Vérification des risques liés à la planification et au développement des technologies de l'information

Télécharger la version PDF (155 Ko)

Rapport de vérification

Projet # 09/10 01-04

Mars 2010

Table des matières

1.0 Sommaire

1.1 Objectif de la vérification

La présente vérification avait pour objet d'évaluer dans quelle mesure les processus et procédures en place en matière de planification et de développement des technologies de l'information (TI) permettent de s'assurer que les TI répondent aux besoins des utilisateurs.

1.2 Opinion de vérification

À notre avis, les processus et procédures en place en matière de planification et de développement des TI connaissent certains problèmes qui exigent une attention particulière de la part de la direction, mais dont l'enjeu est modéré.

1.3 Énoncé s'assurance

À titre de dirigeante principale de la vérification, je suis d'avis que les procédés de vérification appliqués et les éléments probants recueillis sont suffisants et appropriés pour étayer l'opinion formulée dans le présent rapport. Cette opinion est fondée sur une comparaison des conditions qui existaient et des critères de vérification établis au préalable et acceptés par la direction. L'opinion s'applique uniquement à l'entité examinée.

1.4 Résumé des recommandations

Nous avons noté un certain nombre de bonnes pratiques en matière de planification et développement des TI. En effet, nous avons remarqué que l'Agence spatiale canadienne (l'Agence) accordait une grande importance au processus de planification stratégique de la Gestion de l'Information et de la Technologie de l'Information (GITI) en établissant un plan d'une durée de quatre ans. Un plan de remplacement des équipements quinquennal a aussi été réalisé pour prévoir les besoins futurs.

Par ailleurs, suite à notre examen des processus et procédures en place en matière de planification et de développement des TI, nous recommandons de :

  • Considérer reprendre les réunions du comité CIMIS ou instaurer un nouveau comité d'utilisateurs afin d'évaluer les priorités des projets soumis liés aux diverses applications de l'Agence;
  • Documenter et conserver les plans et résultats de tests de même que les approbations de mise en production et les plans de retour en arrière;
  • Revoir les accès des développeurs afin de leur restreindre l'accès en mode écriture aux environnements de production dans le but de favoriser une meilleure séparation des tâches.

Signature de la Dirigeante principale de la vérification

Original signé par Dominique Breden

Membres de l'équipe de vérification

Pierre Lapointe, associé délégué, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
David Liberatore, directeur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Stephanie Ranno, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Anne Turski, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.
Ndeye Astou Ndao, vérificateur principal, Samson Bélair/Deloitte & Touche s.e.n.c.r.l.

2.0 Rapport de vérification

2.1 Contexte

La mission de l'Agence est d'avancer le développement et l'application des connaissances spatiales pour le mieux-être des Canadiens et de l'humanité. Le mandat est de promouvoir l'exploitation et le développement pacifiques de l'espace, de faire progresser la connaissance de l'espace par la science et de faire en sorte que les Canadiens tirent profit des sciences et technologies spatiales sur les plans tant social qu'économique.

L'Agence compte environ 635 employés dont près de 90 % oeuvrent au Centre John H. Chapman, le siège social de l'Agence situé à St-Hubert, Québec. Parmi ces employés, il y a 90 postes qui font partie du secteur de la GITI (79 employés et 11 postes vacants). Des 79 employés, environ 30 sont assignés à la gestion de l'information et le reste à la gestion des TI. Les tâches de ces employés comportent les fonctions TI traditionnelles, soit :

  • concevoir et implanter les systèmes de télécommunications, réseaux et systèmes de stockage,
  • installer et configurer des postes de travail, applications et base de données, et
  • fournir le support technique associé.

L'Agence compte 85 % de ses systèmes d'information qui fonctionnent dans un environnement Windows et 15 % dans un environnement UNIX. Leurs réseaux comptent présentement entre 900 et 1 000 utilisateurs, la plupart étant situés au siège social de l'Agence à St-Hubert, Québec.

La structure organisationnelle de l'Agence tient compte du contexte mondial. De nombreuses activités spatiales sont de plus en plus axées sur les services et sont principalement orientées vers les besoins des utilisateurs finaux et l'intégration des technologies à diverses applications terrestres. L'étendue de la responsabilité du directorat de la GITI inclut la gestion des applications, des données et des technologies entourant les systèmes corporatifs. Il y a environ 60 applications, soit achetées ou développées à l'interne, sous la responsabilité de la GITI.

La raison d'être de la GITI est de comprendre les besoins et conditions et de développer et de mettre en place des politiques, procédures, programmes et activités qui visent à rencontrer ces besoins.

La GITI fait face à différents risques pour atteindre leurs objectifs tels que la quantité et l'étendue des données dont ils sont responsables. En raison de l'importance des données gérées par la GITI, la prise adéquate des copies de sauvegarde et le processus de rétention des données représentent un risque significatif. La sécurité entourant l'accès aux systèmes et aux données représentent aussi un risque significatif.

2.2 Objectifs

La présente vérification avait pour objet d'évaluer dans quelle mesure les processus et procédures en place en matière de planification et de développement des TI permettent de s'assurer que les TI répondent aux besoins des utilisateurs. La vérification a examiné les processus et activités liés à la dépendance envers les TI. De façon plus spécifique, nous avons examiné les sujets présentés ci-dessous:

  • Planification et développement des TI
  • Gestion des changements :
    1. Applications;
    2. Systèmes de gestion de bases de données;
    3. Systèmes d'exploitation;
    4. Équipements réseau.

La présente vérification ne vise que les systèmes corporatifs, incluant les applications, les systèmes de gestion de bases de données, systèmes d'exploitation et équipements réseaux sous-jacents, qui sont sous la responsabilité de la GITI, ce qui exclut certains environnements technologiques spécifiques dont ceux des opérations satellitaires et du Centre de contrôle de mission de la Station spatiale internationale. De plus, certains systèmes corporatifs dont SAP ne sont pas gérés par la GITI et ne sont pas couverts par cette vérification. Par conséquent, la vérification a été effectuée principalement à l'Agence située à St-Hubert, Québec.

Les procédés de vérification ont été réalisés de janvier à mars 2010. Les tests que nous avons effectués dans le cadre de ce projet de vérification ont consisté principalement à mener des entrevues avec les différents intervenants, à examiner la documentation existante, à examiner des configurations d'équipements en place et à comparer les procédures et contrôles mis en place par l'Agence aux pratiques de l'industrie ainsi que leur mise en application.

2.3 Constatations, recommandations et réactions de la direction

Le détail des constatations, recommandations et réactions de la direction est présenté dans l'annexe aux pages suivantes.

Réf. Constatations Impacts Recommandations Commentaires de la direction / Plan d'action Échéancier
1 Bien qu'une procédure de gestion des changements ait été rédigée, cette dernière n'est pas entièrement mise en place. En effet, les méthodes de travail pour les changements apportés aux applications, aux systèmes de gestion de bases de données et aux systèmes d'exploitation ne sont pas uniformes. Cette situation augmente le risque que des modifications apportées ne répondent pas aux intentions de la direction.
  • Sensibiliser le personnel approprié à suivre la procédure de gestion des changements de l'Agence pour tout changement.

Responsable : Dirigeant principal de l'information (DPI)

Des dispositions seront prises pour formaliser le nouveau processus de gestion des changements et en faire l'implantation dans les divers secteurs de la GI/TI. Le but de la nouvelle procédure est justement d'uniformiser la méthode.

Le processus sera en place et intégré aux procédures de la GI/TI d'ici le 30 septembre 2010.
2 Bien qu'il y ait des changements autorisés à l'avance, tel que les rustines (patches) des divers systèmes d'exploitation, ces cas d'exception ne sont pas documentés à la procédure de gestion des changements. Cette situation augmente le risque que des modifications apportées ne répondent pas aux intentions de la direction. Documenter dans la procédure de gestion des changements les cas où les changements sont autorisés à l'avance.

Responsable : DPI

Les changements pré-autorisés sont bien définis et le risque de changements non désirés est faible.

Toutefois, la documentation sera amendée pour inclure la procédure touchant les changements de cette nature.

Documentation amendée d'ici le 30 septembre 2010.
3 Le comité directeur CIMIS, comité composé de membres de chaque service de l'Agence, ne se réunit plus de façon régulière pour approuver les projets TI reliés aux diverses applications de l'Agence. Cette situation augmente le risque que des modifications apportées ne répondent pas aux besoins de la communauté des utilisateurs. Considérer reprendre les réunions du comité CIMIS ou instaurer un comité d'utilisateurs afin d'évaluer les priorités des projets soumis reliés aux diverses applications de l'Agence.

Responsable : DPI

La GI/TI est à réviser son modèle de gouvernance. Ce modèle comprend un comité stratégique composé de représentants des secteurs qui participent à la prise de décision concernant les projets présentés à la GI/TI.

Comité mis en place d'ici le 31 décembre 2010.
4 Les approbations de changements de l'équipe de développement de systèmes ne sont pas conservées. Cette situation augmente le risque de suivi des modifications problématiques. Conserver les approbations de l'équipe de développement de systèmes.

Responsable : DPI

Les approbations requises par le propriétaire d'une application avant de procéder aux mises en production sont toujours obtenues, mais souvent de façon verbale. Une confirmation écrite sera exigée dans chaque cas. À noter que toutes les demandes de changement ont été conservées depuis plus de deux ans.

Changement en place pour le 30 juin 2010.
5 Sur la base de notre échantillonnage, nous avons noté que les approbations de mise en production ainsi que les plans de retour en arrière n'étaient pas systématiquement documentés. Cette situation augmente le risque que des modifications non autorisées soient apportées aux systèmes.

Cette situation augmente également le risque de délais dans la reprise des opérations si un problème devait se produire pendant une mise en production

.
Documenter et conserver les approbations de mise en production ainsi que les plans de retour en arrière.

Responsable : DPI

Le processus actuel est un hybride entre la demande de changement et la mise en production. Les correctifs sont prévus dans le projet de mise en place du processus de mise en production.

Les correctifs sont prévus vers le 31 mars 2011.
6 Il n'y a pas de norme ou de procédure formelle en matière de documentation de tests lors des changements applicatifs.

Sur la base de notre échantillonnage, nous avons noté que les plans de tests et les résultats de tests n'étaient pas systématiquement documentés.

Cette situation augmente le risque que les modifications apportées ne répondent pas aux intentions de la direction.
  • Établir une norme ou procédure en matière de documentation de tests, incluant des scripts de tests à réaliser lors de changements applicatifs.
  • Documenter et conserver les plans et résultats de tests.

Responsable : DPI

Cette situation sera corrigée en élaborant des normes, des gabarits et des procédures pour la documentation des tests. À noter qu'il y a des tests qui sont maintenant en place grâce au projet VISTA. Il faut les incorporer dans les habitudes de travail et dans les processus.

Mars 2011
7

Nous avons été informés qu'il y a deux membres de l'équipe de développement de systèmes qui effectuent les mises en production des formulaires Oracle (Oracle forms).

De plus, sur la base de notre échantillon, certains développeurs peuvent avoir accès en mode écriture à des applications en production.

Ces situations augmentent le risque que des modifications non autorisées soient apportées aux systèmes.
  • Restreindre l'accès aux mises en production au personnel d'exploitation de systèmes dans le but de favoriser une meilleure séparation des tâches.
  • Former le personnel approprié de l'équipe d'exploitation de systèmes à ces tâches.
  • Revoir les accès des développeurs afin de leur restreindre l'accès en écriture aux environnements de production dans le but de favoriser une meilleure séparation des tâches.

Responsable : DPI

Confier toutes les mises en production au personnel d'exploitation des systèmes augmente de façon significative la charge de travail et pourrait entraîner des retards pour apporter des corrections à des applications en production.

Seulement deux personnes de l'équipe de développement ont des accès en production et uniquement pour la technologie Oracle. Les deux personnes sont expérimentées et possèdent une connaissance présentement non disponible dans le groupe d'exploitation des systèmes. Chaque mise en production doit être appuyée par un document de version et une demande de changement. Aucun incident au cours des cinq dernières années. Le risque est minime. Si la situation des ressources venait à changer, le processus sera revu.

Aucune action pour le moment.
8 Il n'y a pas de revue post-implantation formelle effectuée de façon systématique lors des changements importants. Cette situation pourrait nuire à l'efficience de projets et changements futurs. Modifier la procédure de gestion des changements afin d'inclure une revue post-implantation pour les changements importants.

Responsable : DPI

Des revues formelles sont faites à la fin des projets. Il nous faudra définir ce qui constitue un changement important.

Implantation de revues formelles suite à des changements importants d'ici le 30 septembre 2010.