et à la réponse aux audits des fournisseurs pourraient être rencontrées, et des données importantes permettant une gestion efficace pourraient ne pas être saisies ou facilement accessibles, notamment en ce qui a trait aux documents relatifs aux achats, aux licences logicielles et aux coûts d'entretien. Le Ministère et l'Agence sont donc exposés à des risques juridiques et financiers. 4
4 L'absence de mesures de contrôle rigoureuses visant les processus et les applications opérationnels pose des problèmes pour le suivi, la protection, la surveillance et l'entretien efficaces des biens liés à la TI. Le Ministère et l'Agence sont vulnérables au vol, à la fraude et à la mauvaise utilisation des données en raison de problèmes d'intégrité liés à ces dernières. 5
4 Les intervenants s'appuient sur des données inexactes et incomplètes pour gérer des applications opérationnelles qui sont essentielles à la prestation des programmes et services de Santé Canada et de l'ASPC. Puisque les coûts de soutien ne font pas l'objet d'un suivi, il manque un élément clé de l'évaluation des biens pour éclairer la prise de décisions et de mesures en matière de gestion afin de maintenir l'état du portefeuille. 6

Surveillance et entretien :

Les biens liés à la TI font l'objet d'un suivi adéquat et sont bien entretenus aux fins d'utilisation ministérielle.

5 Les biens de faible valeur tels que les ordinateurs portables et les clés USB ne font pas l'objet d'une surveillance, ce qui fait croître le risque de perte ou de vol de biens contenant des renseignements gouvernementaux ou publics. Ce n'est pas la valeur du bien qui fait croître le risque, mais la vulnérabilité des données. Il est déjà arrivé que des clés USB ou des disques durs externes disparaissent ou soient volés et que la réputation du ministère concerné soit entachée. 7
5 Les applications opérationnelles jugées essentielles pour la prestation de programmes et services essentiels pourraient ne pas être disponibles pour les intervenants si aucune mesure n'est prise par rapport aux applications opérationnelles qui nécessitent une attention particulière et si des plans détaillés d'entretien des applications opérationnelles ne sont pas élaborés. Le Ministère et l'Agence seront de plus en plus incapables de fournir aux intervenants les applications opérationnelles bien entretenues, sécurisées et disponibles nécessaires à la prestation des programmes et services, à moins que des mesures soient prises pour atteindre ou dépasser l'objectif minimal du SCT, pour régler les problèmes de vieillissement de la TI et pour moderniser le portefeuille d'applications opérationnelles. 8
4

Sans un entretien proactif, les biens matériels vieillissants sont sujets aux défaillances, peuvent ne plus être pris en charge et ne plus être compatibles avec les nouvelles applications opérationnelles nécessaires à l'atteinte des objectifs opérationnels.

La capacité du Ministère et de l'Agence à prendre des décisions stratégiques pleinement éclairées en matière de TI est entravée par l'absence de mesures et d'objectifs de rendement.

Étant donné que les décisions relatives à l'élimination des biens matériels liés à la TI ne sont pas fondées sur une analyse du cycle complet et des coûts et avantages, les biens liés à la TI ne sont pas aliénés en temps opportun afin de pouvoir bénéficier d'une nouvelle vie grâce au programme « Ordinateurs pour les écoles ». Le matériel vieillissant pose également des risques à la cybersécurité, car il peut ne plus être pris en charge et comptabilisé de manière adéquate.

9
Élimination des biens : l'élimination des biens liés à la TI respectait les exigences de Santé Canada et de l'ASPC. 4 Les données contenues dans les applications opérationnelles pourraient être utilisées de manière inappropriée ou être perdues si une autorité appropriée n'est pas mise en place pour superviser l'élimination des données et faire respecter les exigences du CT connexes. Des données utilisées de manière inappropriée ou perdues peuvent avoir des conséquences juridiques si des données requises par une obligation de préservation dans le cadre d'un litige en cours ou pour une demande d'AIPRP ne sont pas disponibles. 10
Note de bas de page 1

Risque résiduel si la recommandation n'est pas mise en œuvre.

Retour à la référence de la note de bas de page 1

Légende :

1 - Risque minime
2 - Risque faible
3 - Risque modéré
4 - Risque important
5 - Risque majeur

Détails de la page

Date de modification :