Vérification de la planification de la continuité des activités de la technologie de l’information Janvier 2007 Papier ISBN: SG5-14/2007F N˚ de cat. : 978-0-662-09749-5 PDF ISBN: SG5-14/2007F-PDF N˚ de cat. : 978-0-662-09750-1 Vérification de la planification de la continuité des activités de la technologie de l’information Janvier 2007 Numéro de projet : 6720 Équipe du projet : Dirigeante principale de la vérification interne par intérim : Barbara McNab Directeur général par intérim : Stuart Saint Directeur de la vérification TI : Paul LePage Gestionnaire de la vérification TI : Mike Winterburn Vérificateurs TI : Francois-Michel Brière Sandra O’Connor Denis L. Tisseur (Spearhead, Inc.) Table des matières SOMMAIRE....................................................................................................................... i 1.0 INTRODUCTION................................................................................................. 1 1.1 CONTEXTE ................................................................................................... 1 2.0 CONCLUSIONS 3 2.1 PLANIFICATION ET ORGANISATION............................................................... 3 2.1.1 PROTÉGÉ .................. ...
Vérification de la planification de la continuité des activités de la technologie de l’information
Janvier 2007
Numéro de projet :6720Équipe du projet : Dirigeante principale de la vérification interne par intérim : Directeur général par intérim : Stuart Saint Directeur de la vérification TI : Paul LePage Gestionnaire de la vérification TI : Mike Winterburn Vérificateurs TI : Francois-Michel Brière Sandra O’Connor Denis L. Tisseur (Spearhead, Inc.)
Barbara McNab
Table des matières
SOMMAIRE....................................................................................................................... i1.0INTRODUCTION................................................................................................. 11.1 CONTEXTE................................................................................................... 1 2.0CONCLUSIONS ................................................................................................... 32.1 PLANIFICATION ET ORGANISATION............................................................... 3 2.1.1PROTÉGÉ .................................................32.1.2Des évaluations des risques sont effectuées..........................................................52.2 PRESTATION ET SOUTIEN.............................................................................. 9 2.2.1PROTÉGÉ .............92.2.2Les activités sont gérées .....................................................................................132.2.3PROTÉGÉ ..............................................142.2.4Les exigences externes sont respectées...............................................................15Annexe A Mandat ........................................................................................................ 17Annexe B Plan d’action de gestion ............................................................................. 19
Vérification de la planification de la continuité des activités de la technologie de l’information
PROTÉGÉ
SOMMAIRE Selon Sécurité publique et Protection civile Canada, « un plan de continuité des activités (PCA) permet aux clients de recevoir sans interruption les services ou produits qui leur sont essentiels. Au lieu de se pencher sur la reprise des activités après la cessation d’opérations essentielles ou sur le rétablissement après une catastrophe, le plan de continuité des activités veille à ce que les opérations essentielles continuent à se dérouler et à être disponibles ». La vérification avait pour but de déterminer la qualité des PCA de la TI, par un examen de ces derniers, l’accent étant mis sur la planification et l’organisation, ainsi que sur la prestation et le soutien. Conclusion de la vérification: La vérification a permis de conclure que la plupart des environnements TI du Ministère ont de bons PCA; toutefois, nous avons relevé certains risques qui devraient être considérés pour garantir la continuité des services TI. Par le passé, les CTI du Ministère ont élaboré, mis en œuvre et renforcé des contrôles à l’intérieur de l’environnement des ordinateurs centraux. À noter que les recommandations qui suivent sont numérotées (p. ex. no 1, no 2) dans l’ordre chronologique où elles apparaissent dans le présent rapport, et que la direction ne les a pas encore classées par ordre de priorité.
PROTÉGÉ
Service Canada, Direction Générale de la vérification internei
ii
Vérification de la planification de la continuité des activités de la technologie de l’information
PROTÉGÉ
Service Canada, Direction Générale de la vérification interne
PROTÉGÉ
Vérification de la planification de la continuité des activités de la technologie de l information ’
Vérification de la planification de la continuité des activités de la technologie de l’information
PROTÉGÉ
Service Canada, Direction Générale de la vérification interne
Vérification de la planification de la continuité des activités de la technologie de l’information
1.0 INTRODUCTION 1.1 Contexte Conformément à la Politique sur la vérification interne du Secrétariat du Conseil du Trésor, la Direction de la vérification et de l’évaluation (DVE) de DSC a dressé un plan de vérification qui a été approuvé par le Comité de la vérification et de l’évaluation de DSC. L’une des vérifications d’assurance prévue dans ce plan est la vérification de la planification de la continuité des activités (PCA) dans le domaine de la technologie de l’information (TI). Selon Sécurité publique et Protection civile Canada (SPPCC), « un plan de continuité des activités permet aux clients de recevoir sans interruption les services ou produits qui leur sont essentiels. Au lieu de se pencher sur la reprise des activités après la cessation d’opérations essentielles ou sur le rétablissement après une catastrophe, le plan de continuité des activités veille à ce que les opérations essentielles continuent à se dérouler et à être disponibles ». Comme il est mentionné dans la norme de l’industrie, soit le périodique « Information Systems Control Journal, volume 4, 2005 » de l’Association des professionnel(le)s en Vérification et Contrôle des Systèmes d’Information (APVCSI), la gestion de la continuité des activités est un processus permanent d’évaluation et de gestion des risques qui a pour objet de garantir le maintien des activités dans l’éventualité où les risques se matérialisent. Ces risques pourraient provenir de facteurs externes comme une panne d’électricité, ou de facteurs internes comme des dommages délibérés ou accidentels au système. La continuité des activités ne comprend pas uniquement le rétablissement après une catastrophe; elle englobe tout ce qui peut avoir des répercussions sur la continuité du service (fonctions opérationnelles, administratives et TI). La PCA assure un équilibre entre des pertes possibles acceptables et des coûts acceptables. La vérification avait pour but de donner l’assurance que la PCA de la TI satisfait à un niveau de qualité approprié, par un examen des PCA de la TI, l’accent étant mis sur la planification et l’organisation ainsi que sur la prestation et le soutien.
PROTÉGÉ
PROTÉGÉ
Service Canada, Direction Générale de la vérification interne1