Archivée - Vérification de système en voie d'élaboration pour le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI)
Renseignements archivés
Cette page a été archivée dans le Web. Les renseignements archivés sont fournis aux fins de référence, de recherche ou de tenue de documents. Ils ne sont pas assujettis aux normes Web du gouvernement du Canada et n'ont pas été modifiés ou mis à jour depuis leur archivage. Pour obtenir ces renseignements sous une autre forme, veuillez communiquer avec nous.
auteur : (Secteur de la vérification et de l'évaluation)
date : (juin 2007)
Format PDF (201 Ko, 47 pages)
Table des matières
- Résumé
- Section 1 - Introduction
- Section 2 - Évaluation des contrôles informatiques généraux
- Section 3 - Évaluation des contrôles de l'application PTPNI
- Section 4 - Évaluation des contrôles de la gestion du projet
- Section 5 - Évaluation des contrôles associés à l'entrée et au traitement des données
- Section 6 - Analyse de la vulnérabilité technique
- Plan d'action
Résumé
Contexte
Le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI) a été conçu pour remplacer le Système de gestion des paiements de transfert (SGPT). Le but du projet de PTPNI est de mettre en place sur le Web un système de gestion des paiements de transfert qui offrira aux collectivités des Premières nations et des Inuits une prestation intégrée de services ainsi que des outils de gestion améliorés. Le système a pour objectif d'améliorer la reddition de comptes en rehaussant les capacités de présentation de l'information financière et non financière des bénéficiaires des paiements de transfert.
Le système de PTPNI aidera Affaires indiennes et du Nord Canada (AINC) à gérer l'information sur les ententes de financement et à adopter des pratiques prudentes de gestion de la trésorerie qui sont conformes aux exigences du Conseil du Trésor. Le système de PTPNI permet entre autres :
- de faciliter le travail initial de préparation pour l'élaboration des ententes de financement
(par ex., les activités liées à l'affectation budgétaire);
- de créer et de tenir à jour des ententes de financement;
- de gérer les rapports des bénéficiaires qui servent à justifier les dépenses, à enregistrer les
résultats des activités et à identifier les besoins potentiels relatifs aux mesures correctives
(par ex., advenant le défaut de se conformer aux modalités d'une entente de financement).
Le projet de PTPNI a vu le jour en 2004 et il devrait être complété en mars 2008 à un coût total de 13,3 millions de dollars (incluant les coûts de maintenane de la première année.)
La première version du système est présentement en production et, dès qu'elle aura été approuvée par le Comité d'orientation du projet de PTPNI, elle sera utilisée pour créer des ententes de financement pour l'exercice 2007-2008. L'objectif visé pour la première version était d'intégrer toutes les fonctionnalités nécessaires pour le début du cycle des paiements de transfert. Les autres fonctionnalités seront implantées corrélativement à l'évolution des premières ententes de financement de 2007-2008.
L'importance financière des paiements de transfert traités par le Ministère et le rôle clé que jouera le système de PTPNI dans la surveillance et le contrôle des transactions connexes ont poussé la Secteur de la vérification et de l'évaluation (SVE) à inclure la vérification de ce système en voie d'élaboration dans son plan de vérification interne.
Calendrier, objectifs et approche
Une activité préliminaire qui consistait à établir la portée de cette vérification a été réalisée entre les mois d'avril et juin 2006 afin de faciliter l'élaboration d'un plan de travail de projet détaillé. À la suite de l'activité d'établissement de la portée, il a été décidé que le travail de vérification sur le terrain serait réalisé en cinq volets qui se chevaucheraient du mois d'août au mois de décembre 2006. Au fur et à mesure que les tâches étaient complétées pour chaque volet, les résultats étaient présentés au Comité d'orientation du projet de PTPNI.
Les objectifs de la vérification, ainsi que les volets mis en oeuvre pour la réalisation des travaux nécessaires sur le terrain, sont identifiés dans le tableau suivant. Pour chacun des volets, le rapport détaillé contient une section distincte décrivant la méthodologie, le calendrier et la portée de la vérification, ainsi qu'une présentation des constatations correspondantes.
| Objectifs de la vérification du système en voie d'élaboration pour le projet de PTPNI | Volets pertinents de la vérification du système en voie d'élaboration |
|---|---|
| Donner l'assurance que les mécanismes fonctionnels et de contrôle sont conformes aux dispositions de la Loi sur la gestion des finances publiques (LGFP) à tous égards importants (à savoir, les articles 32, 33, et 34). | Contrôles de l'application du système de PTPNI |
| Donner l'assurance que les mécanismes fonctionnels et de contrôle du système sont compatibles avec le Cadre du contrôle de la gestion des paiements de transfert. | Contrôles de l'application du système de PTPNI |
| Évaluer la portée et la pertinence des systèmes internes et des contrôles de l'environnement informatique pour s'assurer de l'exhaustivité, de la précision et de l'authenticité des données qui sont traitées et sauvegardées. | Contrôles associés à l'entrée et au traitement des données Contrôles informatiques généraux |
| Vérifier si une architecture de système et de sécurité adéquate a été élaborée afin de s'assurer qu'une application Web bénéficiera d'un niveau de protection suffisant. | Analyse de la vulnérabilité technique |
| Évaluer les risques associés au projet. | Contrôles de la gestion du projet |
| Évaluer l'appui de la part des différentes parties intéressées à l'égard du projet et formuler des recommandations à ce sujet. | Contrôles de la gestion du projet |
| Examiner le niveau de conformité par rapport aux pratiques relatives au contrôle de l'élaboration et de la gestion de projet. | Contrôles informatiques généraux Contrôles de la gestion du projet |
Portée
Étant donné que la majeure partie des procédés de vérification et d'examen ont été mis en oeuvre avant la mise en service de la première version de l'application le 11 décembre 2006, et que tous les tests de l'application PTPNI ont été effectués dans l'environnement d'essai, la portée de cette vérification inclut uniquement la conception des contrôles. Aucune opinion n'est offerte quant à la mise en oeuvre ou à l'absence de mise en oeuvre des contrôles dans l'environnement de production, ou à leur efficacité pour une période donnée. Ces éléments devraient être vérifiés dans le cadre d'un suivi du système.
Le travail de vérification réalisé pour deux des volets (contrôles de l'application PTPNI et contrôles informatiques généraux) avait un objectif de certification alors que le travail de vérification réalisé dans le cadre des trois autres volets a été davantage axé sur la consultation. La prudence est de mise lorsqu'on analyse les conclusions formulées pour ces trois volets étant donné que certaines des constatations peuvent être fondées uniquement sur des renseignements obtenus durant des entrevues.
Conclusions et énoncé d'assurance
Énoncé d'assurance
Les procédures de vérification suivies et les éléments de preuve recueillis sont appropriés et suffisants pour appuyer les opinions suivantes au sujet des contrôles informatiques généraux et des contrôles de l'application PTPNI :
Contrôles informatiques généraux
Selon notre opinion, bien qu'un certain nombre de points forts en matière de contrôle ont été identifiés durant la vérification, la conception des contrôles informatiques généraux nécessite d'importantes améliorations dans les domaines suivants : la sécurité logicielle, les essais, la conversion des données, la reprise après sinistre et la continuité des opérations.
Contrôle des applications PTPNI
Selon notre opinion, la conception des contrôles de l'application associés :
- au respect des dispositions des articles 32, 33 et 34 de la Loi sur la gestion des finances
publiques (LGFP) présente des aspects qui nécessitent un degré moyen d'attention de la
part de la direction;
- au Cadre de contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT)
nécessite d'importantes améliorations dans les domaines suivants : le degré d'utilisation
du système pour automatiser les contrôles par rapport à la mise en place d'outils
permettant d'exécuter des contrôles manuels indépendants du système, la séparation des
tâches, les lacunes spécifiques en matière de contrôle qui ont été identifiées et les
fonctionnalités qui n'ont pas encore été développées; et
- ces opinions sont fondées sur une comparaison des conditions, telles qu'elles existaient au
moment de la vérification, avec les critères de vérification établis à l'avance et acceptés
par la direction. Les éléments de preuve ont été recueillis conformément à la politique,
aux directives et aux normes en matière de vérification interne du Conseil du Trésor, et
les procédures utilisées répondaient aux normes professionnelles de l'Institut des
vérificateurs internes.
Conclusions pour les volets non axés sur la certification
Contrôles de la gestion du projet : Selon notre opinion, les contrôles de la gestion du projet sont efficaces, mis à part l'absence, au moment où nous avons réalisé l'évaluation, d'un cadre décisionnel.
Contrôles associés à l'entrée et au traitement des données : Selon notre opinion, la conception des contrôles associés à l'entrée et au traitement des données avec le système de PTPNI présente des aspects qui nécessitent un degré moyen d'attention de la part de la direction. La plupart de ces problèmes seront résolus lorsque les recommandations formulées pour les volets concernant les contrôles informatiques généraux et les contrôles de l'application PTPNI seront mises en application.
Contrôles associés à la vulnérabilité technique : Selon notre opinion, la conception des contrôles permettant d'atténuer la vulnérabilité technique est efficace, mis à part quelques risques de niveau moyen qui peuvent facilement être corrigés.
Les gestionnaires ont établis un plan d'action détaillé pour faire le point aux problèmes soulevés dans le rapport. À notre avis, la mise en place du plan d'action va aborder tous les points à améliorer ainsi que d'atténuer les risques identifiés.
Recommandations
Au total, la vérification inclut 18 recommandations formulées en fonction des constatations décrites en détail dans le rapport de vérification. Étant donné que cinq grands domaines de contrôle ont été examinés et que l'on dispose d'un temps limité pour mettre en place les mesures correctives spécifiques avant l'entrée en service du système, il n'y a pas eu de tentative, dans le cadre de la vérification, de regrouper les recommandations à un niveau plus général.
Contrôles informatiques généraux
Sécurité des systèmes d'information
- Les privilèges de mise à jour des accès dans l'environnement de production devraient être
retirés de tous les comptes des membres de l'équipe du projet de PTPNI.
- Il faudrait procéder à un examen afin de s'assurer que tous les formulaires de demande
d'accès sont remplis et que les privilèges d'accès au système correspondent aux
autorisations qui sont accordées en fonction des formulaires de demande d'accès. La
direction devrait envisager de mettre en place un processus pour réviser de façon
régulière les accès accordés aux utilisateurs afin de s'assurer en permanence du caractère
adéquat de ces privilèges d'accès.
- Un processus officiel impliquant les ressources humaines devrait être mis en oeuvre afin
de s'assurer que les comptes (au niveau du réseau, du serveur, de la base de données et de
l'application PTPNI) des employés qui ont cessé d'exercer leur emploi, ou dont le rôle et
les responsabilités ont été modifiés, sont révoqués ou modifiés en temps opportun.
Mise en oeuvre et maintenance des systèmes d'applications
- Il faudrait obtenir des approbations officielles de la part des utilisateurs (ou de leurs
représentants) confirmant qu'ils sont d'accord avec la portée des essais (par ex. , leur
exhaustivité, leur caractère adéquat). De plus, pour chaque jeu d'essais (jeux d'essais de
l'équipe interne du projet de PTPNI et jeux d'essais pour l'acceptation des fonctionnalités
par les utilisateurs), il faudrait obtenir des approbations confirmant que les jeux d'essais
ont été utilisés et que les résultats correspondaient aux attentes.
- Toutes les activités de nettoyage des données devraient être approuvées par les
gestionnaires responsables des utilisateurs ou le responsable du projet. Les gestionnaires
responsables des utilisateurs ou le responsable du projet devraient également approuver
les résultats des essais réalisés afin de confirmer le degré de précision des activités de
nettoyage des données.
- La portée et les résultats des activités de rapprochement des données devraient être
documentés au moyen d'une liste de vérification des conditions de la mise en place que le
Comité d'orientation du projet de PTPNI devrait approuver.
Soutien du réseau et du logiciel d'exploitation
- Le Comité consultatif sur les changements (CCC) devrait s'assurer que les exigences du
Guide sur la gestion du changement sont pleinement respectées, en particulier en ce qui a
trait à l'exigence qui stipule qu'il faut fournir des plans et résultats d'essais documentés.
Planification de la continuité des opérateurs et procédures de sauvegarde
- Les plans de continuité des opérations et de reprise après sinistre d'AINC devraient être
mis à jour pour inclure le système de PTPNI. Des processus devraient être mis en place
afin de s'assurer que ces deux plans sont régulièrement testés et mis à jour.
Contrôles de l'application du système de PTPNI
- La fonctionnalité qu'offre le système de PTPNI devrait être mise à profit afin
d'automatiser des contrôles qui sont, dans toute la mesure du possible, conformes aux
exigences du Cadre de contrôle de gestion (CCG) de la DPT et de la Loi sur la gestion
des finances publiques (LGFP) (articles 32, 33 et 34). Les options qui permettent de
remplacer ou de contourner les formules des ententes de financement, de déléguer des
pouvoirs, de créer plus d'une entente de financement par bénéficiaire pour un même
exercice et de créer des ententes de financement sans utiliser des modèles qui ont été
approuvés par la DPT devraient être supprimées. De plus, les modèles d'entente de
financement devraient déjà comporter des blocs-signature qui sont conformes aux
exigences des autorisations et politiques pertinentes. Comme alternative, des contrôles de
surveillance manuels devraient être élaborés et mis en place afin de s'assurer que les
exigences du Cadre de contrôle de gestion de la DPT ainsi que celles de la LGFP (articles
32, 33 et 34) sont respectées.
- Des contrôles manuels devraient être élaborés et mis en place pour toutes les exigences
du Cadre de contrôle de gestion de la DPT auxquelles ne répondent pas entièrement les
contrôles automatisés du système de PTPNI.
- Compte tenu des difficultés que présente la création dans le système de PTPNI de profils
d'accès d'usager qui correspondent aux titres de poste, nous recommandons la création
d'une matrice de séparation des tâches afin de documenter clairement les activités qui
doivent être distinguées. Si des responsabilités concurrentes doivent être attribuées à des
utilisateurs spécifiques, des contrôles de surveillance devraient être mis en place.
- Les utilisateurs ne devraient pas avoir la possibilité de modifier des variables du système
de PTPNI qui peuvent entraîner des différences entre les données du système de PTPNI et
celles qui apparaissent dans les ententes de financement sur support papier. De plus, tant
que l'état des ententes de financement dans le système de PTPNI en permet la
modification, les versions imprimées des ententes produites par le système devraient
clairement porter la mention « ébauche ».
- Des rapports sur les exceptions devraient être élaborés et utilisés pour la surveillance des
dérogations aux contrôles. De plus, le système de PTPNI devrait forcer les utilisateurs à
enregistrer des commentaires lorsqu'ils dérogent aux exigences redditionnelles
obligatoires.
- La conception des contrôles de l'application PTPNI pour les modules ou les fonctions qui
n'ont pas encore été élaborés devrait être évaluée dès que les fonctionnalités et contrôles
restants seront implantés et ce, avant leur mise en service.
Contrôles de la gestion du projet
- Un cadre décisionnel devrait être élaboré et approuvé par le Comité d'orientation du
projet de PTPNI. Le cadre décisionnel devrait être utilisé pour évaluer l'état de
préparation du projet en vue de la date de mise en service planifiée.
- Des activités de transfert des connaissances devraient être mises en oeuvre pour le
bénéfice de l'équipe du projet afin de réduire la dépendance à l'égard du gestionnaire du
projet. Une plus grande délégation des responsabilités devrait constituer une priorité.
Contrôles associés à l'entrée et au traitement des données
- Jusqu'à ce que le module de rapprochement soit élaboré et mis en oeuvre, les rapports
produits par le système de PTPNI devraient régulièrement être comparés à ceux du
système financier afin de s'assurer qu'il n'y a pas de divergences. Les rapports devraient
être conservés pour les besoins de l'historique d'expertise.
Contrôles associés à la vulnérabilité technique
- Le Ministère devrait officiellement signifier qu'il reconnaît les risques associés à
l'omission de mettre en oeuvre les recommandations formulées dans l'ÉRM avant la mise
en service du système de PTPNI.
Section 1 - Introduction
Contexte
Affaires indiennes et du Nord Canada (AINC) est le principal organisme, mais non le seul, qui est chargé de veiller à ce que le gouvernement respecte ses engagements constitutionnels, politiques et juridiques, ainsi que ses responsabilités en matière de traités, à l'endroit des Premières nations, des Inuits, des Métis et des résidents du Nord. AINC est présentement responsable des décaissements et de la surveillance de subventions et contributions annuelles totalisant environ 5,6 milliards de dollars. Des paiements de transfert (sous forme de subventions et contributions) sont remis aux Premières nations, aux Inuits, aux Métis et aux résidents du Nord, ainsi qu'à leurs organisations, pour permettre la prestation de services aux membres de leurs collectivités respectives, conformément à la Politique sur les paiements de transfert du Conseil du Trésor, et font l'objet d'un contrôle en vertu des exigences internes d'AINC en ce qui a trait à la responsabilité, la présentation de l'information sur le rendement et l'évaluation. Le Système de gestion des paiements de transfert (SGPT) est le système financier présentement utilisé pour gérer les 5,6 milliards $ confiés à AINC et destinés aux subventions, contributions et autres paiements de transfert. La plupart de ces paiements sont transférés directement à environ 2 000 bénéficiaires qui sont en majorité des collectivités et des organisations des Premières nations.
Le système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI) a été conçu pour remplacer le SGPT. Le but du projet de PTPNI est de mettre en place sur le Web un système de gestion des paiements de transfert qui offrira aux collectivités des Premières nations et des Inuits une prestation intégrée de services ainsi que des outils de gestion améliorés. Le système améliorera également la reddition de comptes en rehaussant les capacités de présentation de l'information financière et non financière des bénéficiaires des paiements de transfert. Le nouveau système de PTPNI aidera AINC à gérer l'information sur les ententes de financement et à adopter des pratiques prudentes de gestion de la trésorerie, conformément aux exigences du Conseil du Trésor.
Le système de PTPNI permet entre autres de faciliter le travail de préparation des ententes de financement (par ex. , les activités liées à l'affectation budgétaire), de créer et de tenir à jour des ententes de financement et de gérer les rapports des bénéficiaires qui servent à justifier les dépenses, à enregistrer les résultats des activités et à identifier les besoins potentiels en ce qui a trait aux mesures correctives.
Le projet de PTPNI a vu le jour en 2004 et il devrait être complété en mars 2008 à un coût total de 13,3 millions de dollars (incluant les coûts de maintenance de la première année). La première version du système est présentement en production et, dès qu'elle aura été approuvée par le Comité d'orientation du projet de PTPNI, elle sera utilisée pour créer des ententes de financement pour l'exercice 2007-2008. L'objectif visé pour la première version était d'intégrer toutes les fonctionnalités nécessaires pour le début du cycle des paiements de transfert. Les autres fonctionnalités seront implantées au besoin d'ici la fin du premier cycle des ententes de financement créées dans le système de PTPNI pour l'exercice 2007-2008. La signification financière des paiements de transfert traités par le Ministère et le rôle clé que jouera le système de PTPNI dans la surveillance et le cntrôle des transactions connexes ont poussé le Secteur de la vérification et de l'évaluation (SVE) à inclure la vérification de ce système en voie d'élaboration dans son plan de vérification interne.
Calendrier, objectifs et approche
Une activité préliminaire d'établissement de la portée pour le projet de système de PTPNI en voie d'élaboration a été réalisée entre les mois d'avril et juin 2006 afin de faciliter l'élaboration d'un plan de travail de projet détaillé pour cette vérification.
Les objectifs de la vérification, ainsi que les volets mis en oeuvre pour la réalisation des travaux nécessaires sur le terrain, sont identifiés dans le tableau suivant. Pour chacun des volets, le rapport détaillé contient une section distincte décrivant la méthodologie, le calendrier et la portée de la vérification, ainsi qu'une présentation des constatations correspondantes.
| Objectifs de la vérification du système en voie d'élaboration pour le projet de PTPNI | Volets pertinents de la vérification du système en voie d'élaboration |
|---|---|
| Donner l'assurance que les mécanismes fonctionnels et de contrôle sont conformes aux dispositions de la Loi sur la gestion des finances publiques (LGFP) à tous égards importants (à savoir, les articles 32, 33, et 34). | Contrôles de l'application PTPNI |
| Donner l'assurance que les mécanismes fonctionnels et de contrôle du système sont compatibles avec le Cadre du contrôle de la gestion des paiements de transfert. | Contrôles de l'application PTPNI |
| Évaluer la portée et la pertinence des systèmes internes et des contrôles de l'environnement informatique pour s'assurer de l'exhaustivité, de la précision et de l'authenticité des données qui sont traitées et sauvegardées. | Contrôles associés à l'entrée et au traitement des données Contrôles informatiques généraux |
| Vérifier si une architecture de système et de sécurité adéquate a été élaborée afin de s'assurer qu'une application Web bénéficiera d'un niveau de protection suffisant. | Analyse de la vulnérabilité technique |
| Évaluer les risques associés au projet. | Contrôles de la gestion du projet |
| Évaluer l'appui de la part des différentes parties intéressées à l'égard du projet et formuler des recommandations à ce sujet. | Contrôles de la gestion du projet |
| Examiner le niveau de conformité par rapport aux pratiques relatives au contrôle de l'élaboration et de la gestion de projet. | Contrôles informatiques généraux Contrôles de la gestion du projet |
Chaque volet de travail réalisé dans le cadre de la vérification avait un but spécifique :
- Contrôles informatiques généraux (CIG): Confirmer la qualité de la conception des
CIG utilisés avec le système de PTPNI. Les CIG sont des contrôles associés au
traitement de l'information dans l'environnement informatique.
- Contrôles de l'application PTPNI : Confirmer la qualité de la conception des activités
de contrôle réalisées grâce au système de PTPNI et qui sont incluses dans le Cadre de
contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT). Cela
comprend, par exemple, les fonctionnalités du système de PTPNI qui sont en cours
d'élaboration afin de répondre aux exigences des articles 32, 33 et 34 de la Loi sur la
gestion des finances publiques (LGFP) et conçues de manière à éviter les inexactitudes
financières importantes.
- Contrôles de la gestion du projet : Formuler des commentaires sur la pertinence des
contrôles de la gestion du projet.
- Contrôles associés à l'entrée et au traitement des données : Formuler des
commentaires sur la pertinence des contrôles associés à l'entrée et au traitement des
données.
- Analyse de la vulnérabilité technique : Apporter un complément à l'Évaluation du
risque et de la menace (ÉRM) récemment effectuée par AINC au sujet du système de
PTPNI en réalisant une analyse de la vulnérabilité technique de l'application Web du
système de PTPNI.
Portée
Étant donné que la majeure partie des procédés de vérification et d'examen ont été mis en oeuvre avant la mise en service de la première version de l'application le 11 décembre 2006, et que tous les tests de l'application PTPNI ont été effectués dans l'environnement d'essai, la portée de cette vérification inclut uniquement la conception des contrôles. Aucune opinion n'est offerte quant à la mise en oeuvre ou à l'absence de mise en oeuvre des contrôles dans l'environnement de production, ou à leur efficacité pour une période donnée. Ces éléments devraient être vérifiés dans le cadre d'un suivi du système.
Pour les volets de travail ayant un objectif de certification, l'information recueillie durant les entrevues a été corroborée par l'examen des documents pertinents et/ou par des observations. Dans le cas des volets de travail axés sur la consultation, bien que certains éléments aient fait l'objet d'une corroboration de l'information, quelques-unes des constatations peuvent être fondées uniquement sur de l'information obtenue durant les entrevues.
Section 2 - Évaluation des contrôles informatiques généraux
Méthodologie
Cette évaluation a été réalisée au moyen d'une démarche axée sur le risque harmonisée avec le cadre COBIT de contrôle TI élaboré par l'IT Governance Institute. La méthode consistait à réaliser les activités de vérification suivantes pour chaque domaine de contrôle inclus dans l'examen :
- identifier les objectifs de contrôle pertinents pour chaque domaine à examiner;
- identifier les activités de contrôle pertinentes qui permettent de réaliser intégralement les
objectifs de contrôle;
- évaluer la conception des activités de contrôle identifiées (avant la mise en service du
système).
Portée et calendrier
Portée
| Domaine de contrôle | Description |
|---|---|
| Opérations des systèmes d'information | Supervision et maintenance des opérations des systèmes informatiques. Ordonnancement, surveillance et sécurisation des opérations informatiques. |
| Sécurité de l'information | Conception, mise en oeuvre et maintien de la sécurité de l'information, incluant la sécurité matérielle et logicielle de tous les chemins d'accès aux programmes et aux données. |
| Mise en oeuvre et maintenance des systèmes d'applications | Élaboration, mise en oeuvre (incluant les activités de conversion des données) et maintenance des systèmes d'application. |
| Mise en oeuvre et soutien de la base de données | Gestion de l'architecture des données et maintenance du système de gestion de la base de données. |
| Soutien du réseau | Conception, installation et exploitation des réseaux et des logiciels de communication. |
| Logiciel d'exploitation | Mise en oeuvre et maintenance des logiciels d'exploitation nécessaires, incluant les paramètres qui permettent de configurer et de contrôler ces logiciels. |
| Planification de la continuité des opérations et procédures de sauvegarde | Élaboration d'un plan à l'échelle du Ministère permettant de poursuivre et/ou de reprendre les opérations, advenant un sinistre informatique, à un niveau et dans un délai acceptables pour la direction. |
Calendrier
L'évaluation des Contrôles informatiques généraux (CIG) a été réalisée entre les mois de juin et décembre 2006.
Conclusion
Bien qu'un certain nombre de points forts en matière de contrôle aient été identifiés durant la vérification, la conception des contrôles informatiques généraux nécessite, selon notre opinion, d'importantes améliorations.
Points forts
Parmi les points forts identifiés dans ce domaine, notons :
- le système de PTPNI est muni d'une fonctionnalité efficace permettant de surveiller les
composantes et les erreurs du système;
- des règles fortes de gestion des mots de passe sont imposées au niveau réseau et au
niveau application;
- un système de suivi des billets est utilisé pour gérer le développement du système et les
modifications apportées à l'application
- un Comité consultatif sur les changements (CCC) est en place pour s'assurer que les
risques associés aux changements apportés à l'environnement de production de la
technologie de l'information d'AINC font l'objet d'une évaluation adéquate;
- les procédures de sauvegarde pour le système de PTPNI sont effectuées et les données
sont sauvegardées dans une ville et un édifice distincts de ceux où sont situés les serveurs
de l'environnement de production du système de PTPNI.
| No | Constatation | Risque | Recommandation |
|---|---|---|---|
| Sécurité des systèmes d'information | |||
| 1 | Lorsque les essais ont été réalisés (durant la semaine du 11 au 15 décembre 2006), plusieurs membres de l'équipe du projet de PTPNI avaient un compte actif dans l'environnement de production du système de PTPNI avec des privilèges de mise à jour des accès à certaines des fonctionnalités du système. | Il y a un risque accru que des erreurs se produisent dans l'application en raison de modifications, qu'elles soient intentionnelles ou non, ce qui pourrait en bout de ligne avoir une incidence sur la précision du tr aitement des données. | Les privilèges de mise à jour des accès dans l'environnement de production devraient être retirés de tous les comptes des membres de l'équipe de projet de PTPNI. |
| 2 | Nous avons constaté que certains formulaires de demande d'accès correspondant à des comptes actifs du système de PTPNI n'ont pas été approuvés et que certains utilisateurs ont accès à un plus grand nombre de profils dans le système que ce qui est indiqué dans les formulaires de demande d'accès. De plus, aucun processus n'a encore été mis en place pour réviser de façon régulière les privilèges d'accès dans le système de PTPNI. | Les écarts entre les privilèges d'accès autorisés et les privilèges d'accès mis en place accroissent le risque d'un accès inapproprié de la part des utilisateurs ce qui, par conséquent, menace l'intégrité de l'information gouvernementale. | Il faudrait procéder à un examen afin de s'assurer que tous les formulaires de demande d'accès sont remplis et que les privilèges d'accès au système correspondent aux autorisations qui sont accordées en fonction des formulaires de demande d'accès. La direction devrait envisager de mettre en place un processus pour réviser de façon régulière les accès accordés aux utilisateurs afin de s'assurer en permanence du caractère adéquat de ces privilèges d'accès. |
| 3 | Aucun processus officiel n'a été mis en place afin de s'assurer que les privilèges d'accès au système de PTPNI des employés qui ont cessé d'exercer leur emploi, ou dont les responsabilités ont été modifiées, sont révoqués ou modifiés en temps opportun. | Il existe un risque que d'anciens employés accèdent aux systèmes de manière inappropriée en utilisant des privilèges d'accès qui auraient dû être révoqués. | Un processus officiel impliquant les ressources humaines devrait être mis en oeuvre afin de s'assurer que les comptes (au niveau du réseau, du serveur, de la base de données et de l'application PTPNI) des employés qui ont cessé d'exercer leur emploi, ou dont le rôle et les responsabilités ont été modifiés, sont révoqués ou modifiés en temps opportun. |
| Mise en oeuvre et maintenance des systèmes d'applications | |||
| 4 | La portée des jeux d'essais (à savoir, leur exhaustivité, leur caractère adéquat, etc.) n'a pas été approuvée par les utilisateurs. De plus, les résultats et les approbations des essais (par l'équipe du projet de PTPNI et par les utilisateurs) n'ont pas été officiellement documentés. Il s'agit d'un élément particulièrement important puisque plusieurs bogues ont été identifiés dans le système durant les essais qui ont été réalisés pour les besoins de la présente vérification. | Si la portée des essais n'est pas approuvée par les utilisateurs et que les plans et résultats d'essais ne sont pas officiellement documentés, il y a un risque accru que la fonctionnalité du système ne permette pas de répondre aux besoins. | Il faudrait obtenir des approbations officielles de la part des utilisateurs (ou de leurs représentants) confirmant qu'ils sont d'accord avec la portée des essais (par ex., leur exhaustivité, leur caractère adéquat). De plus, pour chaque jeu d'essais (jeux d'essais de l'équipe interne du projet de PTPNI et jeux d'essais pour l'acceptation des fonctionnalités par les utilisateurs), il faudrait obtenir des approbations confirmant que les jeux d'essais ont été utilisés et que les résultats correspondaient aux attentes. |
| 5 | Il n'y a aucune participation officielle de la part des utilisateurs ou du responsable du projet (le directeur, la Direction des paiements de transfert) dans les activités de nettoyage des données. | Il y a un risque accru que des modifications inappropriées soient apportées aux données de référence durant les activités de nettoyage des données. | Toutes les activités de nettoyage des données devraient être approuvées par les gestionnaires responsables des utilisateurs ou le responsable du projet. Les gestionnaires responsables des utilisateurs ou le responsable du projet devraient également approuver les résultats des essais réalisés afin de confirmer le degré de précision des activités de nettoyage des données. |
| 6 | Le responsable du projet n'a pas officiellement approuvé les résultats de la conversion des données (par ex., les activités de mise en concordance et de rapprochement). | Il y a un risque accru que le responsable du projet ne soit pas au courant des erreurs ou des autres problèmes rencontrés durant le processus de conversion des données. | La portée et les résultats des activités de rapprochement des données devraient être documentés au moyen d'une liste de vérification des conditions de la mise en place que le Comité d'orientation du projet de PTPNI devrait approuver. |
| Soutien du réseau et du logiciel d'exploitation | |||
| 7 | Notre examen d'une modification apportée au système d'exploitation et au réseau a révélé que les plans et résultats d'essais n'ont pas été officiellement documentés. | Il y a un risque accru que la fonctionnalité du système ne réponde pas aux besoins en raison des changements récemment apportés à l'infrastructure du système de PTPNI. | Le Comité consultatif sur les changements (CCC) devrait s'assurer que les exigences du Guide sur la gestion du changement sont pleinement respectées, en particulier en ce qui a trait à l'exigence qui stipule qu'il faut fournir des plans et résultats d'essais documentés. |
| Planification de la continuité des opérations et procédures de sauvegarde | |||
| 8 | Le système de PTPNI n'est pas inclus dans le plan de continuité des opérations d'AINC et dans son plan connexe de reprise après sinistre. Les deux plans sont obsolètes et n'ont pas récemment été mis à l'essai. | Il y a un risque accru que le système de PTPNI ne réponde pas aux exigences de disponibilité identifiées dans l'Évaluation du risque et de la menace (ÉRM) du système de PTPNI. | The INAC Les plans de continuité des opérations et de reprise après sinistre d'AINC devraient être mis à jour pour inclure le système de PTPNI. Des processus devraient être mis en place afin de s'assurer que ces deux plans sont régulièrement testés et mis à jour. |
Section 3 - Évaluation des contrôles de l'application PTPNI
Méthodologie
L'objectif de ce volet de travail consistait à déterminer si la conception des contrôles de l'application PTPNI permettait de répondre adéquatement aux exigences du Cadre de contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT) et des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques (LGFP). Les activités de vérification suivantes ont été réalisées afin d'atteindre cet objectif :
- des énoncés de contrôle provenant du CCG de la DPT et des articles 32, 33 et 34 de la
LGFP ont été utilisés pour la formulation des critères de vérification;
- les critères de vérification ainsi obtenus ont été validés conjointement avec le responsable
du projet de PTPNI;
- les contrôles planifiés de l'application PTPNI qui répondent aux exigences des critères de
vérification ont été identifiés. Cela a permis la création de la liste des contrôles du
système de PTPNI répondant aux exigences du CCG de la DPT et des articles 32, 33 et
34 de la LGFP et la définition de la portée de ce volet de travail;
- on a procédé à des entrevues dans le but de comprendre de quelle façon les contrôles de
l'application identifiés seront mis en oeuvre dans le système de PTPNI, et de déterminer
les mesures qui seront prises pour s'assurer que ces contrôles fonctionnent adéquatement
avant la mise en service de ce système (par ex. , mises à l'essai).
- la conception des contrôles de l'application PTPNI qui ont été identifiés a été documentée
et mise à l'essai.
Portée et calendrier
Portée
La conception des contrôles de l'application PTPNI répondant aux exigences du Cadre de contrôle de gestion de la DPT et des articles 32, 33 et 34 de la Loi sur la gestion des finances publiques a permis de définir la portée de ce volet de travail. Les contrôles ont été évalués dans les domaines suivants :
- critères d'accès / Évaluation de la gestion;
- modalités des ententes de financement;
- présentation de l'information financière et de l'information relative au programme;
- surveillance active;
- intervention;
- Articles 32, 33 et 34 de la Loi sur la gestion des finances publiques
Calendrier
L'évaluation des contrôles de l'application PTPNI a été réalisée entre les mois de juin et décembre 2006.
Conclusion
Selon notre opinion, la conception des contrôles de l'application PTPNI relatifs aux exigences de la LGFP stipulées aux articles 32, 33 et 34 présente des problèmes de niveau moyen nécessitant l'attention de la direction.
Bien qu'un certain nombre de points forts en matière de contrôle aient été identifiés durant la vérification, selon notre opinion, la conception des contrôles de l'application PTPNI relatifs au CCG de la DPT nécessite d'importantes améliorations. Un bon nombre de contrôles manuels doivent toujours être utilisés pour compléter les contrôles du système de PTPNI et pour s'assurer que les objectifs liés au contrôle sont atteints.
Points forts
Parmi les points forts identifiés dans ce domaine, notons :
- le système de PTPNI fournit des outils qui permettent de s'acquitter plus efficacement des
exigences en matière de présentation de l'information, notamment l'inclusion automatique
des exigences obligatoires en matière de présentation de l'information durant le processus
de préparation des ententes de financement.
- le système de PTPNI permet d'établir une interface avec le système financier afin de
s'assurer que les obligations et les paiements associés au financement ne sont traités que
si les fonds nécessaires sont disponibles.
- les contrôles de sécurité empêchent un utilisateur d'émettre simultanément des
approbations en vertu de l'article 33 et de l'article 34 de la LGFP.
| No | Constatation | Risque | Recommandation |
|---|---|---|---|
| Le système de PTPNI ne mettra pas pleinement à profit la technologie qui lui permettrait d'automatiser les contrôles. | |||
| 1 | Bien que les formules des ententes de financement seront intégrées dans le système de PTPNI afin de s'assurer que les allocations de fonds sont correctement calculées, les utilisateurs seront en mesure de contourner ce contrôle en important les allocations à partir d'une feuille de calcul. | Il y a un risque accru que les allocations associées aux ententes de financement ne respectent pas les politiques et procédures applicables. | La fonctionnalité qu'offre le système de PTPNI devrait être mise à profit afin d'automatiser des contrôles qui, dans toute la mesure du possible, sont conformes aux exigences du Cadre de contrôle de gestion (CCG) de la DPT et de la Loi sur la gestion des finances publiques (LGFP) (articles 32, 33 et 34). Les options qui permettent de remplacer ou de contourner les formules des ententes de financement, de déléguer des pouvoirs, de créer plus d'une entente de financement par bénéficiaire pour un même exercice et de créer des ententes de financement sans utiliser des modèles qui ont été approuvés par la DPT devraient être supprimées. |
| 2 | Une fonction d'association d'utilisateurs permet aux usagers de déléguer leurs pouvoirs dans le système, ce qui signifie que le contrôle principal devient maintenant un contrôle manuel extérieur au système (par ex., la façon dont un agent de budget communique une approbation à l'adjoint administratif). | Il y a un risque accru que les transactions et les approbations ne soient pas effectuées par les utilisateurs qui sont autorisés à réaliser ces activités, ce qui fait que l'on se fie entièrement au contrôle manuel effectué à l'extérieur du système. | |
| 3 | Le système de PTPNI permet à l'utilisateur de créer plus d'une entente de financement par bénéficiaire pour un même exercice. | Il y a un risque d'erreur accru et, de façon générale, le suivi devient plus difficile pour le bénéficiaire. | De plus, les modèles
d'ententes de financement
devraient déjà comporter
des blocs-signature qui
sont conformes aux
exigences des
autorisations et politiques
pertinentes. Comme alternative, des contrôles de surveillance manuels devraient être élaborés et mis en place afin de s'assurer que les exigences du Cadre de contrôle de gestion de la DPT ainsi que celles de la LGFP (articles 32, 33 et 34) sont respectées. |
| 4 | Pour les modèles d'ententes de
financement :
|
Il y a un risque accru que les ententes de financement et d'autres documents clés (par ex., les avis d'ajustement budgétaire, les amendements aux ententes de financement) ne respectent pas les politiques et procédures applicables. | |
| Contrôles manuels mis en oeuvre en complément des contrôles automatiques du système de PTPNI | |||
| 5 | Bon nombre des énoncés de contrôle provenant du Cadre de contrôle de gestion (CCG) de la Direction des paiements de transfert (DPT) constituent des exigences auxquelles ne répondent pas entièrement les contrôles de l'application PTPNI. | En l'absence de contrôles manuels adéquats utilisés en complément des contrôles de l'application intégrés au système de PTPNI, il y a un risque accru que les exigences en matière de contrôle du CCG de la DPT et des articles 32, 33 et 34 de la LGFP ne soient pas respectées. | Des contrôles manuels devraient être élaborés et mis en place pour toutes les exigences du Cadre de contrôle de gestion de la DPT auxquelles ne répondent pas entièrement les contrôles automatisés du système de PTPNI. |
| Séparation des tâches | |||
| 6 | L'approche en matière de sécurité appliquée au système de PTPNI n'est pas fondée sur la description des postes (à savoir, il n'y a pas de mise en correspondance directe entre les profils de sécurité du système de PTPNI et les titres de poste) et aucun outil d'analyse pour la séparation des tâches n'a été élaboré de manière à s'assurer que les utilisateurs ne se voient pas confier des responsabilités concurrentes. | Il y a un risque accru de voir apparaître des incompatibilités dans la séparation des tâches. | Compte tenu des difficultés que présente la création, dans le système de PTPNI, de profils d'accès d'usager qui correspondent aux titres de poste, nous recommandons la création d'une matrice de séparation des tâches afin de documenter clairement les activités qui doivent être distinguées. Si des responsabilités concurrentes doivent être attribuées à des utilisateurs spécifiques, des contrôles de surveillance devraient être mis en place. |
| Lacunes identifiées dans les contrôles de l'application PTPNI | |||
| 7 | Les utilisateurs peuvent modifier la valeur des données clés qui seront incluses dans les copies papier des ententes de financement, ce qui peut entraîner des écarts entre les copies papier des ententes de financement et les copies de ces ententes qui sont stockées dans le système de PTPNI. Cela vaut également pour les avis d'ajustement budgétaire et les amendements apportés aux ententes de financement existantes. De plus, les utilisateurs peuvent imprimer une entente de financement dans sa version finale alors que cette entente peut toujours être modifiée dans le système de PTPNI. | Il y a un risque accru que les copies papier des ententes de financement qui portent une signature officielle pour les besoins des dispositions contractuelles soient différentes des ententes de financement enregistrées dans le système de PTPNI et qui servent à initier les paiements. | Les utilisateurs ne devraient pas avoir la possibilité de modifier des variables du système de PTPNI qui peuvent entraîner des différences entre les données du système de PTPNI et celles qui apparaissent dans les ententes de financement sur support papier. De plus, tant que l'état des ententes de financement dans le système de PTPNI en permet la modification, les versions imprimées des ententes produites par le système devraient clairement porter la mention « ébauche ». |
| 8 | Aucun rapport sur les exceptions n'a été élaboré pour la surveillance des dérogations aux contrôles. De plus, les utilisateurs peuvent déroger à une exigence redditionnelle obligatoire sans fournir d'explication. | Il y a un risque accru que les exigences redditionnelles ne respectent pas les attentes de la direction. | Des rapports sur les exceptions devraient être élaborés et utilisés pour la surveillance des dérogations aux contrôles. De plus, le système de PTPNI devrait forcer les utilisateurs à enregistrer des commentaires lorsqu'ils dérogent aux exigences redditionnelles obligatoires. |
| Fonctionnalités non incluses dans la version du 11 décembre 2006 du système de PTPNI | |||
| 9 | Certaines fonctionnalités du
système de PTPNI ainsi que
des contrôles connexes de
l'application n'ont pas été
inclus dans la première
version du système de PTPNI
mise en oeuvre le 11 décembre
2006. Cela inclut :
|
Cela a une incidence sur la portée de la vérification en cours (par ex. , les contrôles qui seront intégrés aux modules qui n'ont pas encore été élaborés n'ont pas été évalués). | La conception des contrôles de l'application PTPNI pour les modules ou les fonctions qui n'ont pas encore été élaborés devrait être évaluée dès que les fonctionnalités et contrôles restants seront implantés et ce, avant leur mise en service. |
Section 4 - Évaluation des contrôles de la gestion du projet
Méthodologie
Notre évaluation a été fondée principalement sur des examens des documents et des entrevues avec des intervenants clés du projet à AINC. Nous avons eu de nombreuses rencontres avec le gestionnaire de projet du système de Paiements de transfert aux Premières nations et aux Inuits (PTPNI), des intervenants du projet à l'administration centrale d'AINC (à savoir, le directeur des Services administratifs, un représentant du Bureau de gestion de projets de la Direction générale de la gestion de l'information, le responsable du projet de PTPNI), et trois coordonnateurs régionaux du pojet de PTPNI (à savoir, pour les régions du Québec, de la Saskatchewan et du Nunavut). Nous avons fondé notre évaluation sur une comparaison des pratiques présentement utilisées par rapport aux meilleures pratiques appliquées aux projets de mise en oeuvre de systèmes de TI de grande envergure.
Portée et calendrier
Portée
L'évaluation des contrôles de la gestion de projet a été axée sur les sept domaines clés suivants :
| Domaine de contrôle | Description |
|---|---|
| Organisation | La structure organisationnelle, les rôles et les responsabilités dans le cadre du projet de PTPNI sont appropriés et adéquatement définis. |
| Planification et ordonnancement du travail | La documentation concernant la planification du projet est disponible et communiquée de manière appropriée, et elle décrit en détail la façon dont le projet sera mis en oeuvre et surveillé. |
| Processus de gestion par problèmes | Le processus de gestion par problèmes permet de s'assurer que les problèmes associés aux activités du projet sont documentés, communiqués et rapidement résolus. |
| Gestion du risque | Le processus de gestion du risque permet de s'assurer que les risques associés au projet sont gérés de manière proactive et conformément à un processus établi à l'avance. |
| Gestion de la portée du projet | Un processus de gestion de la portée du projet a été mis en place afin de s'assurer que le projet comporte toutes les étapes nécessaires et que les changements apportés au contenu au cours du projet sont pris en charge. |
| Communications et présentation de l'information | Les communications et l'information présentées relativement aux attentes, à l'avancement et à l'état du projet dans son ensemble sont cohérentes, efficaces et fournies en temps opportun. |
| Gestion de la qualité | Le processus de gestion de la qualité permet de s'assurer que le projet répond aux attentes sur lesquelles il a été fondé. |
L'évaluation des contrôles de la gestion du projet était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.
Calendrier
L'évaluation a été réalisée entre les mois de juillet et octobre 2006. Le rapport sur l'évaluation des contrôles de la gestion du projet a été déposé, à l'origine, le 31 octobre 2006.
Conclusion
Selon notre opinion, les contrôles de la gestion du projet sont bien établis, exception faite de l'absence, au moment où l'évaluation a été réalisée, d'un cadre décisionnel.
Points forts
Parmi les points forts relevés dans ce domaine, notons :
- un comité d'orientation est en place depuis le tout début du projet;
- les intervenants estiment qu'ils ont été consultés de manière appropriée durant la phase de
définition de la portée du projet et qu'aucune modification majeure n'a été apportée au
contenu du projet;
- les coordonnateurs régionaux du projet de PTPNI dans chaque région peuvent faciliter la
communication entre les Premières nations, le personnel des bureaux régionaux d'AINC
et l'équipe du projet de PTPNI;
- des normes et des lignes directrices documentées ont été élaborées par l'équipe du projet
de PTPNI pour les besoins du développement de l'application, de la gestion du
changement et de l'assurance de la qualité.
Étant donné que la vérification a été réalisée peu de temps avant la date de mise en service initiale, il est entendu que la possibilité de voir les risques identifiés se concrétisent est en partie réduite. Toutefois, considérant que le mandat de l'équipe du projet de PTPNI se poursuit jusqu'en mars 2008, nos observations pourraient être utilisées comme des leçons apprises pour la planification des développements à venir dans le cadre du projet de PTPNI.
| No | Constatation | Risque | Recommandation |
|---|---|---|---|
| 1 | Certains des principaux livrables de projet, incluant de nombreux jeux d'essais, n'avaient pas encore été complétés à moins de deux mois et demi de la date de mise en service prévue pour le projet. | Il y a un risque que l'application ne présente pas les degrés de précision et d'exhaustivité souhaités à la date de mise en service prévue. | Un cadre décisionnel devrait être élaboré et approuvé par le Comité d'orientation du projet de PTPNI. Le cadre décisionnel devrait être utilisé pour évaluer l'état de préparation du projet en vue de la date de mise en service planifiée. |
| 2 | Les responsabilités du gestionnaire de projet sont nombreuses et d'une grande importance pour la réalisation du projet. | Si le gestionnaire du projet de PTPNI n'était plus disponible, il y aurait un risque accru que la réalisation du projet en temps opportun soit compromise. | Des activités de transfert des connaissances devraient être mises en oeuvre pour le bénéfice de l'équipe du projet afin de réduire la dépendance à l'égard du gestionnaire de projet. Une plus grande délégation des responsabilités devrait constituer une priorité. |
Section 5 - Évaluation des contrôles associés à l'entrée et au traitement des données
Méthodologie
L'objectif de ce volet de travail était de déterminer si les contrôles associés à l'entrée et au traitement des données intégrés dans le système de PTPNI sont conformes aux meilleures pratiques relatives au contrôle. Pour cet examen, on a utilisé un sous-ensemble des objectifs recommandés par le cadre CobiT 4. 0 relativement au contrôle de l'application. CobiT est un cadre de gouvernance en matière de TI ainsi qu'un ensemble d'outils de soutien publié par l'IT Governance Institute. Les activités de vérification suivante ont été réalisées :
- l'identification des objectifs pertinents en matière de contrôle pour chaque catégorie;
- l'identification des contrôles de l'application pertinents qui répondent aux objectifs en
matière de contrôle;
- l'évaluation de la conception des contrôles de l'application identifiés (avant la mise en
service du système).
Portée et calendrier
Portée
Nous avons évalué les domaines et objectifs de contrôle suivants qui ont été tirés du cadre CobiT 4. 0 :
| Domaine de contrôle | Description (noms des objectifs provenant du cadre CobiT 4. 0) |
|---|---|
| Contrôles associés à l'entrée des données | AC6 Procédures d'autorisation concernant l'entrée de données |
| AC7 Vérifications de la précision, de l'exhaustivité et de l'autorisation | |
| AC8 Gestion des erreurs d'entrée de données | |
| Contrôles associés au traitement des données | AC9 Intégrité du traitement des données |
| AC10 Validation et préparation du traitement des données | |
| AC11 Gestion des erreurs de traitement des données | |
| Contrôles périphériques | AC17 Authenticité et intégrité |
| AC18 Protection de l'information sensible durant la transmission et le transport |
L'évaluation des contrôles associés à l'entrée et au traitement des données était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.
Calendrier
L'évaluation des contrôles associés à l'entrée et au traitement des données a été réalisée entre les mois de juin et décembre 2006.
Conclusion
Selon notre opinion, la conception des contrôles associés à l'entrée et au traitement des données dans le système de PTPNI présente des problèmes de niveau moyen nécessitant l'attention de la direction.
Points forts
Parmi les points forts que nous avons relevés dans ce domaine, notons :
- les vérifications par épurement sont utilisées pour contrôler la qualité des données qui
sont entrées et pour produire des messages d'erreur lorsque des problèmes sont identifiés.
Les transactions ne sont pas traitées tant que les utilisateurs n'ont pas résolu les messages
d'erreur.
- les transactions génèrent des pistes de vérification détaillées;
- les rapports présentés par les bénéficiaires sont uniquement considérés comme des
rapports finaux après que le personnel d'AINC les ait révisés pour en déterminer la
pertinence.
| No | Constatation | Risque | Recommandation |
|---|---|---|---|
| Contrôles associés à l'entrée des données | |||
| 1 | Le module de rapprochement qui comparera les fonds engagés en vertu du système financier avec les fonds engagés en vertu du système de PTPNI n'a pas encore été développé et sa mise en oeuvre n'est pas prévue avant le mois de mars 2008. | Il y a un risque accru que des divergences entre les données du système de PTPNI et celles du système financier ne soient pas identifiées en temps opportun. | Jusqu'à ce que le module de rapprochement soit élaboré et mis en oeuvre, les rapports produits par le système de PTPNI devraient régulièrement être comparés à ceux du système financier afin de s'assurer qu'il n'y a pas de divergences. Les rapports devraient être conservés pour les besoins de l'historique d'expertise. |
Section 6 - Analyse de la vulnérabilité technique
Méthodologie
L'analyse a inclus des évaluations de la vulnérabilité, tant à l'échelle du réseau qu'au niveau de l'application. La méthodologie utilisée pour l'évaluation de la vulnérabilité du réseau a été conçue de manière à identifier les lacunes des services du réseau et à minimiser le risque durant les essais portant sur le déni des services ou la corruption des données. Cette méthodologie incluait le profilage du système hôte, le profilage des services et l'identification des vulnérabilités. L'évaluation de la vulnérabilité au niveau de l'application a été effectuée en utilisant deux scénarios : 1) une attaque contre l'application par un pirate informatique anonyme ne possédant pas de compte et 2) une attaque contre l'application par un utilisateur possédant un compte valide.
Portée et calendrier
Portée
Les éléments suivants faisaient partie de la vérification : une évaluation de la vulnérabilité du réseau, une évaluation de la vulnérabilité de l'application et une mise à jour de l'état d'avancement du plan d'action concernant les recommandations présentées dans le rapport d'Évaluation du risque et de la menace (ÉRM) associés au système de PTPNI.
Les éléments suivants ne faisaient pas partie de la vérification : un examen complet de l'infrastructure de réseau sous-jacente et du module CASC (Corporate Application Security Controller) utilisés pour l'ouverture de session dans le système de PTPNI.
L'évaluation de la vulnérabilité technique était axée sur la consultation et, à ce titre, certaines constatations peuvent être fondées uniquement sur l'information recueillie durant les entrevues.
Calendrier
L'évaluation de vulnérabilité technique a été réalisée du 8 au 14 novembre 2006.
Conclusion
Selon notre opinion, la conception des contrôles permettant d'atténuer la vulnérabilité technique est efficace, mis à part les risques de niveau moyen décrits ci-dessous. Ces risques peuvent facilement être atténués en mettant en oeuvre les recommandations.
Points forts
Parmi les points forts que nous avons relevés dans ce domaine, notons :
- une évaluation du risque et de la menace et un énoncé de sensibilité ont récemment été
réalisés pour le système de PTPNI.
- le protocole sécurisé de cryptage (SSL – Secure Socket Layer) est utilisé par l'application
pour sécuriser la communication entre le serveur Web et les navigateurs Web des clients;
- un réseau privé virtuel offre une protection additionnelle aux utilisateurs qui accèdent au
système de PTPNI de l'extérieur du réseau d'AINC (par ex., les utilisateurs membres des
Premières nations).
| No | Constatation | Risque | Recommandation |
|---|---|---|---|
| État d'avancement du plan d'action concernant les recommandations formulées dans le cadre de l'évaluation du risque et de la menace | |||
| 1 | D'après le plan d'action, plusieurs risques identifiés dans l'évaluation du risque et de la menace (ÉRM) associés au système de PTPNI ont été acceptés. Toutefois, le Ministère n'a pas officiellement signifié qu'il reconnaît ces risques ou créé un plan d'action qui tient compte de ces risques. | Il y a un risque accru que la haute direction ne soit pas au courant des risques résiduels découlant d'une omission de mettre en oeuvre toutes les recommandations de l'ÉRM avant la mise en service du système. | Le Ministère devrait officiellement signifier qu'il reconnaît les risques associés à l'omission de mettre en oeuvre ces recommandations formulées dans l'ÉRM avant la mise en service du système de PTPNI. |
| 2 | Aucune décision n'a encore été prise en ce qui a trait à la mise en oeuvre de deux des recommandations de l'ÉRM et on ne prévoit pas prendre de décision à cet égard avant le 31 mars 2007, alors que l'application des PTPNI sera déjà en service. | ||
| 3 | Bien qu'un plan d'action concernant deux des recommandations de l'ÉRM ait été approuvé, il ne sera pas mis en oeuvre avant le prochain exercice, alors que le système sera déjà en service. | ||
Plan d'action
| Titre du projet : | Vérification de système en voie d'élaboration pour le système de Paiements de transfert aux Premières nations et aux Inuits |
| Projet: | 05/09 |
| Région / secteur : | Secteur du Dirigeant principal des finances |
| Recommandations | Actions | Gestionnaire Responsable (Titre) | Date prévue de la mise en oeuvre |
|---|---|---|---|
| Contrôles informatiques généraux 1. Les privilèges de mise à jour des accès dans l'environnement de production devraient être retirés de tous les comptes des membres de l'équipe du projet de PTPNI. |
Comme les membres de l'équipe du projet de PTPNI ne sont pas jumelés à des GCR, ils ne peuvent effectuer aucune opération financière ou apporter des changements aux données financières existantes. Dans le cadre de leurs rôles et responsabilités, les membres du Centre de dépannage du système de PTPNI ont le privilège de créer de nouveaux comptes d'utilisateur ou de modifier des tables du système. Le Centre de dépannage passera sous la responsabilité de la Direction des paiements de transfert en octobre 2007. Dans l'intervalle, l'accès sera surveillé de façon périodique (mensuellement) et tous les droits d'accès (droits de lecture) des membres de l'équipe de projet seront révoqués au terme du projet. Enfin, la Direction des systèmes d'information propose un contrôle centralisé de tous les comptes liés aux applications d'AINC d'ici mars 2008. |
Directeur, Projet PTPNI |
31 octobre 2007 31 mars 2008 |
| 2. Il faudrait procéder à un examen afin de s'assurer que tous les formulaires de demande d'accès sont remplis et que les privilèges d'accès au système correspondent aux autorisations qui sont accordées en fonction des formulaires. La direction devrait envisager de mettre en place un processus pour réviser de façon régulière les accès accordés aux utilisateurs afin de s'assurer en permanence du caractère adéquat de ces privilèges d'accès. | Le caractère adéquat et exhaustif des formulaires de demande d'accès ainsi que les privilèges d'accès accordés seront vérifiés dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la Direction des paiements de transfert à compter de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque. | Directeur, Paiements de transfert | 31 mars 2008 |
| 3. Un processus officiel impliquant les ressources humaines devrait être mis en oeuvre afin de s'assurer que les comptes (au niveau du réseau, du serveur, de la base de données et de l'application PTPNI) des employés qui ont cessé d'exercer leur emploi, ou dont le rôle et les responsabilités ont été modifiés, sont révoqués ou modifiés en temps. | La Direction de la gestion de l'information a mis au point
une procédure comprenant une liste de vérification, qui vise
à s'assurer que les privilèges d'accès des employés au
système de PTPNI sont révoqués après leur départ du
Ministère. À compter de l'exercice 2007-2008, on évaluera l'efficacité de ce contrô le dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la Direction des paiements de transfert. |
Directeur, Paiements de transfert | 31 mars 2007 (Mis en oeuvre) 31 mars 2008 |
| 4. Il faudrait obtenir des approbations officielles de la part des utilisateurs (ou de leurs représentants) confirmant qu'ils sont d'accord avec la portée des essais (p. ex. leur exhaustivité, leur caractère adéquat). De plus, pour chaque jeu d'essai, (jeux d'essais de l'équipe interne du Projet de PTPNI et jeux d'essais pour l'acceptation des fonctionnalités par les utilisateurs), il faudrait obtenir des approbations confirmant que les jeux d'essais ont été utilisés et que les résultats correspondaient aux attentes. | Suivant cette recommandation, le PTPNI a mis au point une procédure d'essais très stricte pour obtenir des approbations officielles pour chaque scénario exécuté. Ces scénarios constituent l'aspect le plus critique du PTPNI (c.-à-d. les articles 32, 34, 33 et leur interface respective avec OASIS). De plus, les utilisateurs utilisent maintenant le système en production, ce qui leur permet d'exprimer leurs commentaires sur les secteurs à améliorer. | Directeur, Projet de PTPNI | 28 février 2007 (Mis en oeuvre) |
| 5. Toutes les activités de nettoyage des données devraient être approuvées par les gestionnaires responsables des utilisateurs ou le responsable du projet. Ces personnes devraient également approuver les résultats des essais réalisés afin de confirmer le degré de précision des activités de nettoyage des données. | Le responsable du projet a examiné et approuvé le document de conversion des données, y compris les activités de nettoyage des données et les résultats des essais. | Directeur, Paiements de transfert | 31 janvier 2007 (Mis en oeuvre) |
| 6. La portée et les résultats des activités de rapprochement des données devraient être documentés au moyen d'une liste de vérification des conditions de la mise en place que le Comité d'orientation du projet de PTPNI devrait approuver. | Le Comité d'orientation du projet a approuvé les activités de rapprochement des données au moyen d'une liste de vérification des conditions de mise en place. | Directeur, Projet de PTPNI | 31 janvier 2007 (Mis en oeuvre) |
| 7. Le Comité consultatif sur les changements (CCC) devrait s'assurer que les exigences du Guide sur la gestion du changement sont pleinement respectées, en particulier en ce qui a trait à l'exigence qui stipule qu'il faut fournir des plans et résultats d'essais documentés. | On examine actuellement le processus du Comité consultatif sur les changements. La DGGI veillera à que l'on réponde au risque en documentant les plans et les résultats des essais en fonction des changements apportés au serveur, aux ordinateurs et à l'infrastructure du réseau. | Dirigeant principal de l'information | 31 décembre 2007 |
| 8. Les plans de continuité des opérations et de reprise après sinistre d'AINC devraient être mis à jour pour inclure le système de PTPNI. Des processus devraient être mis en place afin de s'assurer que ces deux plans sont régulièrement testés et mis à jour. | Dans le cadre du plan d'action sur la sécurité de la gestion des technologies de l'information (GSTI), le Ministère a conçu un nouveau plan de reprise en cas de sinistre informatique dans lequel il inclut le système de PTPNI comme un système essentiel à la mission. | Dirigeant principal de l'information | 31 janvier 2007 (Mis en oeuvre) |
| Contrôle des applications PTPNI 9. La fonctionnalité qu'offre le système de PTPNI devrait être mise à profit afin d'automatiser des contrôles qui sont, dans toute la mesure du possible, conformes aux exigences du Cadre de contrôle de gestion (CCG) de la DPT et de la Loi sur la gestion des finances publiques (LGFP) (articles 32, 33 et 34). Les options qui permettent de remplacer ou de contourner les formules des ententes de financement, de déléguer des pouvoirs, de créer plus d'une entente de financement par bénéficiaire pour un même exercice et de créer des ententes de financement sans utiliser des modèles qui ont été approuvés par la DPT devraient être supprimées. De plus, les modèles d'entente de financement devraient déjà comporter des blocs-signature qui sont conformes aux exigences des autorisations et politiques pertinentes. Comme alternative, des contrôles de surveillance manuels devraient être élaborés et mis en place afin de s'assurer que les exigences du Cadre de contrôle de gestion de la DPT ainsi que celles de la LGFP (articles 32, 33 et 34) sont respectées. |
Le Comité d'orientation du Projet de PTPNI reconnaît le risque, compte tenu de la méthodologie de financement régional actuelle d'AINC et des stratégies de gestion des changements apportés aux processus opérationnels. Bien que le système de PTPNI, qui possède des contrôles et une sécurité de système semblables à ceux d'OASIS, offre la possibilité de refléter l'application des activités liées aux articles 32, 33 et 34 de la LGFP, il ne peut reconnaître officiellement l'approbation de ces activités de façon électronique et requiert toujo urs une signature officielle. Par conséquent, il y a un risque que la signature physique ne concorde pas avec la signature électronique. Pour fournir l'assurance que le PTPNI reflète les décisions signées par les GCR et les agents des finances, on comparera les documents signés à la main et les montants enregistrés de façon électronique au moyen d'activités de surveillance. Cette surveillance sera exercée tout au long de l'année par la Section de la conformité de la DPT , qui prélèvera des échantillons dans chaque région, assujetti à une évaluation annuelle du risque. Pour atténuer le risque et faciliter la surveillance, les responsables du Projet de PTPNI mettront en oeuvre les mesures suivantes :
Le système de PTPNI offre la capacité au Ministère de vérifier en ligne si l'on a conclu plus d'une entente avec un bénéficiaire. De plus, s'il rencontre ce genre de situation, il en informe l'utilisateur. Ces changements représentent des améliorations importantes dans les contrôles relatifs à la conclusion d'ententes de financement. On exercera ces contrôles pour diminuer la probabilité que plus d'une entente de financement soit créée pour chaque bénéficiaire. L'utilisation de modèles d'ententes dans le système de PTPNI a contribué à améliorer le contrôle, car elle perm et à l'utilisateur de déceler les écarts entre les modèles nationaux et les besoins opérationnels des régions. Les contrôles assurent le respect du Cadre de contrôle de gestion. Bien que la mise en oeuvre de nouveaux contrôles au moyen du système de PTPNI ait causé des difficultés opérationnelles pour la Direction des paiements de transfert et pour les régions, elle a permis à AINC de créer une plus grande uniformité à l'échelle nationale. Bien que les régions aient une certaine flexibilité, la Direction des paiements de transfert a maintenant un outil (le PTPNI) pour surveiller les modèles et les ententes en ligne. Cet outil fera l'objet d'activités de vérification d e la conformité menées par la DPT au cours de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque. |
Directeur, Paiements de transfert Directeur, Paiements de transfert Directeur, Paiements de transfert Dirigeant principal de l'information Directeur, Paiements de transfert Directeur, Paiements de transfert |
31 mars 2008 31 mars 2008 30 juin 2007 31 octobre 2007 31 mars 2008 31 mars 2009 31 mars 2008 |
| 10. Des contrôles manuels devraient être élaborés et mis en place pour toutes les exigences du Cadre de contrôle de gestion de la DPT auxquelles ne répondent pas entièrement les contrôles automatisés du système de PTPNI. | Le respect de toutes les exigences de la DPT en matière de contrôle qui ne sont pas intégrées à l'application sera examiné lors d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la DPT à compter de l'exercice 2007-2008, assujetti à une évaluation annuelle du risque. | Directeur, Paiements de transfert | 31 mars 2008 |
| 11. Compte tenu des difficultés que présente la création dans le système de PTPNI de profils d'accès d'usager qui correspondent aux titres de poste, nous recommandons la création d'une matrice de séparation des tâches afin de documenter clairement les activités qui doivent être distinguées. Si des responsabilités concurrentes doivent être attribuées à des utilisateurs spécifiques, des contrôles de surveillance devraient être mis en place. | L'absence d'une structure organisationnelle commune dans les différents secteurs et régions rend cette approche difficilement applicable. On a élaboré les autorisations relatives au système de PTPNI de manière à s'adapter aux différentes structures organisationnelles des régions. Les droits d'accès font l'objet d'une surveillance à l'échelle régionale et nationale. En outre, le système de PTPNI a créé des matrices d'autorisation pour faciliter la surveillance des accès par les utilisateurs. T oute mesure additionnelle dépasse les capacités du système de PTPNI. Ce problème sera soumis à l'attention du Comité de la haute direction avant le 30 septembre 2007. | Dirigeant principal des finances | 30 septembre 2007 |
| 12. Les utilisateurs ne devraient pas avoir la possibilité de modifier des variables du système de PTPNI qui peuvent entraîner des différences entre les données du système de PTPNI et celles qui apparaissent dans les ententes de financement sur support papier. De plus, tant que létat des ententes de financement dans le système de PTPNI en permet la modification, les versions imprimées des ententes produites par le système devraient clairement porter la mention "ébauche". | Les ententes sont considérées comme des ébauches jusqu'à
ce qu'elles soient finalisées. Après cela, on ne peut les modifier dans le système. Le système de PTPNI a contribué à améliorer de façon remarquable les contrôles relatifs au processus opérationnel actuel. Bien que les régions aient une certaine flexibilité, pour la première fois, la Direction des paiements de transfert a un outil (le PTPNI) lui permettant de surveiller en ligne les conditions des ententes de financement. À compter de l'exercice 2007-2008, ce contrôle fera l'objet d'activités de vérification de la conformité menées par la Direction des paiements de transfert assujetti à une évaluation annuelle du risque. |
Directeur, Paiements de transfert | 31 mars 2008 |
| 13. Des rapports sur les exceptions devraient être élaborés et utilisés pour la surveillance des dérogations aux contrôles. De plus, le système de PTPNI devrait forcer les utilisateurs à enregistrer des commentaires lorsqu'ils dérogent aux exigences redditionnelles obligatoires. | On créera un rapport d'exception dans la version 2.0 du système de PTPNI afin de surveiller les dérogations aux contrôles. La nouvelle version devrait être disponible en mai 2007. Les dérogations seront examinées dans le cadre d'activités de vérification de la conformité, qui seront menées par la Section de la conformité de la DPT à compter de l'exercice 2007-2008 assujetti à une évaluation annuelle du risque. | Directeur, Paiements de transfert | 31 mars 2008 |
| 14. La conception des contrôles de l'application PTPNI pour les modules ou les fonctions qui n'ont pas encore été élaborés devrait être évaluée dès que les fonctionnalités et contrôles restants seront implantés et ce, avant leur mise en service. | On mènera une vérification consécutive à la mise en oeuvre à la fin du projet (avril 2008) afin d'évaluer l'état des observations courantes et de vérifier les nouveaux modules du système de PTPNI qui seront conçus au cours de l'année financière à venir. | Directeur, Vérification et Service d'assurance | 31 mars 2008 |
| Contrôles de la gestion du projet 15. Un cadre décisionnel devrait être élaboré et approuvé par le Comité d'orientation du projet de PTPNI. Le cadre décisionnel devrait être utilisé pour évaluer l'état de préparation du projet en vue de la date de mise en service planifiée. |
On a élaboré une liste de vérification des conditions de mise en place en consultation avec le Comité d'orientation. Des décisions sont prises à quatre étapes distinctes du projet :
|
Directeur, Projet de PTPNI |
31 octobre 2007 |
| 16. Des activités de transfert des connaissances devraient être mises en oeuvre pour le bénéfice de l'équipe du projet afin de réduire la dépendance à l'égard du gestionnaire du projet. Une plus grande délégation des responsabilités devrait constituer une priorité. | On a élaboré une approche visant à définir le modèle de
soutien et le processus de transition et on l'a présentée au
Comité d'orientation le 16 février 2007. Des ateliers sont prévus en mai et en juin 2007. Le modèle de soutien devrait être défini et approuvé d'ici le 30 septembre 2007. |
Directeur, Projet de PTPNI | 30 septembre 2007 |
| Contrôles associés à l'entrée et au traitement des données 17. Jusqu'à ce que le module de rapprochement soit élaboré et mis en oeuvre, les rapports produits par le système de PTPNI devraient régulièrement être comparés à ceux du système financier afin de s'assurer qu'il n'y a pas de divergences. Les rapports devraient être conservés pour les besoins de l'historique d'expertise. |
Le module de rapprochement sera fonctionnel d'ici octobre 2007. Dans l'intervalle, les utilisateurs devront comparer les rapports financiers d'OASIS et du système de PTPNI pour s'assurer qu'ils ne présentent pas de divergences. |
Directeur, Projet de PTPNI |
31 octobre 2007 |
| Contrôles associés à la vulnérabilité technique 18. Le Ministère devrait officiellement signifier qu'il reconnaît certains des risques identifiés dans le rapport d'évaluation du risque et de la menace du PTPNI, ainsi que l'existence des risques résiduels identifiés. |
Le plan d'action relatif à l'évaluation des menaces et des risques a été officiellement approuvé par le dirigeant principal de l'information. |
Dirigeant principal de l'information |
31 janvier 2007 (Mis en oeuvre) |