FINAL Report - Audit of the IT Function-f1
Description
VÉRIFICATION DE LA TECHNOLOGIE DE L'INFORMATION RAPPORT FINAL Adressé à : Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) Conseil de recherches en sciences humaines du Canada (CRSH) Présenté par : progestic international inc. 2650, rue Queensview, bureau 245 Ottawa (Ontario) K2B 8H6 Le 27 janvier 2005 Vérification de la technologie de l'information Le 27 janvier 2005 TABLE DES MATIÈRES 1 SOMMAIRE.......................................................................................................................................................1 2 INTRODUCTION..............................................................................................................................................6 3 CADRE DE GESTION......................................................................................................................................7 3.1 STRUCTURE DE GESTION..............................................................................................................................7 3.2 LE PLAN DE TI ET LA VISION DE LA TI .........................................................................................................8 3.3 GESTION DES RISQUES...............................................................................................................................12 3.4 PLAN DE SÉCURITÉ DE LA TI.................................. ...
Informations
| Publié par | Ensoo |
| Nombre de lectures | 47 |
| Langue | English |
Extrait
VÉRIFICATION DE LA TECHNOLOGIE DE L'INFORMATION RAPPORT FINAL Adressé à : Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) Conseil de recherches en sciences humaines du Canada (CRSH) Présenté par : progestic international inc. 2650, rue Queensview, bureau 245 Ottawa (Ontario) K2B 8H6 Le 27 janvier 2005
Vérification de la technologie de l'information
TABLE DES MATIÈRES
Le 27 janvier 2005
11.....................................................................................RE..MMAISO................................................................2ITNTCOIORUD..................................................N.................................................................................6...........3CADRE DE GESTION......................................................................................................................................73.1STRUCTURE DE GESTION.7.............................................................................................................................3.2LE PLAN DETIET LA VISION DE LATI .........................................................................................................83.3GESTION DES RISQUES2.1..............................................................................................................................3.4PLAN DE SÉCURITÉ DE LA................................TI.....................1.3................................................................3.5POLITIQUES ET NORMES DETI ...................................................................................................................143.6L'ACCORD SUR LES NIVEAUX DE SERVICE.1.5................................................................................................3.7PLAN DE REPRISE APRÈS UN SINISTRE.......................................................................................71.................4 .........................................................................19GESTION DU SOUTIEN DES UTILISATEURS FINALS5 .........................................................................................................24GESTION DE L'INFRASTRUCTURE5.1GESTION DE L'INFRASTRUCTURE DE LADSI ..............................................................................................245.2SÉCURITÉ DE L'INFRASTRUCTURE2.6.............................................................................................................5.3GESTION DES CHANGEMENTS ET GESTION DES VERSIONS........7.2.................................................................6 .................................................................................................................29ÉLABORATION DE SYSTÈMES6.1PROJETS SPÉCIAUX...................................................................................................................92.................6.2ÉLABORATION ET ENTRETIEN DE SYSTÈMES POUR LES APPLICATIONS DE BASE......................................3...0ANNEXE A : SOMMAIRE DES RECOMMANDATIONS....................................................................................1ANNEXE B : RENSEIGNEMENTS D'APPOINT SUR LA VÉRIFICATION.....................................................1B1:OBJECTIFS DE VÉRIFICATION.............................................................................1..........................................B2:PORTÉE DE LA VÉRIFICATION1......................................................................................................................B3:MÉTHODOLOGIE.................................................................1.........................................................................B4:REMERCIEMENTS..........................2...............................................................................................................ANNEXE C : DSI - RENSEIGNEMENTS D'APPOINT.........................................................................................1ANNEXE D : AUGMENTATION DE LA COMPLEXITÉ ....................................................................................1ANNEXE E : LISTE DES PERSONNES INTERROGÉES ....................................................................................1ANNEXE F : REPRÉSENTATION VISUELLE DES SECTEURS QUI ONT ÉTÉ ABORDÉS PENDANT LA VÉRIFICATION DE LA TI CRSNG-CRSH .....................................................................................................1Description des tableaux : Tableau 1 : Moteurs de la TI Tableau 2 : Identification des effectifs participant à l'élaboration des projets spéciaux Tableau 3 : Groupes d'élaboration de systèmes d'application centraux Tableau 4 : Répartition des employés / consultants à l'intérieur de la DSI Tableau 5 : Identification des employés actifs dans les activités d'élaboration / entretien de systèmes
progestic international inc. final Rapport
Pagei
Vérification de la technologie de l'information
Le 27 janvier 2005
1SOMMAIRE Introduction Objectifs Deux objectifs de vérification ont été identifiés pour la vérification de la technologie de l'information (TI). 1.Évaluer le cadre de contrôle de gestion de la Division des services d'information (DSI) pour s'assurer que la fonction TI soit gérée de manière efficace et efficiente. 2.Revoir, examiner et évaluer l'efficacité de toutes les gammes de services de la DSI, les activités opérationnelles de la TI, les fonctions technologiques et les processus centraux. PortéeDSI. Elle a couvert les points suivants :La vérification a insisté principalement sur la •Le cadre de contrôle de gestion de la DSI; ensemble des fonctions, services, processus et activités opérationnels de la TI.L •' Observations au sujet du cadre de contrôle de gestion de la DSI Une structure de gestion officielle de la TI n'est pas en place au CRSNG et au CRSH. Adopter une approche stratégique pour la gestion de la TI au CRSNG et au CRSH compléteront les pratiques de gestion actuelles de la DSI et sont nécessaires si les deux organismes veulent atteindre leurs objectifs administratifs. Certaines des questions clés qui manquent dans l'actuel cadre de gestion de la DSI sont un organe directeur chargé de prendre les décisions stratégiques relatives à la TI, la disponibilité d'une vision de la TI et un plan exhaustif sur la TI, l'accès à un jeu complet de politiques sur la TI, l'établissement d'objectifs de services pour mesurer le rendement de la DSI, et des pratiques rigoureuses de gestion des risques. À mesure que la TI devient de plus en plus cruciale à l'appui, à la durabilité et à la croissance de l'administration, il est impératif pour la gestion exécutive du CRSNG et du CRSH de comprendre comment bien mesurer le rendement de la TI. La responsabilité du contrôle de la formulation et de la mise en uvre de la stratégie de la TI pour assurer la fusion de l'administration et de la TI est appelée la gestion de la TI. Le but de la gestion de la TI est d'orienter les entreprises de TI afin de s'assurer que le rendement de la DSI répond aux objectifs suivants : •La TI est alignée sur les affaires des organismes et réalise les avantages prévus; •La TI exploite les occasions et optimise les avantages; •de la TI sont utilisées de manière responsable;Les ressources •Les risques de la TI sont gérés de façon adéquate. Points à améliorer On doit améliorer plusieurs points pour s'assurer que la fonction de TI du CRSNG et du CRSH procure tous les avantages prévus. Chaque point à améliorer est précisé dans les prochains paragraphes et s'accompagne de notre recommandation. 1.appropriée ni processus connexe n'ont été élaborés pourAucune structure de gestion surveiller la vision et l'orientation stratégique pour la TI, examiner et approuver les politiques de TI, et fixer la priorité parmi les projets de TI.Notre analyse nous a amenés à conclure que la DSI ne dispose pas d'un forum de discussion formel où partager les préoccupations au sujet des services de TI, où exprimer le niveau de satisfaction par rapport
Progestic International Inc. Rapport final Page 1
Vérification de la technologie de l'information
Le 27 janvier 2005
aux applications centrales ou les services de TI, où fixer les priorités pour les projets de TI, et où participer aux décisions stratégiques relatives à la TI. Nous recommandons u'un Comité directeur de la technolo ie de l'information CDTI soit mis sur ied our relier les utilisateurs finals et la haute direction à l'or anisation de la DSI, surveiller l'orientation straté i ue et la vision our la TI en a rouvant les lan, vision et oliti ues de TI, en évaluant la viabilité et le mérite des ro ets de TI à entre rendre, et en recommandant les priorités et le financement aux comités de gestion. 2.Pour l'actuelle année financière et les exercices antérieurs, la DSI n'a pas rempli un plan exhaustif de la TI décrivant tous ses projets (élaboration de systèmes, infrastructure, approvisionnement, etc.). De plus, aucune vision de la TI n'a été élaborée pour identifier les directions technologiques générales que la DSI prévoit emprunter au cours des deux ou trois prochaines années.Chaque année, la DSI produit un plan de TI reposant sur l'évolution des applications administratives de base (Affaires électroniques, Services électroniques, NAMIS et AMIS). Même si le processus budgétaire annuel de l'exercice identifie et comptabilise tous les projets de TI, nous avons remarqué que le plan de TI n'inclut pas tous les projets d'infrastructure requis pour appuyer les projets administratifs ou améliorer l'actuel réseau, la bureautique ou l'infrastructure de télécommunication. Nous recommandons ue la DSI roduise un lan de TI lus exhaustif ui inclura tous les ro ets administratifs de base, les ro ets s éciaux de la DSI s'il a lieu , la bureauti ue ou les ro ets d'infrastructure et u'une vision technolo i ue de la TI couvrant les deux ou trois prochaines années soit élaborée. 3.La DSI n'a pas mené une évaluation des menaces et des risques (ÉMR) pour déterminer les vulnérabilités liées aux renseignements délicats, aux actifs et aux employés et sélectionner les scénarios d'évitement des risques pour mettre en uvre des protections rentables.Bien que certaines ÉMR aient été achevées pour des projets d'élaboration de systèmes sélectionnés, les ÉMR n'ont pas été rigoureusement réalisées pour l'ensemble des initiatives d'élaboration de systèmes et activités opérationnelles de la DSI en vue d'évaluer les risques et vulnérabilités. Nous recommandons que la DSI mène une ÉMR complète de son infrastructure de TI. 4.n'a été produit pour justifier, identifier, prioriser,Aucun plan de sécurité de la TI exhaustif planifier et estimer tous les projets de sécurité de la TI. Notre examen des opérations actuelles a révélé que les projets de sécurité ont lieu pendant chaque année financière. Cependant, les équipes de gestion du CRSNG et du CRSH ne sont pas toujours au fait des coûts globaux et des efforts reliés à ces projets de sécurité et ne participent pas actuellement à l'établissement des priorités pour chacun.
Nous recommandons ue la DSI énonce un lan de sécurité de la TI au mo en de l'information contenue dans le Com endium des oliti ues de sécurité et l'exercice d'ÉMR à l'échelle de la DSI.
Progestic International Inc. Rapport final Page 2
Vérification de la technologie de l'information
Le 27 janvier 2005
5.La DSI n'a pas élaboré toutes les politiques et normes de TI nécessaires afin d'établir les règles et règlements pour les cadres de gestion, d'exploitation et d'administration de la TI. La DSI a publié quelques politiques relatives à la TI : la Politique sur l'utilisation acceptable des réseaux électroniques, la Politique sur le télétravail, et la Politique sur l'accès à la salle d'ordinateurs. De plus, la DSI n'a pas encore achevé les travaux d'élaboration de sa propre politique sur la sécurité de la TI. Le Secrétariat du Conseil du Trésor énonce clairement dans son document Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information (GSTI) que chaque organisme fédéral doit élaborer sa propre politique sur la sécurité de la TI à la lumière de la Politique du gouvernement sur la sécurité. Nous recommandons que la DSI identifie les secteurs de la TI à traiter dans les politiques sur la TI et qu'une priorité et un plan d'élaboration soient assignés à chaque nouvelle politique. 6.Le document sur les accords sur les niveaux de service (ANS) entre la DSI, la Direction des services administratifs communs (DSAC), le CRSNG et le CRSH, daté de mars 2004, contient très peu de cibles de services conduisant à la mesure du rendement de la DSI.En mars 2004, la DSI a revu et renégocié son ANS avec ses trois principales collectivités d'utilisateurs : la DSAC, le CRSNG et le CRSH. Notre examen du document sur les ANS a révélé que, dans sa forme actuelle, l'ANS n'a pas établi de cibles de services permettant de mesurer le rendement de la DSI. Nous recommandons ue la DSI revoie son ANS et identifie les cibles de rendement our l'Administration des réseaux, l'Élaboration des s stèmes, les Services de dé anna e, Internet et l'intranet. 7.L'actuel document portant sur le plan de reprise après un sinistre (PRS) omet de fournir des détails opérationnels permettant une reprise structurée, ordonnée et opportune des opérations de TI.sécurité actuellement en place pourraient êtreMême si certaines mesures de utilisées pour la reprise des services de TI, nous avons conclu que, si un sinistre important frappait la salle d'ordinateurs, la poursuite des opérations de TI pourraient être compromise. Notre analyse de l'actuel document sur le PRS nous a amenés à conclure que, dans son état présent, le PRS ne contient pas toutes les procédures essentielles permettant une reprise opportune des opérations de TI. Par conséquent, nous avons conclu que, si un sinistre frappait la salle d'ordinateurs, la poursuite des opérations administratives du CRSNG et du CRSH est à risque. Nous recommandons ue le Comité directeur de la sécurité assi ne un calendrier our mettre à jour le PRS et que la DSI revoie le document sur le PRS existant. Observations au sujet des activités opérationnelles de la DSI Élaboration de systèmes La DSI utilise plusieurs cadres de cycle chronologique d'élaboration de systèmes (CCÉS) et de gestion de projets pendant l'élaboration des applications administratives de base du CRSNG et du CRSH. Notre analyse nous a amenés à conclure que chaque CCÉS fournit de bons contrôles pour l'élaboration, la gestion, le suivi, la modification par suite d'essais et la mise en uvre des applications.
Progestic International Inc. Rapport final Page 3
Vérification de la technologie de l'information
Le 27 janvier 2005
Au cours de n'importe quelle année, plusieurs initiatives d'élaboration de petits systèmes sont achevées en plus de l'élaboration des systèmes d'application de base. D'autres projets d'élaboration de systèmes parfois classés comme « projets spéciaux » répondent à des besoins ou services administratifs spécifiques tels que l'intranet, les rapports Business Objects, le FDSR, le Common CV, le Family Album, l'IMEP, l'eCIMS, l'eScoring, etc. En tenant compte du fait que la DSI n'a pas encore donné de définition au terme « projet spécial », nous l'avons décrit comme suit : «Tout projet d'élaboration de systèmes qui est soit lancé par une demande spéciale d'un utilisateur ou amorcé et justifié par la DSI, non contrôlé par quelque comité d'utilisateurs que ce soit et ne respectant aucun CCÉS particulier.» Environ 15 employés contribuent à appuyer les projets d'applications non de base. Cependant, il est important de noter que bon nombre de ces employés qui appuient les projets spéciaux ont d'autres fonctions et que l'élaboration et l'entretien des projets spéciaux ne constituent qu'une de leurs responsabilités. Notre vérification a révélé que les projets spéciaux ne sont pas élaborés et gérés suivant la même rigueur que pour l'élaboration de systèmes relative aux applications de base, que le plan de TI ne décrit ni ne priorise encore ces projets spéciaux, et que leurs processus d'élaboration ne respectent aucune méthodologie normalisée.Nous recommandons que la DSI : •Décrive le terme « ro et s écial »; • lan dans le éciaux ets s ro les riorise décrive et de TI;Lors ue la ortée le ustifie, • ue ro our cha ro et soit élaboréS'assure u'un lan de et; •le processus d'élaboration suive un CCÉS formel.Lorsque la portée le justifie, s'assure que Services de soutien aux utilisateurs finals Neufs groupes de la DSI fournissent des services d'appui aux utilisateurs finals. Toutes les personnes interrogées ont indiqué qu'elles étaient satisfaites des services reçus de chaque groupe, en particulier ceux fournis par le groupe de dépannage de la DSI chargé d'appuyer et de gérer l'environnement bureautique (600 postes de travail et 100 imprimantes) et de fournir des services de soutien bureautique aux utilisateurs du CRSNG et du CRSH. Par suite de notre analyse, nous avons conclu que la DSI ne capitalise pas sur les avantages d'utiliser un point de contact unique pour fournir les services de soutien aux utilisateurs finals et saisir l'information sur chaque demande d'intervention des utilisateurs finals.Deux seuls groupes de soutien (Centre de dépannage de la DSI et Centre de dépannage des affaires électroniques) utilisent le système Remedy de suivi des interventions en cas d'incidents pour consigner l'information sur les demandes de services. Un processus de remontée formel n'a pas été instauré pour le suivi des problèmes jusqu'à la résolution satisfaisante à l'extérieur des deux secteurs susmentionnés. Nous avons également constaté que l'information saisie dans la base de données des interventions est insuffisante pour mesurer le rendement de la DSI en matière de services de soutien aux utilisateurs finals. Par conséquent, nous formulons plusieurs recommandations, dont les trois suivantes : sur les avantaEn uêter toutes les demandes de ue our oint central uni es à créer un • soutien de la DSI; • sur les avantaEn uêter à avaliser un s es de suivi des incidences stème com lus let; •Instaurer un processus de remontée formel pour résoudre les problèmes plus complexes.
Progestic International Inc. Rapport final Page 4
Vérification de la technologie de l'information
Le 27 janvier 2005
Services techniques Le groupe de soutien technique gère l'infrastructure adéquatement.Il maintient environ 90 serveurs. Compte tenu de l'importance opérationnelle accordée aux serveurs d'exploitation, ils sont tenus à jour et les licences logicielles sont dûment gérées et répertoriées. L'une des grandes forces des Services techniques, c'est la mise en uvre et l'entretien des mesures de sécurité visant à protéger les données, l'infrastructure et l'environnement bureautique. Nous avons remarqué que le groupe de soutien technique n'utilise pas des processus rigoureux pour documenter et dépister les modifications à l'infrastructure, puis pour communiquer ces changements aux utilisateurs avant la mise en uvre.Nous recommandons ue le rou e de soutien techni ue ado te des rocessus lus ri oureux de estion des chan ements et de estion des versions our documenter les modifications à l'infrastructure, et communique la nature des changements aux utilisateurs et leur fournisse de l'information sur l'incidence de la mise en uvre.
Progestic International Inc. Rapport final Page 5
Vérification de la technologie de l'information
Le 27 janvier 2005
2 INTRODUCTION Les objectifs, la portée et la méthodologie de vérification sont décrits aux Annexes B1, B2 et B3, respectivement. Une description détaillée de la Division des services d'information (DSI) est fournie à l'Annexe C. Cela comprend de l'information sur le budget de la DSI, ses clients et gammes de services, sa structure organisationnelle, et la ventilation des employés et consultants entre les six centres de responsabilités. À l'Annexe D, nous avons inclus les difficultés de gérer une organisation de TI en l'an 2005. Les vues et opinions du vérificateur sont fournies pour expliquer ce qui suit : •la complexité croissante de l'univers de la technologie de l'information; •le besoin croissant de mesures de sécurité; •les pressions croissantes sur l'organisation de la TI.
Progestic International Inc. Rapport final Page 6
Vérification de la technologie de l'information
Le 27 janvier 2005
3 CADRE DE GESTION Introduction Au cours des dernières décennies, les organisations de TI sont passées de fournisseurs de biens et de services à partenaires stratégiques. Les organisations de TI sont maintenant perçues comme un moyen d'accroître la croissance des affaires plutôt qu'une simple dépense. Le but premier de la gestion de la TI est de s'assurer que l'investissement dans la TI génère de la valeur tout en atténuant les risques connexes. Cela peut s'opérer par la mise en uvre d'une structure organisationnelle offrant des rôles clairs pour les responsables de l'information, les processus administratifs, les applications, l'infrastructure, etc. Observation généraleUne structure de gestion officielle de la TI n'est pas en place au CRSNG et au CRSH. Adopter une approche stratégique pour la gestion de la TI aux deux organismes complétera les pratiques de gestion actuelles de la DSI et est nécessaire si les deux organismes veulent atteindre leurs objectifs administratifs. Certaines des questions clés qui manquent dans l'actuel cadre de gestion de la DSI sont un organe directeur chargé de prendre les décisions stratégiques relatives à la TI, la disponibilité d'une vision de la TI et un plan exhaustif sur la TI, l'accès à un jeu complet de politiques sur la TI, l'établissement d'objectifs de services pour mesurer le rendement de la DSI, et des pratiques rigoureuses de gestion des risques. 3.1 Structure de gestion Observation Une structure et un processus de gestion appropriés n'ont pas été élaborés pour surveiller la vision et l'orientation stratégique pour la TI, examiner et approuver les politiques de TI, et fixer la priorité des projets de TI.Analyse À partir de nos entrevues, nous avons conclu que les utilisateurs ne disposent pas d'un forum de discussion formel où partager les préoccupations au sujet des services de TI, où exprimer le niveau de satisfaction par rapport aux applications centrales ou les services de TI, où fixer les priorités pour les projets de TI, et où participer aux décisions stratégiques relatives à la TI. Grâce à un processus de gestion de la TI plus exhaustif, on s'assurerait que les utilisateurs participent plus activement à la gestion des activités de TI et contribuent activement à l'élaboration de son orientation. Dans bon nombre d'organisations, un Comité directeur de la technologie de l'information (CDTI) a été établi pour relier les utilisateurs finals et l'organisation de la TI. Avec le temps, il est devenu le principal moyen de communication permettant aux utilisateurs finals et à l'organisation de la TI d'échanger formellement de l'information au sujet des besoins, priorités et niveaux de satisfaction des utilisateurs. De lus, le CDTI surveillerait l'orientation straté i ue et la vision our la TI en a rouvant les lan, vision et oliti ues de TI, en évaluant la viabilité et le mérite des ro ets de TI à entreprendre, et en recommandant les priorités et le financement aux comités de gestion. Le principal rôle que doit assumer le CDTI a trait à la gestion de la TI. Les représentants des activités et de l'administration doivent être positionnés pour contester les mesures, propositions et décisions de la DSI. Les tâches dévolues à ce rôle comprennent : s'assurer que les priorités de
Progestic International Inc. Rapport final Page 7
Vérification de la technologie de l'information
Le 27 janvier 2005
la TI soient dûment assignées, que les activités essentielles de gestion de la TI soient entreprises et que les projets de TI évoluent selon le plan et les budgets. Les grands objectifs d'un CDTI sont les suivants : •coordonner et surveiller l'élaboration des projets de TI stratégiques pour assurer le respect des priorités, objectifs et budgets approuvés dans le plan de TI; •et le mérite des projets de TI à entreprendre, et recommander les prioritésévaluer la viabilité et le financement des comités de gestion; •orientation de la planification stratégique pour l'exploitation des ressources de TIfournir une (établir un lien entre la stratégie d'affaires et la stratégie de TI, fixer les objectifs); •comités de gestion le plan, le budget et les priorités à long terme de la TI,recommander aux de même que les politiques et normes de TI. Conclusion CDTI, il n'y a aucun forum de discussion formel où regrouper laEn l'absence d'un haute direction du CRSNG et du CRSH et où discuter des questions de TI communes, partager les préoccupations, échanger et communiquer l'information sur les enjeux de la TI. Dans le contexte d'affaires d'aujourd'hui, nous insistons fortement sur l'importance pour les utilisateurs de participer activement à la gestion des activités de TI et de prendre part à l'élaboration des orientations technologiques. Le CDTI agirait comme la « colle » qui relierait et cimenterait les utilisateurs finals et la DSI. Il est la principale voie de communication permettant aux utilisateurs finals et à la DSI d'échanger de l'information relativement aux besoins, priorités et niveaux de satisfaction des utilisateurs. Recommandation 11. mis sur CDTI soit pour iedu'un Comité directeur de la technolo de l'information ie relier les utilisateurs finals et la haute direction à l'or anisation de la DSI, surveiller l'orientation straté i ue et la vision our la TI en a rouvant les lan, vision et oliti ues de TI, évaluer la viabilité et le mérite des ro ets de TI à entre rendre, et recommander les riorités et le financement aux comités de estion. 2. ui a le CDTI et décrive tout ce CDR formel ourQue l'on élabore un cadre de référence trait au CDTI (but, objectifs, portée, produits livrables, composition, responsabilité, reddition de com te et ouvoirs, liens hiérarchi ues et fré uence des réunions . Sans le CDR, notre ex érience a démontré ue les comités man uent de concentration et sont voués à l'échec. 3.2 Le plan de TI et la vision de la TI Observation Pour l'année financière actuelle et les exercices antérieurs, la DSI n'a pas rempli un plan exhaustif de la TI décrivant tous ses projets (élaboration de systèmes, infrastructure, approvisionnement, etc.). De plus, aucune vision de la TI n'a été élaborée pour identifier les directions technologiques générales que la DSI prévoit emprunter au cours des deux ou trois prochaines années.
Progestic International Inc. Rapport final Page 8
© 2010-2024 YouScribe