Agence spatiale canadienne
www.asc-csa.gc.ca
Liens de la barre de menu commune
Contenu de la page
Rapport de vérification
Vérification des risques liés à la planification et au développement des technologies de l'information
Projet # 09/10 01-04
préparé par
la Direction, vérification et évaluation
Mars 2010
Table des matières
- 1.0 Sommaire
- 2.0 Rapport de vérification
- ANNEXE : Tableau détaillé des constatations, recommandations et réactions de la direction
1.0 Sommaire
1.1 Objectif de la vérification
La présente vérification avait pour objet d'évaluer dans quelle mesure les processus et procédures en place en matière de planification et de développement des technologies de l'information (TI) permettent de s'assurer que les TI répondent aux besoins des utilisateurs.
1.2 Opinion de vérification
À notre avis, les processus et procédures en place en matière de planification et de développement des TI connaissent certains problèmes qui exigent une attention particulière de la part de la direction, mais dont l'enjeu est modéré.
1.3 Énoncé s'assurance
À titre de dirigeante principale de la vérification, je suis d'avis que les procédés de vérification appliqués et les éléments probants recueillis sont suffisants et appropriés pour étayer l'opinion formulée dans le présent rapport. Cette opinion est fondée sur une comparaison des conditions qui existaient et des critères de vérification établis au préalable et acceptés par la direction. L'opinion s'applique uniquement à l'entité examinée.
1.4 Résumé des recommandations
Nous avons noté un certain nombre de bonnes pratiques en matière de planification et développement des TI. En effet, nous avons remarqué que l'Agence spatiale canadienne (l'Agence) accordait une grande importance au processus de planification stratégique de la Gestion de l'Information et de la Technologie de l'Information (GITI) en établissant un plan d'une durée de quatre ans. Un plan de remplacement des équipements quinquennal a aussi été réalisé pour prévoir les besoins futurs.
Par ailleurs, suite à notre examen des processus et procédures en place en matière de planification et de développement des TI, nous recommandons de :
Considérer reprendre les réunions du comité CIMIS ou instaurer un nouveau comité d'utilisateurs afin d'évaluer les priorités des projets soumis liés aux diverses applications de l'Agence;
Documenter et conserver les plans et résultats de tests de même que les approbations de mise en production et les plans de retour en arrière;
Revoir les accès des développeurs afin de leur restreindre l'accès en mode écriture aux environnements de production dans le but de favoriser une meilleure séparation des tâches.
Signature de la Dirigeante principale de la vérification
Original signé par Dominique Breden
_________________________________________
Membres de l'équipe de vérification
Pierre Lapointe, associé délégué, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
David Liberatore, directeur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Stephanie Ranno, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Anne Turski, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Ndeye Astou Ndao, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
2.0 Rapport de vérification
2.1 Contexte
La mission de l'Agence est d'avancer le développement et l'application des connaissances spatiales pour le mieux-être des Canadiens et de l'humanité. Le mandat est de promouvoir l'exploitation et le développement pacifiques de l'espace, de faire progresser la connaissance de l'espace par la science et de faire en sorte que les Canadiens tirent profit des sciences et technologies spatiales sur les plans tant social qu'économique.
L'Agence compte environ 635 employés dont près de 90 % oeuvrent au Centre John H. Chapman, le siège social de l'Agence situé à St-Hubert, Québec. Parmi ces employés, il y a 90 postes qui font partie du secteur de la GITI (79 employés et 11 postes vacants). Des 79 employés, environ 30 sont assignés à la gestion de l'information et le reste à la gestion des TI. Les tâches de ces employés comportent les fonctions TI traditionnelles, soit :
concevoir et implanter les systèmes de télécommunications, réseaux et systèmes de stockage,
installer et configurer des postes de travail, applications et base de données, et
fournir le support technique associé.
L'Agence compte 85 % de ses systèmes d'information qui fonctionnent dans un environnement Windows et 15 % dans un environnement UNIX. Leurs réseaux comptent présentement entre 900 et 1 000 utilisateurs, la plupart étant situés au siège social de l'Agence à St-Hubert, Québec.
La structure organisationnelle de l'Agence tient compte du contexte mondial. De nombreuses activités spatiales sont de plus en plus axées sur les services et sont principalement orientées vers les besoins des utilisateurs finaux et l'intégration des technologies à diverses applications terrestres. L'étendue de la responsabilité du directorat de la GITI inclut la gestion des applications, des données et des technologies entourant les systèmes corporatifs. Il y a environ 60 applications, soit achetées ou développées à l'interne, sous la responsabilité de la GITI.
La raison d'être de la GITI est de comprendre les besoins et conditions et de développer et de mettre en place des politiques, procédures, programmes et activités qui visent à rencontrer ces besoins.
La GITI fait face à différents risques pour atteindre leurs objectifs tels que la quantité et l'étendue des données dont ils sont responsables. En raison de l'importance des données gérées par la GITI, la prise adéquate des copies de sauvegarde et le processus de rétention des données représentent un risque significatif. La sécurité entourant l'accès aux systèmes et aux données représentent aussi un risque significatif.
2.2 Objectifs
La présente vérification avait pour objet d'évaluer dans quelle mesure les processus et procédures en place en matière de planification et de développement des TI permettent de s'assurer que les TI répondent aux besoins des utilisateurs. La vérification a examiné les processus et activités liés à la dépendance envers les TI. De façon plus spécifique, nous avons examiné les sujets présentés ci-dessous:
- Planification et développement des TI
- - Gestion des changements :
-
- i. Applications;
- ii. Systèmes de gestion de bases de données;
- iii. Systèmes d'exploitation;
- iv. Équipements réseau.
La présente vérification ne vise que les systèmes corporatifs, incluant les applications, les systèmes de gestion de bases de données, systèmes d'exploitation et équipements réseaux sous-jacents, qui sont sous la responsabilité de la GITI, ce qui exclut certains environnements technologiques spécifiques dont ceux des opérations satellitaires et du Centre de contrôle de mission de la Station spatiale internationale. De plus, certains systèmes corporatifs dont SAP ne sont pas gérés par la GITI et ne sont pas couverts par cette vérification. Par conséquent, la vérification a été effectuée principalement à l'Agence située à St-Hubert, Québec.
Les procédés de vérification ont été réalisés de janvier à mars 2010. Les tests que nous avons effectués dans le cadre de ce projet de vérification ont consisté principalement à mener des entrevues avec les différents intervenants, à examiner la documentation existante, à examiner des configurations d'équipements en place et à comparer les procédures et contrôles mis en place par l'Agence aux pratiques de l'industrie ainsi que leur mise en application.
2.3 CONSTATATIONS, RECOMMANDATIONS ET RÉACTIONS DE LA DIRECTION
Le détail des constatations, recommandations et réactions de la direction est présenté dans l'annexe aux pages suivantes.
- Sensibiliser le personnel approprié à suivre la procédure de gestion des changements de l'Agence pour tout changement.
Responsable : Dirigeant principal de l'information (DPI)
Des dispositions seront prises pour formaliser le nouveau processus de gestion des changements et en faire l'implantation dans les divers secteurs de la GI/TI. Le but de la nouvelle procédure est justement d'uniformiser la méthode.
Responsable : DPI
Les changements pré-autorisés sont bien définis et le risque de changements non désirés est faible.
Toutefois, la documentation sera amendée pour inclure la procédure touchant les changements de cette nature.
Responsable : DPI
La GI/TI est à réviser son modèle de gouvernance. Ce modèle comprend un comité stratégique composé de représentants des secteurs qui participent à la prise de décision concernant les projets présentés à la GI/TI.
Responsable : DPI
Les approbations requises par le propriétaire d'une application avant de procéder aux mises en production sont toujours obtenues, mais souvent de façon verbale. Une confirmation écrite sera exigée dans chaque cas. À noter que toutes les demandes de changement ont été conservées depuis plus de deux ans.
Cette situation augmente le risque que des modifications non autorisées soient apportées aux systèmes.
Cette situation augmente également le risque de délais dans la reprise des opérations si un problème devait se produire pendant une mise en production.
Responsable : DPI
Le processus actuel est un hybride entre la demande de changement et la mise en production. Les correctifs sont prévus dans le projet de mise en place du processus de mise en production.
Il n'y a pas de norme ou de procédure formelle en matière de documentation de tests lors des changements applicatifs.
Sur la base de notre échantillonnage, nous avons noté que les plans de tests et les résultats de tests n'étaient pas systématiquement documentés.
- Établir une norme ou procédure en matière de documentation de tests, incluant des scripts de tests à réaliser lors de changements applicatifs.
- Documenter et conserver les plans et résultats de tests.
Responsable : DPI
Cette situation sera corrigée en élaborant des normes, des gabarits et des procédures pour la documentation des tests. À noter qu'il y a des tests qui sont maintenant en place grâce au projet VISTA. Il faut les incorporer dans les habitudes de travail et dans les processus.
Nous avons été informés qu'il y a deux membres de l'équipe de développement de systèmes qui effectuent les mises en production des formulaires Oracle (Oracle forms).
De plus, sur la base de notre échantillon, certains développeurs peuvent avoir accès en mode écriture à des applications en production.
- Restreindre l'accès aux mises en production au personnel d'exploitation de systèmes dans le but de favoriser une meilleure séparation des tâches.
- Former le personnel approprié de l'équipe d'exploitation de systèmes à ces tâches.
- Revoir les accès des développeurs afin de leur restreindre l'accès en écriture aux environnements de production dans le but de favoriser une meilleure séparation des tâches.
Responsable : DPI
Confier toutes les mises en production au personnel d'exploitation des systèmes augmente de façon significative la charge de travail et pourrait entraîner des retards pour apporter des corrections à des applications en production.
Seulement deux personnes de l'équipe de développement ont des accès en production et uniquement pour la technologie Oracle. Les deux personnes sont expérimentées et possèdent une connaissance présentement non disponible dans le groupe d'exploitation des systèmes. Chaque mise en production doit être appuyée par un document de version et une demande de changement. Aucun incident au cours des cinq dernières années. Le risque est minime. Si la situation des ressources venait à changer, le processus sera revu.
Responsable : DPI
Des revues formelles sont faites à la fin des projets. Il nous faudra définir ce qui constitue un changement important.
