Annual Internal Audit and Evaluation Planning Process

Annual Internal Audit and Evaluation Planning Process

-

Français
4 pages
Lire
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Description

Vérification de la sécurité des technologies de l’information DIVERSIFICATION DE L’ÉCONOMIE DE L’OUEST CANADA Direction générale de la vérification et de l’évaluation Mars 2010 Diversification de l’économie de l’Ouest Canada 1.0 Résumé Contexte 1.1 Diversification de l’économie de l’Ouest Canada (DEO) a pour mandat de promouvoir le développement et la diversification de l’économie de l’Ouest canadien (Manitoba, Saskatchewan, Alberta et Colombie-Britannique) et de faire valoir les intérêts de cette région lors de l’élaboration et de la mise en œuvre des politiques, des programmes et des projets économiques nationaux. DEO travaille à l’amélioration de la compétitivité à long terme de l’économie de l’Ouest et de la qualité de vie dans ces provinces en appuyant un large éventail d’initiatives qui soutiennent l’atteinte du résultat stratégique visé par le Ministère : Une économie épanouie et diversifiée dans l’Ouest canadien. L’administration centrale du Ministère est située à Edmonton et assistée par un bureau de soutien administratif à Ottawa. Des bureaux régionaux se trouvent à Vancouver, à Edmonton, à Saskatoon et à Winnipeg. 1.2 DEO est régi par la Politique du gouvernement sur la sécurité (PGS) du Secrétariat du Conseil du Trésor (SCT). Cette politique définit les exigences de base relatives à la protection des employés et des biens, et à la prestation continue des services. En 2005, le SCT a ...

Sujets

Informations

Publié par
Nombre de lectures 59
Langue Français
Signaler un problème
Vérification de la sécurité des technologies de
l’information
DIVERSIFICATION DE L’ÉCONOMIE DE L’OUEST CANADA
Direction générale de la vérification et de l’évaluation
Mars 2010
Diversification de l’économie de l’Ouest Canada
Vérification de la sécurité des technologies de l’information
Rapport final
1
1.0
Résumé
Contexte
1.1
Diversification de l’économie de l’Ouest Canada (DEO) a pour mandat de promouvoir le
développement et la diversification de l’économie de l’Ouest canadien (Manitoba,
Saskatchewan, Alberta et Colombie-Britannique) et de faire valoir les intérêts de cette
région lors de l’élaboration et de la mise en oeuvre des politiques, des programmes et des
projets économiques nationaux. DEO travaille à l’amélioration de la compétitivité à long
terme de l’économie de l’Ouest et de la qualité de vie dans ces provinces en appuyant un
large éventail d’initiatives qui soutiennent l’atteinte du résultat stratégique visé par le
Ministère : Une économie épanouie et diversifiée dans l’Ouest canadien.
L’administration centrale du Ministère est située à Edmonton et assistée par un bureau de
soutien administratif à Ottawa. Des bureaux régionaux se trouvent à Vancouver, à
Edmonton, à Saskatoon et à Winnipeg.
1.2
DEO est régi par la
Politique du gouvernement sur la sécurité
(PGS) du Secrétariat du
Conseil du Trésor (SCT). Cette politique définit les exigences de base relatives à la
protection des employés et des biens, et à la prestation continue des services. En 2005, le
SCT a demandé à tous les ministères fédéraux dont DEO de mettre en oeuvre avant
décembre 2006 les normes applicables parmi les 144 énoncés du document
Gestion de la
sécurité des technologies de l’information
(GSTI). Ces 144 normes constituent les
exigences de base sur lesquels doivent s’appuyer les programmes ministériels de sécurité
des TI et permettent aux ministères fédéraux, comme DEO, d’assurer la sécurité de
l’information et des composantes TI sous leur autorité.
1.3
La vérification de la sécurité des technologies de l’information a été inscrite au Plan
approuvé de vérification axée sur les risques de 2009-2012 de DEO. Par rapport à
d’autres ministères fédéraux, le dossier de la sécurité des TI ne revêt pas une importance
énorme à DEO, mais le Ministère doit satisfaire aux mêmes normes et politiques
fédérales que les autres en matière de sécurité des TI.
1.4
L’objectif du dirigeant principal de la vérification est de fournir la certitude que DEO a
mis en place un cadre et des pratiques efficaces de sécurité des technologies de
l’information qui respectent la norme sur la Gestion de la sécurité des technologies de
l'information du gouvernement du Canada, et qu’il applique sa politique de sécurité de
l’information.
1.5
La vérification a été confiée à une société d’experts-conseils qui sait mener des
vérifications de sécurité des TI, qui a déjà de l’expérience dans ce domaine et qui sait
gérer les évaluations de vulnérabilité. La Direction générale de la vérification et de
l’évaluation de DEO a supervisé la vérification et le dirigeant principal de la vérification
a assumé la responsabilité de l’énoncé d’assurance.
1.6
La vérification a porté principalement sur les contrôles de gestion appliqués par la
Division des technologies et de la gestion de l’information, et a permis d’examiner les
Diversification de l’économie de l’Ouest Canada
Vérification de la sécurité des technologies de l’information
Rapport final
2
liens entre celle-ci et la gestion globale de la sécurité au Ministère. La vérification a
couvert la période d’avril 2007 à février 2010. Des applications techniques ont servi à
évaluer la vulnérabilité dans les locaux de DEO en février 2010. L’évaluation de la
vulnérabilité est le processus qui permet, au moyen d’un logiciel d’application, de
circonscrire, de quantifier et de mettre en ordre de priorité les vulnérabilités d’un système
ou d’un réseau.
Conclusions
1.7
Généralement, DEO dispose de mesures assez efficaces en matière de sécurité des TI,
compte tenu sa taille et de l’ampleur des menaces et des risques. Cependant, il serait
possible de renforcer la sécurité des TI dans le cadre du système de sécurité global du
Ministère. DEO court des risques modérés, ce qui peut être corrigé par des mesures de
gestion appropriée.
1.8
La relations de travail entre le coordonnateur de la sécurité des TI et l’agent de sécurité
du Ministère est bonne et tous deux considèrent que la sécurité est une responsabilité
partagée. Néanmoins, s’il est clair que le coordonnateur de la sécurité des TI assume la
responsabilité de la politique et du programme de sécurité des TI, on ne sait pas
exactement de qui relèvent l’examen, la mise à jour et la diffusion des politiques de
sécurité de DEO, car le Ministère ne dispose pas d’un ensemble d’orientations en matière
de sécurité qui englobe la sécurité des TI. Le document stratégique actuel sur la sécurité
renvoie à l’ancienne politique du gouvernement sur la sécurité, antérieure à la politique
actuelle du Conseil du Trésor. Ce document n’a pas été mis à jour pour tenir compte de la
Directive sur la gestion de la sécurité ministérielle,
entrée en vigueur en juillet 2009.
1.9
DEO n’a pas d’ensemble d’orientations stratégiques en matière de sécurité ou de plan
intégré de sécurité des TI. La politique de sécurité des TI et les autres politiques de
sécurité ont expiré avant les dates de révision prévues. Les orientations données par les
politiques de sécurité de DEO sur les rôles, les responsabilités et les exigences de la
Politique du gouvernement sur la sécurité
et de la
Gestion de la sécurité des TI
ne sont
pas à jour. La politique de DEO n’a pas été actualisée depuis l’entrée en vigueur de la
Politique du gouvernement sur la sécurité
du Conseil du Trésor.
1.10
Il pourrait y avoir une meilleure communication et coordination entre les administrations
centrales et les services régionaux en TI. Aucune entente sur les services et les niveaux
opérationnels n’a été élaborée avec les intervenants régionaux des TI jusqu’à maintenant.
1.11
L’évaluation de la vulnérabilité a révélé que la majorité des systèmes actifs sont
configurés de manière acceptable et qu’ils comportent des niveaux de retouche et d’autres
mesures de protection pour atténuer les risques. L’évaluation de la vulnérabilité a aussi
fourni des exemples précis de vulnérabilité technique et permis d’établir les conditions
minimales pour la sécurité du réseau. Les vulnérabilités techniques existantes observées
dans le réseau exposent DEO à divers risques.
Diversification de l’économie de l’Ouest Canada
Vérification de la sécurité des technologies de l’information
Rapport final
3
2.0
Conclusion et certitude de vérification
2.1
DEO a instauré des processus et des pratiques qui répondent à bon nombre des exigences
de gestion de la sécurité des TI et qui respectent la
Politique du gouvernement sur la
sécurité
. Bon nombre d’éléments garantissant l’efficacité d’un cadre de
sécurité des TI
sont en place. Il existe toutefois des possibilités de renforcer les pratiques et les processus
existants. Si ces lacunes ne sont pas comblées, les vérificateurs estiment qu’elles
présenteront un risque résiduel modéré pour la gestion.
2.2
J’estime, en tant que dirigeant principal de la vérification, que le nombre et la pertinence
des procédures de vérification suivies et des éléments probants recueillis attestent
l’exactitude des conclusions formulées et contenues dans le présent rapport. La certitude
donnée est fondée sur une comparaison des conditions, telles qu’elles existaient à
l’époque, par rapport à des critères préétablis de vérification arrêtés en accord avec la
direction. Les éléments probants ont été recueillis conformément aux normes fédérales en
matière de vérification interne, et à la
Politique de vérification interne
du Conseil du
Trésor et à ses directives connexes.