Audit de la modernisation du système de gestion des délinquant(e)s - étape 3

• Acronymes et abréviations
• Objectif global de l’audit
• Conclusion de l’étape 3 de l’audit
• Sommaire des constatations
• Recommandations issues de l’étape 3 de l’audit
• Suivi des recommandations de l’étape 2
• Constatations - gouvernance
• Constatations - gestion du changement organisationnel
• Constatations - processus de gestion du projet
• Constatations - ressources humaines du projet
• Constatations - approvisionnement
• Constatations - exigences opérationnelles
• Constatations - conception
• Constatations - développement
• Constatations - sécurité, protection des renseignements personnels, contrôles internes
• Constatations - données
• Réponse de la direction aux recommandations

Objectif global de l’audit

L’objectif de la présente approche d’audit, comportant de multiples étapes, est de fournir l’assurance que le cadre de contrôle de gestion en place pour le projet de modernisation du Système de gestion des délinquant(e)s (MSGD) garantira l’atteinte des rendements prévus et les résultats escomptés, dans le respect du calendrier, du budget et des spécifications.

L’approche d’audit en plusieurs étapes est répartie en trois sous-objectifs, qui comprennent tous des sous-critères précis:

1. Gouvernance et planification du projet
2. Gestion du projet
3. Cycle de développement des systèmes (CDS)

Cette troisième étape de l’audit visait à donner l’assurance que le SCC se prépare adéquatement à l’exécution des étapes de conception et d’élaboration de la première version du projet de MSGD pour les capacités liées à la gestion de cas et qu’il a mis en place des plans adéquats pour gérer le changement organisationnel, les données et les contrats pour soutenir le projet.

Une évaluation des risques a été réalisée au début de chaque étape afin de déterminer la portée spécifique de chaque étape de l’audit. Le présent rapport concerne l’étape 3. L’étape 1 s’est conclue en janvier 2022 et l’étape 2, en novembre 2023. L’étape 3 comprenait un suivi des recommandations de l’étape 2, dont les résultats sont présentés dans le présent rapport.

Conclusion de l’étape 3 de l’audit

L’équipe d’audit conclut que le SCC n’a atteint qu’une partie des objectifs associés à cette étape, et recommande quelques correctifs. Un développeur de solutions et un intégrateur de systèmes (IS) ont été trouvés et intégrés au projet avec succès, et les travaux de développement ont débuté sur la première étape pour la fonctionnalité de gestion des cas. Cependant, des obstacles majeurs se posent toujours au niveau de l’organisation et à la cadence dont le projet aurait besoin pour respecter le calendrier. L’exécution de la stratégie de données demeure un risque. Le plan global consiste à terminer le projet en 2027 à 2028, au coût de 205,6 M$.

Déjà, la capacité du projet à livrer la première version prévue de la fonctionnalité de gestion des cas en janvier 2026 est fortement à risque. La vitesse du projet a démarré plus lentement que prévu par rapport au plan du projet. De plus, à la suite d’une analyse opérationnelle plus poussée, des demandes de changement supplémentaires étaient nécessaires, ce qui pourrait augmenter le niveau d’effort requis pour Abilis et le SCC. Enfin, le plan de projet global pour la première version comprend de nombreux aspects technologiques de haut niveau qui pourraient nécessiter plus d’efforts et de temps. Un travail important est nécessaire pour l’évaluation et planification de l’architecture, l’intégration au SGD existant, le nettoyage des données, la conception des modèles de soutien opérationnel et infonuagique, et la planification de la mise hors service des fonctionnalités dans l’ancien SGD.

Une stratégie de gestion du changement organisationnel a été élaborée et des intervenants clés ont participé à des discussions sur le projet. Il n’y a aucune lacune importante à signaler dans les activités de gestion du changement à ce jour, et il ressort des entrevues avec les intervenants que ces derniers sont généralement disposés à apporter des changements et à adopter le nouveau système dans toute l’organisation. Bien que des mesures aient été prises pour donner suite aux recommandations de l’étape précédente, des risques résiduels demeurent sur des points importants, dont la stratégie relative aux données.

Sommaire des constatations

Critères d’audit	Résultat	Description des résultats par critère
Gouvernance et planification du projet
1a) Gouvernance	Partiellement satisfait	Il y a de nombreux comités et groupes de travail où sont représentés l’équipe de projet, le SGD ainsi que le personnel opérationnel des régions et de l’Administration centrale. Des séances de travail sur des points précis ont également eu lieu pendant l’été/automne 2024 entre l’équipe de projet et le personnel des SGI. Malgré cela, la coordination, la communication et la prise de décisions demeurent difficiles entre ces nombreux groupes.
1b) Gestion du changement organisationnel	Critère satisfait	Le projet a une stratégie de formation et de gestion du changement. Des activités de gestion du changement ont commencé dans plusieurs domaines. Différents comités et groupes de travail ont été formés, où tout l’organisme est représenté. Aucune opposition distincte ou importante au changement n’a été notée lors des entrevues avec le personnel opérationnel.
Gestion du projet
2a) Processus de gestion du projet	Non satisfait	L’organisme a un cadre de GP bien défini. L’équipe de projet s’affaire toujours à élaborer une stratégie de points de contrôle, pour s’accorder avec le plan en plusieurs étapes de la MSGD. Bien que le projet en soit encore aux premiers stades de son élaboration et exécution, des risques patents se posent déjà pour le calendrier et la capacité de livrer le premier module de gestion des cas d’ici janvier 2026. Il est recommandé d’examiner la viabilité du plan de projet.
2b) Ressources humaines du projet	Partiellement satisfait	En 2024, le SCC a intégré du personnel supplémentaire au projet, développé un organigramme et entrepris de clarifier les rôles et responsabilités respectifs, tout en dressant un document du type « méthodes de travail ». Il a aussi développé un cadre décisionnel. Malgré ces efforts, des risques résiduels demeurent pour ce qui est d’assurer une coordination efficace entre les équipes. Il y a eu d’autres réorganisations à l’automne 2024, et la prise de décisions en temps opportun a été notée comme un risque clé dans les rapports sur le projet.
2d) Approvisionnement	Partiellement satisfait	Le SCC a engagé et intégré un fournisseur de solutions (Abilis) et un IS (Accenture). Les contrats sont gérés au moyen d’autorisations de tâches, ce qui introduit des produits livrables clairs et apporte une marge de manœuvre pour la gestion globale du projet. Un processus d’examen et d’approbation des produits livrables est en place pour gérer le travail des entrepreneurs. Les attributions (rôles et les responsabilités) pourraient être définies de façon plus formelle avec l’IS, tandis qu’un plan d’approvisionnement plus complet et étoffé serait possible.
Cycle de développement des systèmes (CDS)
3a) Exigences opérationnelles	Partiellement satisfait	Des travaux sont en cours pour préciser les exigences avec Abilis et l’équipe de projet. Une évaluation concordance/écarts avait été effectuée en 2023-2024, mais après analyse plus approfondie, une série de demandes de changements s’est avérée nécessaire; les répercussions de ceux-ci sont toujours en cours d’analyse.
3b) Conception	Partiellement satisfait	Le projet nécessite un important travail d’intégration de systèmes et de technologie. Les SGI évaluent un modèle d’« architecture axée sur les événements » et sont en discussion avec SPC sur le futur modèle infonuagique. Il y a des risques que les efforts consacrés à la solution prévue ne soient pas entièrement pris en compte dans le plan et le budget actuels du projet.
3c) Développement	Partiellement satisfait	Le développement du système a commencé, mais semble déjà accumuler des retards, et il serait possible de mesurer les progrès de façon plus précise. Il est recommandé d’évaluer le plan de lancement afin d’envisager une version provisoire, relativement modeste.
3g) Sécurité, protection des renseignements personnels, contrôles internes	Partiellement satisfait	Le SCC a établi un processus défini d’évaluation de sécurité et d’autorisation, que le projet de MSGD a entamé. Cependant, aucun spécialiste de la sécurité des TI n’a encore été affecté à la conception et au développement du projet.
3h) Données	Non satisfait	Le travail sur les données pour la MSGD a fait l’objet de nombreuses réorganisations, et il reste difficile de savoir exactement qui est responsable de la stratégie de données. Un plan de données plus détaillé est nécessaire.

Recommandations issues de l’étape 3 de l’audit

Objectif de l’audit	Recommandations
Gouvernance et planification du projet	Aucune recommandation.
Gestion du projet	L’équipe de projet devrait examiner le plan de projet en coordination avec les SGI dans le but de préciser les estimations d’efforts requis et d’échéanciers, surtout pour l’intégration de systèmes et les aspects qui concernent plus particulièrement les SGI. L’équipe de projet, en consultant les SGI, devrait travailler avec l’IS à produire des documents clairs sur les rôles et responsabilités de l’IS. L’équipe de projet devrait mettre à jour la stratégie d’approvisionnement pour qu’elle donne une vue d’ensemble des rôles et responsabilités, des processus de gestion des contrats et des enjeux, des dépenses d’approvisionnement prévues par année et des contrats à ce jour. Cette stratégie devrait être mise à jour chaque année.
2. Fournir l’assurance que le SCC a mis en œuvre des pratiques de GP efficaces qui comprennent la surveillance de la gestion du projet et la production de rapports connexes (c'est-à-dire portée, calendrier, budget, gestion de la qualité), les ressources humaines du projet, la gestion des risques et des enjeux et la gestion de l’approvisionnement.
Cycle chronologique d’élaboration des systèmes (CCES)	Le SCC devrait élaborer un modèle de prise en charge global pour déterminer les ressources nécessaires à l’utilisation parallèle de l’ancien SGD et de la nouvelle solution, ainsi qu’un plan de mise hors service connexe pour la fonctionnalité du système existant. Le SCC devrait évaluer l’opportunité de versions provisoires de la fonctionnalité entre les phases, à savoir avant la version primaire du module de gestion des cas. Les versions provisoires devraient mettre l’accent sur les plus petits éléments de fonctionnalité, les essais d’intégration, la satisfaction des utilisateurs et la qualité des données. L’équipe de projet devrait améliorer ses rapports sur les activités de développement, afin de déterminer si elle termine l’élaboration des exigences opérationnelles conformément au plan de projet. La Sécurité des TI devrait affecter un spécialiste de la sécurité des TI pour qu’il contribue au projet de MSGD. Le SCC devrait mettre à jour sa stratégie et son plan de données afin de clarifier les attributions, les efforts requis, et la concordance avec le plan de projet de la MSGD.
3. Fournir l’assurance que le SCC a mis en œuvre une méthode efficace relative au cycle de développement des systèmes qui comprend les exigences opérationnelles, la conception, le développement, les essais, la mise en œuvre et le déploiement, la transition vers les opérations, ainsi que la sécurité, la protection des renseignements personnels et les contrôles internes.

Suivi des recommandations de l’étape 2

Six recommandations ont été faites lors de la dernière étape d’audit qui s’est terminée en novembre 2023. La présente section porte sur les mesures prises à la suite de ces recommandations et sur les risques résiduels. Les constatations générales sur tous les critères examinés à cette étape sont présentées dans la section des constatations détaillées.

Recommandations	État de mise en œuvre du PAD	Résultats	Risque résiduel
1. Le parrain du projet MSGD doit garantir des comités de gouvernance et des groupes de travail sont adéquats avec la direction du personnel de SGI et un engagement continu du personnel opérationnel.	Terminé	Des comités, des groupes de travail et des séances de travail ont été menés entre les SGI et l’équipe de projet de la MSGD, mais la communication et la coordination dans l’ensemble du projet s’avèrent systématiquement problématiques.	Moyen
2. Le SCC devrait élaborer un plan de données pour soutenir la conception et le développement de la MSGD, et s’assurer qu’il est harmonisé avec la stratégie globale de données d’entreprise du ministère.	En cours	Une stratégie de données globale a été définie au printemps 2023 et présentée aux comités de surveillance, mais on n’a pas encore terminé de plan viable pour la mettre en pratique. Les rôles et les responsabilités pour exécuter le plan de données ne sont toujours pas définis et consignés.	Élevé
3. Le comité directeur de la MSGD devrait recevoir régulièrement des rapports sur les progrès et les dépendances de la stratégie de données de l’organisation.	Terminé	Le comité directeur a reçu des rapports réguliers sur les risques et les enjeux du projet. La stratégie de données y figure comme un risque important.	Mineur
4. L’équipe de projet de la MSGD devrait mettre à jour le plan relatif aux points de contrôle du projet et clarifier les CDS et du projet requis pour chaque point de contrôle.	En cours	L’équipe de projet est en train de mettre à jour la stratégie de points de contrôle, pour qu’elle tienne compte des trois versions prévues dans le cycle de vie du projet. Cette stratégie devrait être finalisée et approuvée par la gouvernance avant la prochaine décision sur les points de contrôle. Des risques résiduels demeurent quant à la GP, plus précisément au calendrier et au plan de projet.	Élevé
5. L’équipe du projet de MSGD devrait collaborer avec les SGI pour finaliser l’organigramme, les rôles et responsabilités ainsi que la stratégie de RH.	Terminé	L’équipe de projet de la MSGD a élaboré avec les SGI un organigramme et des documents sur les méthodes de travail, afin de délimiter les rôles et responsabilités respectives dans l’organisation. Au cours de l’été et de l’automne 2024, l’équipe de projet et les SGI sont passés par une série de réorganisations quant aux ressources et aux structures d’équipe. Certaines difficultés demeurent pour ce qui est d’assurer une bonne communication et une prise de décisions efficace entre les divers intervenants du projet.	Modéré
6. SGI devrai articuler l’infrastructure infonuagique et les exigences de support nécessaires pour prendre en charge MSGD et assurer l’alignement de l’infrastructure cloud et des exigences de support de MSGD sur la stratégie infonuagique du ministère.	En cours	Les SGI ont actualisé la stratégie d’infonuagique organisationnelle, mais une incertitude persiste quant au rôle de SPC dans le modèle d’infonuagique du projet du SCC. Les coûts ministériels pourraient dépasser les prévisions initiales pour le maintien d’une infrastructure infonuagique si la participation de SPC est minimale.	Mineur

Constatations - gouvernance

1.1 Critère - Des structures de gouvernance efficaces et adéquates sont en place pour assurer la surveillance du projet, y compris des risques résiduels ressortant du suivi des recommandations antérieures.

Points forts relevés

Formé en 2022, le comité directeur de la MSGD se réunit régulièrement. Les risques et les problèmes lui sont signalés.

Plusieurs comités et groupes de travail au sein du SCC tiennent des discussions et prennent des décisions sur la MSGD, dont les comités organisationnels (par exemple, Comité de direction, CGSGI), un comité directeur de projet, des comités où sont représentées les Régions (par exemple, EMIGD, Réseau de gestion du changement), un groupe de travail des DG et un autre, consacré à la formation. La MSGD est également sous la supervision du SCT en tant que projet, tandis que l’équipe de projet livre régulièrement au SCT des rapports d’étape et des tableaux de bord.

Risques, défis et possibilités d’amélioration

La participation à certains comités, comme l’EMIGD, pourrait être plus assidue.

De nombreux intervenants au SCC ont souligné que la communication et la coordination demeuraient difficiles, en particulier pour les décisions d’ordre technologique, la stratégie de données, et les activités des SGI dans le cadre du projet.

Conséquences

Le défaut d’inclure adéquatement les SGI dans la gouvernance de projet et les groupes de travail de la MSGD pourrait conduire à des activités de conception et de développement inefficaces, à d’éventuelles retouches, et à des lacunes dans certains aspects technologiques nécessaires pour une solution utilisable.

Recommandations

Aucune

Constatations - gestion du changement organisationnel

1.2 Critère - Le SCC gère adéquatement l’état de préparation organisationnelle, la résistance au changement et la participation des intervenants.

Points forts relevés

L’équipe de projet de la MSGD a un groupe dédié à la gestion du changement. Le projet a été doté d’une stratégie de gestion du changement et d’une stratégie de formation, dont les premières démarches ont déjà commencé.

Des intervenants clés ont été mobilisés dans l’ensemble de l’organisme. Des groupes de travail et des comités ont été formés, avec représentation des régions et de l’Administration centrale. Un effort de communication vient d’être déployé au sujet du nouveau nom de la MSGD, ce qui contribue à faire connaître le projet au personnel.

L’équipe de vérification de Samson a interrogé des cadres choisis représentant les opérations et les fonctions opérationnelles, dans les diverses régions de l’organisation. D’après les personnes interrogées, l’ancien SGD a besoin d’être remplacé, et le personnel accueillerait volontiers un nouveau système plus facile à utiliser. À ce jour, ni le personnel ni les groupes opérationnels n’ont manifesté de résistance particulière au changement.

Risques, défis et possibilités d’amélioration

Beaucoup de processus opérationnels, de politiques et de formations ne sont pas encore mis en œuvre ou planifiés en détail. Certaines personnes interrogées soulignent l’importance d’assurer une formation suffisante pour le personnel avant le lancement du produit.

Conséquences

Les activités de gestion du changement sont très étroitement liées au développement de solutions et aux plans de déploiement. Les retards dans le développement du système peuvent avoir des répercussions en aval, limitant le temps disponible pour la gestion du changement.

Recommandations

Aucune

Constatations - processus de gestion du projet

2.1 Critère - Des processus adéquats sont en place pour gérer le calendrier, la portée, le budget et la qualité du projet, y compris les risques résiduels ressortant du suivi des recommandations antérieures.

Points forts relevés

L’équipe de la MSGD a adopté, pour le développement et la mise en œuvre, une approche en trois étapes, fondée sur les capacités opérationnelles, qui commence par la gestion des cas.  Le lancement du module de gestion des cas est prévu en janvier 2026. Les activités de GP sont menées par l’équipe de projet de la MSGD et soutenues par les ressources d’Accenture.

Le SCC a un cadre de GP bien défini, qui guide les projets dans un processus de points de contrôle avec des éléments de GP autant que de développement de systèmes. Le projet de MSGD a suivi ce processus jusqu’à présent, franchissant les points de contrôle 1, 2 et 2.5 et une demande de changement à la base de référence du projet avec l’approbation du Conseil de gestion des investissements.

Compte tenu du processus de développement par étapes, l’équipe de projet de la MSGD travaille avec le BGP de gouvernance de la GI-TI pour modifier la stratégie de points de contrôle afin qu’elle prévoie des décisions distinctes pour le développement et le déploiement de chaque module. Les travaux pour l’adaptation de la stratégie et des produits livrables connexes pour cette approche progressive se poursuivent.

L’équipe de projet de la MSGD a dressé une feuille de route générale et un plan de projet intégré pour l’élaboration et la publication du module de gestion des cas.

Risques, défis et possibilités d’amélioration

Bien que le projet soit encore aux premiers stades de son élaboration et exécution, il existe déjà des risques importants concernant le calendrier du projet et la capacité à livrer le premier module de gestion de cas d’ici janvier 2026.

L’équipe de projet a dressé un plan de projet intégré en 2024, mais bon nombre des activités qui y figurent ne sont définies que de façon générale, avec un effort requis estimatif. En particulier, le plan contient de nombreux aspects technologiques nécessitant une participation directe des SGI, qui pourraient prendre plus de temps que prévu à l’origine; entre autres, le développement d’une architecture axée sur les événements, l’infrastructure infonuagique, le nettoyage des données et l’intégration du SGD existant. De nombreuses personnes interrogées aux SGI ont fait remarquer qu’elles n’avaient que peu participé à définir les estimations du plan de projet et que celui‑ci risquait très fortement de nécessiter des travaux supplémentaires.

Par ailleurs, il ressort d’une analyse plus détaillée des besoins fonctionnels que la solution de base doit être personnalisée davantage si l’on veut qu’elle puisse assurer la gestion de cas dont l’organisme a besoin.  Plusieurs demandes de changement ont été soumises à Abilis, et le niveau d’effort estimatif n’avait pas encore été déterminé au moment de la vérification. L’augmentation potentielle du niveau d’effort requis est une pression de plus quant au respect de l’échéance de janvier 2026.

Conséquences

Des estimations non fiables dans la planification de projet peuvent entraîner des retards et obliger à reporter des versions.

Recommandations

L’équipe de projet du SCC devrait examiner le plan de projet en concertation avec les SGI dans le but de préciser les estimations des efforts et du calendrier, en particulier pour l’intégration des systèmes et les aspects du projet qui impliquent les SGI.

Constatations - ressources humaines du projet

 2.2 Critère - Des pratiques adéquates de gestion des RH ont été planifiées et mises en œuvre pour le projet, y compris les risques résiduels ressortant du suivi des recommandations antérieures.

Points forts relevés

En 2024, l’équipe de projet de la MSGD a intégré des employés supplémentaires et augmenté son effectif en ajoutant des IS dans de nombreux rôles de développement de système et de projet. Des experts de l’ensemble du Ministère ont été intégrés à l’équipe de projet.

Le SCC a entrepris une réorganisation structurelle pour que la responsabilité de projet et la gestion des RH relèvent d’un cadre supérieur unique.  En octobre 2024, il y a eu une autre réorganisation, pour fusionner les équipes de projet et de technologie des SGI.

L’équipe de projet a mis à jour l’organigramme et produit un document du type « méthodes de travail » en concertation avec les SGI pour clarifier les responsabilités et les relations entre les équipes. Elle a aussi rédigé un document de cadre décisionnel, pour définir les responsabilités et accélérer la prise de décisions au niveau hiérarchique approprié compte tenu de l’importance de la décision.

Risques, défis et possibilités d’amélioration

L’équipe de projet observe toujours du roulement de personnel aux principaux postes de chefs de projet. En 2024, il y a eu plusieurs réorganisations d’équipe entre l’équipe de projet et les SGI dans les domaines de la technologie et des données.

Compte tenu de la portée de la MSGD, il y a plusieurs équipes dans l’ensemble du SCC qui concourent au projet, en plus du fournisseur de solution et de l’IS. Considérées par plusieurs répondants comme des difficultés permanentes, la communication, la coordination et la prise de décisions ont été inscrites dans le registre des risques du projet.

Conséquences

Une intégration insuffisante des équipes de projet au niveau de travail peut nuire à l’efficacité du projet et retarder la prise de décisions.

Recommandation

Aucune

Constatations - approvisionnement

2.4 Critère - Des mécanismes d’approvisionnement adéquats sont disponibles en temps opportun pour appuyer le projet.

Points forts relevés

Le SCC a effectué des acquisitions et aussi conclu un contrat avec un développeur de solutions et un IS pour le projet. Les deux fournisseurs ont été intégrés, et les travaux de conception et de développement des systèmes, entamés. La passation de marchés pour les deux fournisseurs est gérée par l’équipe de projet de la MSGD.

Le SCC a adopté une approche de passation de marchés avec autorisations de tâches, qui lui permet de conclure des contrats avec les fournisseurs en plusieurs éléments avec des produits livrables définis.

Il existe un processus de passation de marchés consigné par écrit pour gérer le travail et l’acceptation des produits livrables. À l’examen des documents de passation de marchés, l’équipe de Samson peut confirmer que le processus de passation de marchés est bien conçu et en place. L’équipe de projet de la MSGD doit faire preuve d’une diligence raisonnable en permanence pour s’assurer que le rendement de l’entrepreneur répond aux attentes et que les produits livrables sont conformes aux exigences énoncées.

Risques, défis et possibilités d’amélioration

Le projet de MSGD fait intervenir plusieurs groupes au sein de l’organisme et les rôles et responsabilités des IS ne sont pas toujours clairement définies au niveau de travail dans certains domaines, notamment aux SGI et dans les décisions relatives à la technologie. Il n’y a pas de matrice RACI ni de document de rôles et responsabilités relativement à l’IS.

Le SCC n’a toujours pas de plan d’approvisionnement écrit complet pour le projet. Des contrats sont signés, et une enveloppe de financement approuvée existe pour les activités de passation de marchés décrites dans les présentations au CT. Le prochain point de contrôle nécessitera de préciser les plans d’approvisionnement; cependant, ceux-ci n’ont à donner que la liste des dépenses à ce jour.

Conséquences

L’ambiguïté des rôles et responsabilités de l’IS pourrait gêner le processus décisionnel et entraver le rythme de réalisation du projet. Les délais de prise de décisions ressortent comme l’un des principaux risques dans les derniers rapports d’étape. En particulier, à cette étape du projet, de nombreuses décisions de technique et de conception liées à l’intégration des systèmes exigent que l’IS et les SGI se concertent, et que l’on sache exactement qui est responsable des décisions.

Faute d’un plan d’approvisionnement écrit et complet, l’organisation ne peut surveiller et rendre compte que dans une mesure limitée les activités d’approvisionnement par rapport au plan général du projet. À titre d’exemple : à ce jour, le SCC a utilisé moins de ressources contractuelles que le prévoyait l’enveloppe d’approvisionnement initiale, mais l’importance relative de cette réduction et ses répercussions potentielles en aval n’ont pas été entièrement analysées. Un plan d’approvisionnement sert également d’outil de gestion des contrats pour clarifier les rôles et responsabilités des fournisseurs ainsi que les attentes envers ces derniers. Bien que le SCC ait choisi de ne pas établir de bureau de gestion de la valeur distinct pour le projet, l’équipe de projet demeure responsable des fonctions de gestion des contrats afin de s’assurer que le SCC en ait pour son argent tout au long du cycle de vie de l’approvisionnement.

Recommandations

L’équipe de projet de la MSGD, en concertation avec le SGI, devrait produire avec l’IS une documentation plus claire sur les rôles et responsabilités de l’IS.

L’équipe de projet de la MSGD doit mettre à jour l’élément de projet « stratégie d’approvisionnement » afin de décrire globalement les rôles et responsabilités, les processus de gestion des contrats et des enjeux, les dépenses d’approvisionnement prévues par année et la passation de marchés à ce jour. Cette stratégie devrait être mise à jour chaque année.

Constatations - exigences opérationnelles  

3.1 Critère - Les exigences opérationnelles du projet ont été officiellement documentées, placées en ordre de priorité et approuvées, et des processus sont en place tout au long du projet.

Points forts relevés

Le projet a une équipe dédiée à l’amélioration des exigences opérationnelles et de la conception de solutions.

Une analyse concordance/écarts a été faite pour déterminer si la solution pouvait répondre aux exigences opérationnelles. Il en ressort que c’est bien le cas.

À présent, on s’efforce activement avec Abilis de peaufiner les exigences liées à la gestion des cas.

Risques, défis et possibilités d’amélioration

Une analyse plus détaillée des exigences révèle toutefois des points d’incompatibilité inattendus entre la solution de base d’Abilis et les besoins du SCC. De ce fait, certaines exigences n’ont pas été acceptées dans le processus de développement, d’où une charge de travail plus lourde que prévu et une série de demandes de changements. L’analyse se poursuit pour déterminer si le produit d’Abilis pourra offrir ce qui est réclamé dans les demandes de changement, et l’incidence sur la conception de la solution et le calendrier des produits n’est pas encore connue.

L’équipe de projet de la MSGD responsable de l’analyse opérationnelle connaît du roulement de personnel.

Conséquences

Les demandes de changements imprévues peuvent entraîner des retards dans le projet et faire modifier le calendrier ou la conception de la solution.

Recommandations

Aucune

Constatations - conception

3.2 Critère - Les activités de conception de système, y compris l’architecture et les témoignages d’utilisateurs, sont efficaces pour fournir une orientation adéquate en vue du développement, y compris en ce qui concerne les risques résiduels ressortant du suivi des recommandations antérieures.

Points forts relevés

Le SCC a choisi d’élaborer et de déployer la nouvelle solution de MSGD parallèlement alors que l’ancien système de MSGD demeure opérationnel. Bien qu’elle réduise le risque de changements trop brusques, cette formule complexifie l’intégration. Le SCC étudie un modèle dit « d’architecture axée sur les événements » pour connecter ses bases de données et ses systèmes.

Pour la solution, l’équipe de la MSGD a choisi un modèle infonuagique, qui nécessitera une importante prise en charge des SGI pour implanter et entretenir l’infrastructure ainsi rendue nécessaire. Bien que le gouvernement eût annoncé à la fin de 2023 que SPC jouerait un rôle plus important dans les activités d’infonuagique du Ministère, SPC n’a toujours pas clarifié son niveau de participation à la gestion du nuage de la MSGD. Le travail sur la stratégie d’infonuagique pour la MSGD se poursuit donc, la petite équipe des SGI répondant aux besoins infonuagiques actuels pour les essais dans le processus de développement.

Risques, défis et possibilités d’amélioration

Le modèle d’architecture axée sur les événements offre l’occasion d’intégrer des systèmes dans une architecture moderne; par contre, ce serait une formule nouvelle pour le SCC, qui pourrait nécessiter des efforts importants dont le plan et le budget actuels du projet ne rendraient pas entièrement compte. Des démarches d’approvisionnement supplémentaires pourraient aussi être nécessaires.

Les SGI n’ayant qu’une équipe réduite pour les infrastructures infonuagiques, l’exploitation d’un nuage pour la MSGD pourrait leur causer des pressions financières.

Le travail de fond n’a pas encore commencé pour définir à quoi ressemblera le modèle pour exploiter les SGD actuel et la nouvelle solution en parallèle.

Conséquences

Il se pourrait que le travail d’architecture complexe exigé par le projet de MSGD ne soit pas être entièrement financé ou pris en compte dans l’échéancier.

Le choix du moment pour mettre hors service les fonctionnalités de l’ancien SGD ne sera pas sans conséquences sur les ressources et les coûts des SGI.

Recommandations

Le SCC devrait définir un modèle de prise en charge global déterminant les ressources nécessaires pour exploiter en parallèle l’ancien SGD et la nouvelle solution, ainsi qu’un plan connexe de mise hors service pour la fonctionnalité du système existant.

Constatations - développement

3.3 Critère - Des activités de développement efficaces sont menées pour veiller à ce que le projet puisse répondre aux exigences opérationnelles et aux paramètres de conception.

Points forts relevés

Alors que le développement du système est assuré principalement par le fournisseur de solution Abilis, le développement de la solution MSGD est intégré au plan de lancement plus large de la solution Abilis CORIS, qui prévoit des mises à jour logicielles environ tous les quatre mois. L’équipe de projet du SCC s’efforce de fournir à Abilis les exigences opérationnelles en matière de développement pour chaque cycle de diffusion.

Risques, défis et possibilités d’amélioration

Le projet commence à perdre de la vitesse pour affiner les exigences opérationnelles pour chaque cycle de diffusion d’Abilis. L’équipe de projet du SCC n’a pas de méthodologie détaillée pour mesurer et rendre compte de la cadence des activités de développement réalisées par cycle de mise en production. Par conséquent, les glissements dans les activités de développement ne se reflètent pas nécessairement dans les rapports généraux sur l’état de santé et le calendrier du projet.

Le projet a été divisé en trois étapes, dont la première est le module de gestion des cas, pour janvier 2026. Les risques envers la capacité du SCC à respecter cette échéance se concrétisent déjà, car on approche un tournant critique pour que le développement de la fonctionnalité puisse se faire à l’hiver 2025.

Bien que le projet soit déjà divisé en trois étapes, celle de la gestion des cas est une étape importante et complexe qui comporte quelques jalons intermédiaires ainsi que des cas où de nouvelles fonctionnalités sont déployées au sein de l’organisation avant le lancement. En tant que première étape, elle a aussi plus de liens de dépendance avec le travail architectural et technologique nécessaire pour la nouvelle solution. En raison de cette approche en cascade, des retards dans un seul élément clé peuvent se répercuter sur l’échéancier dans son ensemble, qui semble déjà menacé après à peine quelques mois d’activités de développement.

Conséquences

L’absence de rapports détaillés peut entraîner l’accumulation de dettes techniques, c'est-à-dire, que davantage d’exigences opérationnelles devront être satisfaites aux stades ultérieurs alors que le plan de projet et les tableaux de bord n’en rendent pas compte.

Il ne sera pas nécessairement possible de compenser la cadence de développement réduite, le temps perdu à cause des retouches ou les besoins supplémentaires par une plus grande efficacité/productivité à long terme; le calendrier global du projet connaîtra plutôt des retards.

Il se peut que les étapes plus longues, comme celles de la gestion des cas, risquent d’être retardées tandis que de plus petits éléments de fonctionnalité pourraient être développés et déployés plus tôt. Les versions d’éléments de fonctionnalité relativement petits et non névralgiques permettent également de réaliser des essais d’intégration plus importants et de réduire les nettoyages de données nécessaires pour chaque version.

Recommandations

Le SCC devrait évaluer l’opportunité de versions provisoires de la fonctionnalité entre les phases, à savoir avant la version primaire du module de gestion des cas. Les versions provisoires devraient mettre l’accent sur les plus petits éléments de fonctionnalité, les essais d’intégration, la satisfaction des utilisateurs et la qualité des données.

L’équipe de projet de la MSGD devrait améliorer ses rapports sur les activités de développement, afin de déterminer si elle satisfait aux exigences opérationnelles conformément au plan de projet.

Constatations - sécurité, protection des renseignements personnels, contrôles internes

3.7 Critère - Les risques en matière de sécurité de la TI, de protection des renseignements personnels et d’intégrité de l’information sont évalués, et des contrôles adéquats sont intégrés dans les activités de conception et de développement.

Points forts relevés

Le SCC dispose d’un processus écrit d’évaluation et autorisation de sécurité, auquel le projet de MSGD va adhérer. L’équipe de la sécurité des TI du SCC a été sollicitée pour lancer le processus, tandis que l’équipe de projet de la MSGD a fait des ébauches de certains des premiers produits livrables pour le processus d’évaluation de la sécurité, dont une évaluation des facteurs relatifs à la vie privée et un énoncé de sensibilité.

L’évaluation et autorisation de sécurité de l’ancien SGD vient d’être renouvelée, donnant l’assurance que celui‑ci est sûr le temps qu’on développe la nouvelle solution et que les deux systèmes soient utilisés en parallèle.

Risques, défis et possibilités d’amélioration

Pour les projets d’envergure, il arrive souvent que la Sécurité des TI affecte un spécialiste de la sécurité, pour donner des conseils et des commentaires durant la conception et le développement des solutions. C’est ce qu’on appelle parfois « sécurisation dès la conception » (secure by design). Aucun spécialiste de la sécurité n’a encore été affecté à la MSGD. Un nouveau rôle a été créé, avec le projet que la Sécurité des TI participe plus fortement à l’avenir.

Conséquences

Le manque de sécurité informatique dans le processus de développement peut entraîner des lacunes de sécurité dans la conception de la solution qui nécessiteront des retouches.

Recommandations

La Sécurité des TI devrait affecter un spécialiste de la sécurité des TI au projet de MSGD.

Constatations - données

3.8 Critère - Des pratiques efficaces de gouvernance et de gestion des données sont en place tout au long du projet, y compris la migration des données, y compris les risques résiduels ressortant du suivi des recommandations antérieures.  

Points forts relevés

En 2023 à 2024, le projet comportait au sein des SGI une « équipe des données tactiques », qui était responsable aussi bien de la stratégie de données organisationnelle que des activités de données pour le projet de MSGD. L’organisme s’est doté d’une stratégie de données, qui, mise à jour périodiquement, a été approuvée par la gouvernance pour la dernière fois en 2023.

Les comités directeurs et de gestion ont été régulièrement tenus au courant de la stratégie de données et des risques connexes.

En phase d’exécution depuis de nombreuses années, le Projet d’infrastructure des données pourrait être presque terminé. Les divers outils pour la qualité et la mise en correspondance des données ont été développés pour ce projet, qui pourraient être utiles à la MSGD.

Des activités de mise en correspondance des données ont été entreprises en 2024, le travail se poursuit dans ce domaine.

Risques, défis et possibilités d’amélioration

Le travail sur les données au sein de l’organisation a connu en 2024 de nombreuses réorganisations. En été, l’équipe des données tactiques a été dissoute et plusieurs employés sous contrats ont été licenciés. Une bonne part du personnel aux données restant a été mutée aux équipes de projet d’analyse technique et opérationnelle de la MSGD.

À l’automne 2024, une réorganisation plus poussée a été faite pour fusionner l’équipe de projet technique de la MSGD avec une équipe technologique intégrée au sein des SGI.

Après ces réorganisations, il reste difficile de savoir qui exactement a la responsabilité de piloter et d’exécuter la stratégie de données pour la MSGD, même si plusieurs groupes, dans l’équipe de projet et aux SGI, jouent des rôles nécessaires dans le nettoyage et la migration des données.

Risques, défis et possibilités d’amélioration

Il existe une stratégie de données organisationnelle globale, mais pas de plan clair détaillant comment doit se dérouler la modernisation de données que nécessitera le nouveau module de gestion des cas.

Les évaluations sur la qualité des données de l’ancien SGD révèlent un grand nombre d’erreurs et de problèmes, qui nécessiteront un nettoyage.

Les activités de nettoyage des données ne font que commencer, mais elles vont demander un certain effort au personnel opérationnel de l’ensemble de l’organisation, qui devra faire des mises à jour manuelles. Piloté par l’équipe de projet d’analyse opérationnelle, cet effort exigera beaucoup de coordination.

Conséquences

Le défaut de fournir des données exactes et fiables pour la nouvelle solution MSGD entravera le développement et la mise à l’essai, pourrait affecter le déploiement et l’utilisation du nouveau système.

Recommandations

Le SCC devrait mettre à jour sa stratégie et son plan de données afin de clarifier les rôles et responsabilités, les efforts requis, et la concordance avec le plan de projet de la MSGD.

Réponse de la direction aux recommandations

La Direction a accepté les recommandations, et un plan d’action de la direction a été créé en guise de réponses à ces recommandations.