Sauter l'index du livret et aller au contenu de la page

Vérification de suivi des contrôles des technologies de l’information des systèmes financiers de la Direction générale des finances et des services ministériels

16 juin 2011


Dates clés de la vérification

Date de la première rencontre (note de lancement)
Juin 2010
Date de l’acheminement du plan à la direction
Septembre 2010
Date de la rencontre finale (exit debrief)
Avril 2011
Date de l’acheminement du rapport à la direction, pour réponse
Mai 2011
Date de la réception de la réponse de la direction
Mai 2011
Date de l’approbation de l’avant dernière version du rapport par le Dirigeant principal de la vérification
Mai 2011
Date de la recommandation par le comité de vérification
Juin 2011
Date de l’approbation du rapport par le Sous ministre

Janvier 2012

 


Préparée par l'équipe de la vérification et de l'évaluation

Remerciements

L'équipe de vérification, formée d'employés de Ernst & Young, d'employés des Services de vérification Canada, et d'employés de l'équipe de vérification interne, sous la direction de Jean Leclerc et de Claude Bélisle, désire remercier toutes les personnes qui ont contribué à ce projet, notamment les employés qui ont partagé leurs idées et leurs observations dans le cadre de cette vérification.

Retournez à la table des matières

Résumé

Cette vérification a été inscrite au plan de vérification axé sur les risques pour 2010–2013 qui a été approuvé par le sous-ministre, d'après la recommandation du Comité consultatif de la vérification externe.

Lorsque la Loi fédérale sur la responsabilité a été mise en œuvre en 2006, elle exigeait que les ministères puissent produire des « états financiers vérifiés » pouvant faciliter une vérification fondée sur les contrôles. Cette exigence a ensuite été changée et il faut maintenant que les ministères puissent produire des états financiers vérifiables.

Chaque ministère devait effectuer une évaluation de base de sa capacité à respecter cette exigence et présenter chaque année un compte rendu de ses progrès relativement à la conformité au Bureau du contrôleur général (BCG).

Cette évaluation de l’état de la préparation à la vérification d'Environnement Canada a été confiée à une entreprise externe, et effectuée en deux phases, à compter de 2007. Le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification (mars 2009) soulignait plusieurs problèmes, dont 25 dans le domaine des contrôles financiers des technologies de l'information (TI). Le Ministère a mis en œuvre un plan d'action pour corriger les problèmes relevés avant la fin de mars 2011.

L'objectif de cette vérification était de faire un suivi du plan d'action préparé en réponse aux 25 problèmes de contrôles financiers des technologies de l'information présentés dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009 : c'est-à-dire, examiner l'exécution des mesures correctives et s'assurer que les lacunes liées aux mesures de contrôle répertoriées dans le rapport aient été corrigées.

Énoncé d’assurance

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne et à la Politique sur la vérification interne du Conseil du Trésor du Canada.

Selon notre jugement professionnel, des procédures de vérification suffisantes et appropriées ont été menées et des preuves recueillies pour soutenir l’exactitude des conclusions tirées et contenues dans le présent rapport. Les conclusions étaient basées sur une comparaison des situations qui existaient au moment de la vérification en fonction des critères de vérification.

Résumé des constatations

Depuis que le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification a été publié en mars 2009, des efforts importants ont été faits pour appliquer les recommandations et tenir compte des constatations sous-jacentes concernant les 25 problèmes liés aux contrôles financiers des TI. Des mises à niveau importantes ont été apportées à la plate-forme et à la fonctionnalité du système financier. Plus précisément, au cours des huit derniers mois, le Ministère a remplacé la plate-forme UNIX du système par une plate-forme LINUX, a ajouté la fonction de gestion du cycle de vie des biens et a corrigé plusieurs menaces à la sécurité.

En ce qui concerne le plan de travail découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009, qui devait être terminée en mars 2011, nous avons conclu que des progrès importants avaient été réalisés pour appliquer les 25 recommandations liées aux contrôles financiers des technologies de l'information. Toutes les lacunes de mesures de contrôle des secteurs à risque élevé ont été atténuées, mais d’autres travaux sont nécessaires pour les corriger complètement. Onze des mesures de contrôle sont considérées comme étant bien réglées grâce au travail effectué jusqu'à maintenant. Douze des autres mesures de contrôle se sont avérées efficaces en grande partie et il ne reste plus que quelques problèmes mineurs à régler, chacun ne présentant qu'un faible risque pour le Ministère. [Texte enlevé pour protéger la sécurité du système.]

Lorsque le travail de vérification sur place a commencé en décembre 2010, l'équipe d'examen a découvert que très peu des travaux sur les politiques et les procédures étaient terminés. Toutefois, lorsque l'équipe de vérification a pu commencer les tests, cette situation avait été en grande partie inversée, et presque tous ces travaux étaient terminés. Ces travaux ont été accomplis dans un milieu où les ressources de la Direction générale des finances et des services ministériels participaient à la mise en œuvre du changement majeur aux plates–formes en novembre 2010, ainsi qu'aux travaux requis à la fin de l'exercice.

Observations et recommandations

Ce qui suit est un résumé des observations et des recommandations qui se trouvent dans le corps du rapport :

Améliorer la durabilité des contrôles de surveillance

L'équipe de vérification a observé que des activités de correction avaient été mises en œuvre pour combler les lacunes de surveillance en utilisant les ressources existantes. Les mesures de contrôle mises en œuvre remédieront aux lacunes; toutefois, pour que la surveillance soit durable à long terme, il faut envisager l'automatisation de certaines activités.

Recommendation

Le chef de la direction financière devrait élaborer un plan pour la refonte des contrôles de surveillance des systèmes financiers avec une stratégie d'amélioration continue afin de les intégrer aux processus opérationnels existants, de réduire les coûts et d'améliorer la durabilité.

Plan de travail requis pour les mesures en suspens

L'équipe de vérification a observé qu'il reste du travail à effectuer pour les douze mesures de contrôle à risque faible et pour les deux mesures de contrôle à risque moyen.

Recommendation

Le chef de la direction financière devrait élaborer un plan de travail pour veiller à l'achèvement des activités non terminées du plan de travail découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

Un programme de surveillance continue devrait être mis en œuvre

Les recommandations découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification nécessitent que bon nombre des mesures de contrôle soient assujetties à des examens périodiques (surveillance). L'équipe de vérification a constaté que les processus entourant cette surveillance sont consignés et gérés comme des activités individuelles, et que les mesures de contrôle de surveillance sont conçues et appliquées de façon indépendante.

Recommandation

Le chef de la direction financière devrait mettre au point une stratégie pour la surveillance continue des contrôles financiers des technologies de l'information qui devrait faire partie d'une stratégie globale de surveillance des mesures de contrôle internes.

Les contrôles de gestion de l'identité et des droits d'accès devraient mettre à profit l'information disponible dans les systèmes de ressources humaines.

L'équipe de vérification a trouvé qu'un grand nombre des mesures de contrôle liées à la gestion de l'identité et des droits d'accès, surtout celles de nature détective, seraient plus efficaces si elles pouvaient tirer profit de l'information déjà disponible dans les systèmes de ressources humaines.

Recommendation

Le chef de la direction financière et le sous–ministre adjoint des ressources humaines devraient établir un plan stratégique pour mettre à profit l'identification de l'utilisateur existant aux fins d'utilisation dans les systèmes financiers.

Réponse de la direction

D’accord. La direction a élaboré un plan d'action de gestion.

Retournez à la table des matières

1.0 Introduction

Cette vérification a été inscrite au plan de vérification axé sur les risques pour 2010-2013 qui a été approuvé par le sous-ministre, d'après la recommandation du Comité consultatif de la vérification externe.

Au sein d'Environnement Canada, les contrôles des technologies de l'information (TI) qui appuient la production d'états financiers annuels vérifiables sont la responsabilité de la Direction générale des finances et des services ministériels et du chef de la direction financière.

1.1 Contexte

Lorsque la Loi fédérale sur la responsabilité a été mise en œuvre en 2006, elle exigeait que les ministères puissent produire des « états financiers vérifiés » capables de faciliter une vérification fondée sur les contrôles. Cette exigence a ensuite été changée et il faut maintenant que les ministères puissent produire des états financiers vérifiables.

Chaque ministère devait effectuer une évaluation de référence de sa capacité à respecter cette exigence et présenter chaque année un compte rendu de ses progrès relativement à la conformité au Bureau du contrôleur général (BCG).

L’évaluation de l’état de la préparation à la vérification d'Environnement Canada a été confiée à une entreprise externe (Ernst & Young), et effectuée en deux phases, à compter de 2007. Le rapport de la phase 2 sur l'évaluation de l'état de la préparation (mars 2009) soulignait plusieurs problèmes, dont 25 dans le domaine des contrôles financiers des TI. Le Ministère a mis en œuvre un plan d'action pour corriger les problèmes relevés avant la fin de mars 2011.

Les 25 problèmes qui doivent être corrigés afin de permettre des vérifications basées sur les contrôles efficaces sont dans les secteurs de la gestion de l'accès des utilisateurs (p. ex. identification et contrôle de l'accès des utilisateurs), de la gestion des comptes de la base de données (p. ex. identification et contrôle des privilèges liés à la base de données) et de la gestion des changements (p. ex. documentation et surveillance).

Généralement appelé la gestion de l'identité et des droits d'accès, ces trois domaines constituent le processus de gestion par lequel les utilisateurs accèdent à tel type de renseignements, ainsi que la façon et le moment d’y accéder. La gestion efficace de l'identité et des droits d'accès améliore, entre autres, l'efficacité et la transparence opérationnelle, ainsi que l'efficacité des initiatives d'affaires clés. Il serait très difficile pour un ministère d'avoir une vérification basée sur les contrôles de ses états financiers vérifiables sans une telle gestion.

1.2 Évaluation du risque

Afin de définir la portée de la vérification prévue sur la capacité du Ministère d'avoir une vérification basée sur les contrôles, un examen préliminaire des renseignements de base et une évaluation des risques soulignaient les différents objectifs possibles pour cet engagement. La documentation, y compris la législation, les politiques et les directives, a été examinée et des entrevues ont été menées auprès de la Direction générale des finances et des services ministériels et de la Direction générale du dirigeant principal de l'information afin bien comprendre le milieu des contrôles financiers et les exigences prioritaires, ainsi que leurs incidences sur Environnement Canada.

Des risques précis liés au milieu des contrôles financiers des TI ont été relevés par la suite et évalués dans le cadre de la planification de la vérification. Des activités en cours, par exemple le projet de responsabilisation ministérielle et de renouvellement administratif, et la migration prévue vers une plus récente version du système de gestion des bases de données qui appuient nos systèmes financiers ont également été prises en considération.

Le projet de responsabilisation ministérielle et de renouvellement administratif comprend bon nombre d'activités qui devraient corriger des lacunes relevées pendant l'évaluation de l'état de la préparation à la vérification. [Texte enlevé pour protéger la sécurité du système.]

La vérification a été axée sur les problèmes de gestion de l’identification et des droits d’accès de Merlin, l’application de TI du système financier utilisé à Environnement Canada. Cette approche a été choisie pour éviter le dédoublement des efforts et ajouter le plus de valeur possible au profit du Ministère. L’approche a tenu compte, dans plusieurs de ses constatations concernant les TI, des résultats de la phase 2 de l'évaluation de l’état de préparation, déjà axée sur les problèmes de gestion de l'identité et des droits d'accès. Ensuite, la façon la plus efficace d'évaluer la gestion de l'identité et des droits d'accès dans les systèmes financiers d'Environnement Canada fut de faire un suivi du plan d'action tenant compte des 25 problèmes recensés dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

1.3 Objectifs et portée

Cette vérification a donc effectué un suivi du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009 en examinant l’achèvement du plan d'action préparé pour résoudre les 25 problèmes de contrôles financiers des technologies de l'information présentés dans le rapport et pour s’assurer que ces problèmes ont été corrigés.

Le travail a été effectué dans la région de la capitale nationale. La participation régionale était limitée à déterminer si les mesures de contrôle étaient mises en œuvre de façon uniforme dans toutes les régions. De plus, comme un changement majeur a été apporté à la plate–forme du système en novembre 2010, la mise à l'essai des mesures de contrôle des technologies de l'information était restreinte aux mesures qui étaient en place entre la mise en œuvre du nouveau système et le 31 mars 2011, la fin de l'exercice 2010–2011.

1.4 Méthodologie

Le travail de vérification sur place a été effectué entre décembre 2010 et avril 2011 au moyen des renseignements provenant de deux équipes. La première équipe, des Services de vérification Canada, a examiné par le biais d'entrevues les processus qui étaient proposés en tant que points prioritaires en raison de recommandations découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification. La deuxième équipe, de Ernst & Young, a donné l'assurance que les recommandations avaient réellement été mises en œuvre et que les mesures de contrôle qui en découlaient fonctionnaient comme prévu, en effectuant des tests des données et des processus, en exécutant un examen approfondi de la documentation et en menant des entrevues. Les tests comprenaient l'exécution de scripts pour extraire de l'information de différents tableaux sur la gestion de l'identité et des droits d'accès dans l'application, la base de données et le système d'exploitation, la sélection d'échantillons subjectifs de ces extraits et la révision des fichiers et d'autres preuves connexes pour déterminer si les mesures de contrôle fonctionnaient de manière efficace.

Le moment choisi pour les travaux de vérification devait être optimisé pour correspondre à la disponibilité des ressources du système, mais il est devenu évident que les ressources de la Direction générale des finances et des services ministériels participaient à la mise en œuvre d'un changement majeur des plates–formes en novembre 2010 et à une mise à niveau principale pour faire l'essai des mesures de contrôle requises en février 2011 (pour qu'elles puissent être mises en œuvre le 1er avril 2011). La Direction générale des finances et des services ministériels était également occupée à effectuer le travail de la fin de l'exercice financier, ce qui a encore ajouté des complications au moment de la vérification. Cela représentait un défi concernant la planification de la vérification et l'évaluation des preuves. Afin de réduire au minimum les perturbations des activités à une période importante, l'équipe de vérification a effectué les entrevues, les observations et les essais en même temps que le personnel responsable des opérations effectuait l'essai de la mise en œuvre.

Même si toutes les mesures de contrôle étaient en place pendant la période de vérification, lorsque les essais ont commencé en avril 2011, il n'y avait pas eu suffisamment d'activité pour faire l'essai de onze des mesures de contrôle. Pour palier ce manque de données d'essai, l'équipe de vérification a effectué des procédures d'examen supplémentaires pour appuyer les conclusions de ce rapport.

1.5 Énoncé d’assurance

Cette vérification a été menée conformément aux Normes internationales pour la pratique professionnelle de la vérification interne et à la Politique sur la vérification interne du Conseil du Trésor du Canada.

Selon notre jugement professionnel, tout comme les preuves recueillies, des procédures de vérification suffisantes et appropriées ont été appliquées à l’appui de l’exactitude des conclusions tirées et contenues dans le présent rapport. Les conclusions étaient basées sur une comparaison des situations qui existaient au moment de la vérification en fonction des critères de vérification.

Retournez à la table des matières

2.0 Constatations et recomandations

Les constatations étaient fondées sur des éléments de preuve recueillis par Services de vérification Canada, sur des essais, des demandes de renseignements et des examens de la documentation effectués par Ernst & Young, ainsi que sur des demandes de renseignements et des examens de la documentation effectués par des employés de vérification interne.

Depuis la publication du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification en mars 2009, les exigences de la politique concernant les états financiers vérifiés ont été examinées et changées, et on parle désormais d'états financiers vérifiables. De plus, le projet d'Environnement Canada portant sur l'état de préparation de la vérification des états financiers a été revu pour lui permettre de tenir compte des initiatives de responsabilisation ministérielle et de renouvellement administratif, avec l'objectif global d'améliorer la gestion financière et la responsabilisation. Des changements à l'organisation ont accompagné ces changements du renouvellement de la gestion financière.

Étant donné que l'évaluation de l'état d'avancement de la vérification a été finalisée en mars 2009, le système Merlin a migré vers une nouvelle plateforme, passant de Unix à Linux; il a été corrigé de façon significative, et sa fonctionnalité a été améliorée pour inclure la gestion du cycle de vie des biens.

Une mise à jour importante au système Merlin, y compris les améliorations apportées au contrôle de son environnement a été mise en œuvre le 1er avril 2011. À ce moment, des nouveaux contrôles d’accès au compte ont été mis en place, y compris les contrôles  de gestion du mot de passe et des améliorations en ce qui concerne les contrôles d’accès basé sur les  rôles  (« responsabilités »). De plus, les rapports nécessaires pour le fonctionnement d'un grand nombre de ces contrôles de surveillance ont également été déplacés vers une production à partir de cette date. La récente  mise en œuvre de ces caractéristiques signifiait qu'il n'y avait pas suffisamment de temps pour rendre compte des transactions relatives aux présentes afin d'évaluer l'efficacité de plusieurs mesures de contrôle qui gouvernent ces transactions.

Le plan de vérification initial consistait à déterminer la pertinence des mesures de contrôle mises en œuvre pour limiter les 25 problèmes de contrôle. Ce plan devait être fondé sur les essais ou sur l'examen des demandes de renseignements et des documents.

Quinze mesures de contrôle devaient être évaluées; pour onze de ces mesures, il n'y avait pas de preuves suffisantes pour tirer des conclusions au niveau de l'assurance.

Ce manque de preuves était en grande partie dû à la mise en œuvre récente de mesures de contrôle connexes. De plus amples travaux de vérification seront nécessaires pour évaluer ces mesures de contrôle une fois qu'assez de temps se sera écoulé pour permettre d'accumuler des preuves de transactions.

Tableau 1 – Résumé du travail de vérification principal

Référence au point de contrôle dans l'annexe 1
Mise en œuvre des contrôles ou niveau de risquel
Travail de vérification principal
2, 7, 10, 11, 14, 20, 21, 22, 24
Mesure de contrôle mise en œuvre
Examen de la documentation
19
Mesure de contrôle mise en œuvre
Examen de la documentation (remplacement des essais)
4
Mesure de contrôle mise en œuvre
Mise à l'essai de la mesure de contrôle
5, 8
Risque modéré
Examen de la documentation et entrevues
6
Risque faible
Examen de la documentation et entrevues
1, 3, 9, 12, 13, 15, 16, 17, 18 23, 25
Risque faible
Mise à l'essai non possible; examen de la documentation et entrevues


Dans ce rapport, les contrôles relatifs à l'application Merlin étaient généralement considérés comme présentant un niveau de risque inhérent plus élevé que les contrôles concernant la base de données ou le système d'exploitation. Pour justifier cette affectation des niveaux de risque, deux facteurs ont été pris en compte.

Tout d'abord, l'échec des contrôles liés au système d'exploitation et à la base de données peut avoir une grande incidence à court terme sur la disponibilité du système et de ses renseignements; cependant, à plus grande échelle, des mesures de contrôle correctives telles que les sauvegardes et la planification de la reprise des activités permettent de réduire les répercussions. Par contre, l'échec des mesures de contrôle relatives à l'application peut nuire à la confidentialité, l'intégrité et la disponibilité des renseignements dans le système, présentant ainsi un risque à long terme beaucoup plus important pour le Ministère.

Le deuxième facteur pris en compte pour déterminer les niveaux de risque était la plus faible « surface d'attaque » de la base de données et du système d'exploitation (il y a moins d'administrateurs que d'utilisateurs); en outre, les mesures de contrôles relatives à la séparation des tâches qui sont en place pour les primes financières individuelles (administrateurs de système d'exploitation par rapport aux administrateurs de base de données (BD)) atténuent davantage les risques liés aux bases de donnée et aux systèmes d'exploitation.

2.1 Améliorer la durabilité des contrôles de surveillance

Dans la mesure du possible, un contrôle devrait découler naturellement du travail contrôlé. Lorsque cela n'est pas possible, les contrôles devraient être maximisés pour appuyer le processus opérationnel. De cette façon, les travaux effectués pour mener à bien un contrôle contribuent également aux activités en cours, ce qui réduit les coûts supplémentaires imposés par le contrôle. Lorsqu'un contrôle est ajouté à un processus opérationnel avec peu d'intégration ou d'optimisation, le contrôle devient seulement une activité supplémentaire qui doit être effectuée en peu de temps et avec peu de ressources.

On a constaté qu'un certain nombre d'outils de surveillance mis au point pour traiter les faiblesses des mesures de contrôle observées dans la deuxième phase du rapport d'évaluation de l'état de préparation à la vérification n'avaient pas été optimisés pour aider les unités fonctionnelles à exécuter la surveillance. [Texte enlevé pour protéger la sécurité du système.]

Les entrevues révèlent que les secteurs des opérations et de la technologie de l’information ont concentré leurs efforts sur le respect des recommandations formulées pendant la phase 2 de l'évaluation de l'état de la préparation à la vérification. Les mesures de contrôle qui ont été mises en œuvre remédieront aux lacunes; toutefois, pour que la surveillance soit durable à long terme, il faut envisager l'automatisation de certaines activités.

L'équipe de vérification a observé que des activités de correction avaient été mises en œuvre pour combler les lacunes de surveillance au moyen des ressources existantes. Grâce à la mise à niveau régulière du système et l’ajout de nouvelles technologies plus robustes, les contrôles de surveillance des aspects financiers de la technologie de l’information bénéficieront d'améliorations supplémentaires et la nécessité d'intervenir manuellement devrait diminuer. Il s'agit d'un processus d'amélioration continue qui est encouragé et qui, au fil du temps, permettra d'optimiser les nouvelles technologies et les technologies améliorées.

Le chef de la direction financière, en collaboration avec le dirigeant principal de l'information (DPI), devrait examiner les conclusions initiales présentées dans le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification ainsi que les mesures correctives appliquées aux contrôles, mises en œuvre dans le but de permettre l'amélioration de l'automatisation de la surveillance qui est nécessaire pour traiter les lacunes en matière de contrôle. D'après la compréhension de la valeur commerciale des mesures de surveillance recommandées, la conception des outils et des processus qui ont été élaborés devrait être examinée pour voir comment ils pourraient être modifiés afin de mieux s'intégrer au processus opérationnel et pour offrir une plus grande valeur à l'entreprise, compte tenu de la réalité actuelle du Ministère en ce qui a trait à la tolérance des risques et à la disponibilité des ressources.

Recommandation

Le chef de la direction financière devrait élaborer un plan pour la refonte des contrôles de surveillance des systèmes financiers avec une stratégie d'amélioration continue afin de les intégrer aux processus opérationnels existants, de réduire les coûts et d'améliorer la durabilité.

Réponse de la direction

D’accord. Les Services de l'entreprise intégrée mettent actuellement en place un plan de Système ministériel de gestion financière (SMGF) qui permettra d'assurer la surveillance continue du système, de répondre aux exigences de l'organisme central en ce qui a trait aux processus opérationnels normalisés et d'assurer une intégration adéquate.

2.2 Plan de travail requis pour les mesures en suspens

L'équipe de vérification a rencontré deux problèmes pour un certain nombre de mesures de contrôle évaluées. Parfois, elle n'a pas réussi à mettre en œuvre le niveau d’essai qui aurait permis de fournir un niveau d'assurance supérieur. En d’autres occasions, elle a décelé des problèmes de conception des mesures de contrôle qui pourraient, au fil du temps, représenter un risque continu pour la réalisation des objectifs du Ministère ou qui pourraient ne représenter aucun risque.

Un grand nombre des mesures de contrôle qui ont été examinées ont seulement été mises en œuvre le 1er avril 2011, presque à la fin du travail de vérification sur place. Par conséquent, trop peu de temps s'était écoulé pour permettre d'accumuler des preuves de transactions liées aux mesures de contrôle des comptes et pour pouvoir procéder à l'évaluation de l'efficacité.

Pour pouvoir produire des états financiers vérifiables, le chef de la direction financière devra reconsidérer le plan d'action de gestion fourni en réponse au rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification. Étant donné la mise en œuvre récente des mesures de contrôle en 2011, plusieurs éléments sont terminés ou bien avancés, mais des travaux supplémentaires sont nécessaires pour les traiter complètement.

Les résultats de la vérification en ce qui concerne les 25 recommandations visant à améliorer les contrôles financiers en matière de technologie de l’information sont présentés dans l'annexe 1 du présent rapport et peuvent être résumés comme suit :

  • On constate qu'onze mesures de contrôle ont été bien respectées grâce au travail entrepris jusqu'à ce jour. Cependant, ces mesures nécessitent qu'un travail supplémentaire soit effectué pour terminer la documentation et l'intégrer aux routines de travail normalisées.
  • On constate que deux des mesures de contrôle ont été atteintes mais des problèmes modérés restent à régler. Elles représentent un niveau moyen de risque résiduel pour le Ministère.
  • Douze mesures de contrôle se sont avérées en grande partie efficaces. Seulement quelques problèmes mineurs restent à régler, les mesures ne présentant qu'un faible niveau de risque pour le Ministère.

L'équipe de vérification a observé qu'il reste du travail à effectuer pour les douze mesures de contrôle à risque faible et pour les deux mesures de contrôle à risque moyen. En utilisant les résultats du travail de vérification et les résultats de ses propres essais, l'équipe de vérification devrait élaborer une mise à jour du plan de travail initial en réponse à la phase 2 de l'évaluation de l'état de la préparation à la vérification ou un nouveau plan de travail afin de résoudre les problèmes en suspens. Le reste du travail serait ainsi plus efficace, plus facile à intégrer aux routines de travail normalisées, et plus concentré sur l'achèvement des mesures au moyen d'une approche fondée sur la gestion du risque.

Recommandation

Le chef de la direction financière devrait élaborer un plan de travail pour veiller à l'achèvement des activités non terminées du plan de travail découlant du rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification.

Réponse de la direction

D’accord. Un plan de travail qui aborde tous les points en suspens de la phase 2 de l'évaluation de l'état de la préparation à la vérification de 2009 a été préparé.

2.3 Un programme de surveillance continue doit être mis en œuvre

Afin d'être efficaces, les activités de surveillance doivent être effectuées de manière uniforme et doivent être bien documentées. Plus précisément, la documentation devrait indiquer clairement pourquoi la surveillance a lieu, ce qui différencie un rendement acceptable et un rendement inacceptable, quand la surveillance a eu lieu, qui a effectué la surveillance, ce qui a été découvert et si des mesures ont été entreprises après l’activité. Enfin, nous nous attendons à ce que le rapport sur les résultats de l'activité de surveillance soit transmis à la direction pour que les gestionnaires puissent prendre des décisions concernant les améliorations à apporter aux politiques, aux procédures et aux contrôles.

Les recommandations découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification nécessitent que plusieurs mesures de contrôle soient assujetties à des examens périodiques (surveillance). L'équipe de vérification a constaté que les processus entourant cette surveillance sont consignés et gérés à titre d'activités individuelles et que les contrôles de surveillance sont conçus et exploités indépendamment sans faire référence à ce qu'ils sont censés accomplir, en particulier garantir que les contrôles financiers de la technologie de l’information sont exécutés comme prévu afin de permettre que les états financiers soient vérifiables.

Il semble qu'en raison du nombre important d'observations qui ont été relevées lors de la phase 2 de l'évaluation de l'état de la préparation à la vérification, la direction ait décidé de traiter les recommandations individuellement, plutôt que de tenter d'établir un plan pour les traiter ensemble.

Traiter les contrôles de surveillance au cas par cas signifie que les activités de surveillance peuvent ne pas être effectuées de façon uniforme selon les contrôles ou par différentes personnes. Le fait de ne pas avoir de stratégie globale de mise en œuvre de l'activité de surveillance peut également entraîner des inefficacités et peut rendre plus difficile le partage des leçons tirées d'une activité avec celles d’une autre activité.

La surveillance des contrôles financiers en matière de technologie de l’information devrait être considérée comme une activité unique qui devrait être gérée selon une fonction de coordination. L'objectif des activités de surveillance devrait être clairement défini, de même que les indicateurs de ce qui constitue les bonnes et les mauvaises pratiques. La surveillance devrait appuyer directement les processus de gouvernance de la technologie de l’information et des finances et elle devrait fournir à la direction les renseignements dont elle a besoin pour déterminer que les contrôles fonctionnent comme prévu et pour prendre des décisions au sujet des changements touchant l'environnement de contrôle qui sont raisonnables compte tenu de la propension à prendre des risques et de la disponibilité des ressources. Les registres de l'activité de surveillance devraient être tenus à jour avec les éléments de preuve nécessaires à l'activité de suivi de la vérification. Enfin, des indicateurs clés devraient être élaborés pour décrire l'efficacité de l'environnement de contrôle financier de la technologie de l’information à la direction.

Après l'achèvement du plan de travail (mis à jour ou nouveau – conformément à l'article 2.2 ci–dessus), un programme de surveillance continue devrait être mis en œuvre par la Direction générale des finances et des services ministériels pour assurer le suivi de l'efficacité et de la durabilité des contrôles de surveillance. Les résultats de cette surveillance continue contribueraient à l'assurance de la qualité et à l'amélioration continue des fonctions de surveillance, de sorte qu'elles demeureraient dans un état optimal de maturité en ce qui a trait à l'environnement de tolérance du risque.

Recommandation

Le chef de la direction financière devrait mettre au point une stratégie pour la surveillance continue des contrôles financiers des technologies de l'information, qui devrait faire partie d'une stratégie globale de surveillance des mesures de contrôle internes.

Réponse de la direction

D’accord. La stratégie relative à la surveillance continue des contrôles financiers de la technologie de l’information sera intégrée au Système ministériel de gestion financière d'Environnement Canada pour 2011–2012. En outre, Environnement Canada cherche à investir dans un logiciel privé pour faciliter la surveillance continue des contrôles financiers.

2.4 Les contrôles en matière de gestion d'identité et d'accès ne tirent pas profit des renseignements disponibles dans les systèmes de ressources humaines

Il devrait y avoir un seul système d'enregistrement pour tous les éléments d'information. Dans la mesure du possible, les systèmes devraient tirer profit des renseignements présents dans les systèmes d’enregistrement plutôt que d'essayer de tenir à jour séparément une copie de ces renseignements.

L'équipe de la vérification a constaté que bon nombre des mesures de contrôles liées à la gestion de l'identité et de l'accès, notamment les mesures de contrôle de détection (p. ex. celles qui concernent la surveillance), seraient plus efficaces si elles pouvaient tirer profit des renseignements déjà disponibles dans les systèmes de ressources humaines (p. ex. pour une période donnée, la liste des employés qui ont quitté le Ministère, la liste des employés qui ont intégré le Ministère et la liste des employés qui ont changé de rôle).

Pour ce faire et de façon efficace, les systèmes financiers devraient inclure dans leurs dossiers d'utilisateur un identificateur unique partagé avec le système de ressources humaines.

Dans le passé, les concepteurs ont souvent ignoré la disponibilité des données dans les systèmes de ressources humaines en raison des difficultés de traitement des questions de confidentialité.

L'absence d'accès à ces renseignements préexistants signifie qu’il n’y a aucune source indépendante de données permettant de valider les activités passées de gestion de compte. Cela est particulièrement vrai pour les contrôles de détection tels que ceux utilisés pour surveiller les activités de gestion des comptes après coup.

En outre, cela signifie que les données sont stockées de façon redondante et doivent être mises à jour deux fois, ce qui met leur intégrité en péril. Le fait de ne pas avoir accès à une source unique de renseignements de bonne qualité implique que la conception des mesures de contrôle de surveillance sera moins efficace, car elle nécessite que les agents de surveillance examinent quelle activité axée sur le compte s'est déroulée, puis qu'ils trouvent les documents de support indiquant qui a autorisé l'activité. Si les données des ressources humaines étaient disponibles, ils seraient indépendants, améliorant ainsi la séparation des tâches et cela permettrait d'automatiser davantage les activités relatives au compte.

Les contrôles financiers de la technologie de l’information liés à la gestion de l'identité et de l'accès devraient tirer profit des renseignements déjà disponibles dans différents systèmes de ressources humaines. L'activation de cette activité peut nécessiter que le Ministère alloue des ressources à court terme et que la sous–ministre adjointe des Ressources humaines, le dirigeant principal de l'information et le chef de la direction financière participent.

Plus précisément, la conception des contrôles de détection semblables à ceux utilisés lors de la surveillance des activités de gestion de compte doit être optimisée pour utiliser les renseignements des ressources humaines (p. ex. les employés qui ont quitté le Ministère dans une période donnée ou les employés qui ont intégré les rangs du Ministère et les employés qui ont changé de rôle et de position).

En outre, les tableaux de gestion des comptes dans les systèmes financiers devraient être modifiés pour inclure un identificateur unique pour les titulaires de comptes à partager avec les systèmes de ressources humaines et de gestion des entrepreneurs.

Recommandation

Le chef de la direction financière et la sous–ministre adjointe des ressources humaines devraient établir un plan stratégique pour mettre à profit l'identificateur de l'utilisateur existant aux fins d'utilisation dans les systèmes financiers.

Réponse de la direction

D’accord. L'accès aux interfaces clés du Ministère sera mis au point pour améliorer les contrôles relatifs à l'identification des utilisateurs dans le système.

Retournez à la table des matières

3.0 Conclusion

Depuis que le rapport de la phase 2 de l'évaluation de l'état de la préparation à la vérification a été publié en mars 2009, des efforts importants ont été faits pour appliquer les recommandations et tenir compte des constatations sous–jacentes concernant les 25 problèmes de contrôles financiers des technologies de l'information. Des mises à niveau importantes ont été apportées à la plateforme et à la fonctionnalité du système financier. Plus précisément, au cours des huit derniers mois, le Ministère a remplacé la plate–forme du système, passant d'une plate–forme UNIX à une plate–forme LINUX, a ajouté la fonction de gestion du cycle de vie des biens et a corrigé plusieurs menaces à la sécurité.

En ce qui concerne le plan de travail découlant de la phase 2 de l'évaluation de l'état de la préparation à la vérification de mars 2009, qui devait s'achever en mars 2011, nous avons conclu que des progrès importants avaient été réalisés pour appliquer les 25 recommandations relatives aux contrôles financiers des technologies de l'information. Toutes les lacunes des secteurs à risque élevé ont été atténuées, mais de plus amples travaux sont nécessaires pour les corriger complètement. Onze des mesures de contrôle ont été considérées comme étant bien réglées par le travail entrepris jusqu'à ce jour. Douze des autres mesures de contrôle se sont avérées efficaces en grande partie et il ne reste que quelques problèmes mineurs à régler, chacune des mesures ne présentant qu'un faible risque pour le Ministère. Les deux dernières mesures de contrôle présentaient certains problèmes qui n'avaient toujours pas été résolus et qui représentaient un risque résiduel modéré pour le Ministère. La première d’entre elles concerne le fait de s’assurer qu’aucun compte actif ne reste assigné à d’anciens employés; la deuxième consiste à s'assurer que les activités entreprises par les utilisateurs privilégiés du système Merlin sont surveillées.

Lorsque le travail de vérification sur place a commencé en décembre 2010, l'équipe d'examen a découvert que très peu de travail avait été effectué sur les politiques et les procédures. Toutefois, lorsque l'équipe de vérification a pu commencer les tests, cette situation avait été en grande partie inversée, et presque tous ces travaux étaient terminés. Ils ont été accomplis dans un milieu où les ressources de la Direction générale des finances et des services ministériels participaient à la mise en œuvre du changement majeur aux plates–formes en novembre 2010, ainsi qu'aux travaux requis à la fin de l'exercice.

Retournez à la table des matières

Annex 1: Critères de vérification

Des mesures correctives répondant aux recommandations de la phase 2 de l'évaluation de l'état de la préparation à la vérification ont été appliquées et se sont avérées efficaces pour donner suite aux constatations de ce rapport.

Sous critères
No de sous–critèreDescriptionConclusion généraleSurveillance continue nécessaire?Conception de la mesure de contrôle durable?Travaux de vérification supplémentaires nécessaires?Commentaires
1Les comptes d'utilisateur des entrepreneurs et des employés temporaires peuvent être identifiés.Risque faibleOuiOuiOui

Bien que l'examen de janvier ait indiqué que peu de travail avait été accompli concernant la politique et les procédures liées à ce type de contrôle, un examen exhaustif des documents et les entrevues réalisées pendant la phase d'essai indiquait qu'à compter du 1er avril 2011, les outils de base disponibles pour faire fonctionner ces contrôles étaient en place, y compris les champs pour déterminer le type d'employé et pour appliquer une « date de fin » aux comptes des employés à terme, contractuels et occasionnels.

La mise en œuvre de ces méthodes de contrôle a été annoncée à l'échelle du Ministère à la fin du mois de mars 2011. Au cours des entrevues, on nous a dit [Texte enlevé pour protéger la sécurité du système].

Comme les mesures de contrôle n'ont été mises en place que le 1er avril 2011 et que [Texte enlevé pour protéger la sécurité du système], il n'y avait pas suffisamment de nouvelle activité d'utilisateur pour une mise à l'essai et, par conséquent, l'équipe de vérification n'a pas pu fournir de conclusions sur l'efficacité de ces contrôles. Les vérificateurs ont trouvé [Texte enlevé pour protéger la sécurité du système]. L’équipe de vérification a recommandé d’autres activités de suivi de la vérification après le 30 septembre afin d'établir l'efficacité des contrôles après leur mise en œuvre.

Étant donné que les procédures et les politiques adéquates semblent être en place en ce qui concerne les nouveaux contrôles et [Texte enlevé pour protéger la sécurité du système], nous estimons que la capacité de fournir ce contrôle présente un faible risque pour la capacité du Ministère à fournir des états financiers vérifiables.

2Les contrôles relatifs à la gestion d'identité dans la prestation de services de Travaux publics et Services gouvernementaux Canada ont été précisés dans l'accord sur les niveaux de service.ConformeNonOuiNonSelon un examen de l'accord actuel sur les niveaux de service conclu avec Travaux publics et Services gouvernementaux Canada (février 2011), Environnement Canada dispose maintenant de l'accès en lecture seule nécessaire pour effectuer les activités de surveillance et de vérification.
3La séparation continue des tâches a été assurée.Risque faibleOuiOuiOuiLa documentation en matière de politiques et de procédures est appropriée, et les outils de soutien fondés sur les technologies de l'information sont disponibles. Il manquait toutefois de preuves concernant la surveillance pour effectuer les tests, ce qui a empêché l’équipe de vérification de pouvoir de tirer des conclusions quant à l'efficacité opérationnelle du contrôle. 
4Les comptes utilisateurs génériques sont définis et leur activité est surveillée.ConformeOuiOuiNon

L'équipe de vérification a découvert que des comptes génériques avaient été examinés en mars 2011, sans toutefois trouver de preuves que ces comptes avaient fait l'objet d'un examen périodique continu. Il semble que des mesures de suivi découlant de l'examen du mois de mars aient donné lieu à la désactivation de tous les comptes, sauf onze. Deux de ces onze comptes génériques sont nécessaires à l'exécution de fonctions Oracle. Les gestionnaires opérationnels responsables nous ont aussi dit, lors des entrevues, qu'ils étaient au courant de l'existence des neuf autres comptes génériques et qu'ils savaient que ces comptes étaient utilisés dans le cadre d'une initiative en cours et qu'ils faisaient l'objet d'une surveillance active.

Les constatations initiales n'exigeaient pas l'absence de comptes génériques. Elles exigeaient seulement que les gestionnaires opérationnels connaissent l'objectif des comptes, déterminent les personnes chargées de les surveiller et prennent note des personnes connaissant le mot de passe du compte. Sur la base de ces connaissances et de la disponibilité des mesures de contrôle correctives, nous croyons que les mesures répondant à ce critère ont été réalisées.

Les activités concernant ce type de comptes devraient continuer de faire l'objet d'une surveillance étroite.

L'équipe de vérification responsable de tester le contrôle a trouvé qu’il était satisfaisant, n’ayant que des problèmes mineurs; nous jugeons, à la lumière des constatations et des recommandations initiales, que les mesures relatives à ce sous–critère ont été réalisées. Nous recommandons toutefois que lorsque des comptes génériques sont utilisés, leur objectif et leur utilisation soient bien enregistrés et que les activités menées dans les comptes soient surveillées de près.

5Aucun compte actif n'est attribué à des anciens employés.Risque modéréOuiNonOui

Nous avons constaté qu'un rapport adapté énumérant les utilisateurs actifs ainsi que la dernière date d'ouverture de session a été créé. Un rapport de « dernière date d'ouverture de session des utilisateurs actifs », généré le 30 mars 2011, a également été fourni. Ce rapport liste [Texte enlevé pour protéger la sécurité du système]. Une vérification de suivi doit être prévue pour confirmer que ces comptes sont encore nécessaires.

La documentation en matière de politiques et de procédures ne précise pas la fréquence de l'examen du rapport de « dernière date d'ouverture de session des utilisateurs actifs » ni le nom de la personne responsable de l'examen, de l'analyse et de la sauvegarde de ce rapport. À notre demande, on nous a confirmé que ce rapport sera produit régulièrement et sauvegardé aux fins de vérification.

Une copie de la nouvelle ébauche du formulaire intitulé « Quittance de fin d'emploi » et une copie de la nouvelle ébauche de la directive sur la quittance de fin d'emploi ont été fournies. À notre demande, on nous a confirmé que le formulaire « Quittance de fin d'emploi » doit être signé par l'Informatique et les Finances pour s'assurer que l'accès à Merlin soit désactivé.

Puisque le contrôle n'a été mis en place qu'en avril 2011, on n'a pu prouver avec assurance l'efficacité de ces mesures.

[Texte enlevé pour protéger la sécurité du système.]

Étant donné les mesures de contrôle correctives, nous sommes d'avis que le risque résiduel découlant de notre incapacité de tester ce contrôle est modéré. La documentation en matière de politiques et de procédures pourrait être améliorée pour ce qui est de l'indication des titulaires de compte qui quittent l'organisation, y compris une description de la nature et du calendrier des activités de surveillance. [Texte enlevé pour protéger la sécurité du système.]

6Les comptes utilisateurs de l'application Merlin sont examinés périodiquement.Risque faibleOuiOuiOui

À la lumière des procédures mises en œuvre dernièrement, Environnement Canada devrait avoir une bonne idée des comptes actifs de l'application Merlin, des responsabilités auxquelles ces comptes devraient être associés et de la situation d'emploi des titulaires de compte. Une fois ces renseignements de base disponibles, nous sommes d'avis que la stratégie de surveillance continue décrite tiendra compte des constatations et des recommandations initiales exposées en mars 2009.

Même si, à l'heure actuelle, il manque des preuves pour conclure que le processus fonctionne efficacement, nous jugeons que les politiques et les procédures ainsi que les contrôles connexes relatifs aux technologies offrent suffisamment de mesures correctives de l'information pour donner lieu à un faible niveau de risque résiduel. On devrait penser à effectuer un suivi de la vérification pour les périodes suivant le mois de septembre 2011 afin d'établir le niveau d'efficacité du processus de surveillance.

7L'authentification de l'utilisateur est surveillée au niveau du système d'exploitation, de la base de données et de l'application afin de déceler toute activité suspecte.ConformeOuiOuiOui

Durant l'examen des documents, l’équipe de vérification a constaté qu'il existait des rapports de surveillance des échecs d'ouverture de session au niveau de l'application et de la base de données. [Texte enlevé pour protéger la sécurité du système.]

Au cours des entrevues, l’équipe de vérification a été informée qu'aucun examen mensuel n'avait été effectué dans le passé, sauf le 31 mars 2011, et qu’un examen [Texte enlevé pour protéger la sécurité du système] régulier des échecs d'ouverture de session au niveau de la base de données et de l'application était prévu. [Texte enlevé pour protéger la sécurité du système.]

La documentation en matière de politiques et de procédures pour la surveillance des « échecs d'ouverture de session » au niveau de l'application et de la base de données est appropriée. Bien que la surveillance des tentatives infructueuses d'ouverture de session ait été jugée adéquate, les informations suivantes devraient être consignées : l'objectif de l'activité de surveillance, les moments où elle est faite, par qui, ce qu'on trouvé et les mesures découlant du processus de surveillance, s'il y a lieu.

8L'activité des utilisateurs privilégiés de l'application Merlin est surveillée.Risque modéréOuiNonOui

Il existe deux méthodes pour surveiller l'activité dans l'application Merlin.

La première méthode est régie par le niveau « Vérification à l'ouverture de session » qui surveille les activités des utilisateurs à l'un des quatre niveaux existants. Le plus détaillé est le niveau « Formulaire ». À ce niveau, l'activité de l'utilisateur est enregistrée lorsque l'utilisateur ouvre une session, lorsqu'il ouvre ou ferme un formulaire et lorsqu'il imprime un document.

La deuxième méthode pour surveiller les activités est régie par l'option de profil du système « Piste de vérification ». Cette méthode permet d'enregistrer les modifications de la base de données au niveau des enregistrements, d'enregistrer une image avant et après, chaque fois que des modifications seront apportées. Cette méthode, consistant à créer une piste de vérification, est très performante, mais elle utilise également d’importantes quantités de ressources. Elle est configurée pour un tableau ou un groupe de tableaux.

[Texte enlevé pour protéger la sécurité du système.]

9Les fonctions de contrôle d'accès de l’utilisateur sont surveillées au niveau de l'application.Risque faibleOuiNonOui

Pour que ces mesures de contrôle fonctionnent, les administrateurs doivent savoir à quel moment une personne a quitté le Ministère, et ensuite, réagir en désactivant le compte Merlin concerné en temps opportun. Les administrateurs disposent désormais de trois méthodes pour trouver à quel moment un utilisateur a quitté le Ministère.

Premièrement, ils auront bientôt une version révisée de la procédure et de la directive  « Quittance de fin d'emploi ». La procédure révisée précise plus clairement l’obligation d’aviser la Direction générale du dirigeant principal de l'information et les services financiers qu'un employé est parti. Elle exige aussi que la Direction générale désactive l'accès de l'employé à l'infrastructure de technologie de l’information et aux systèmes financiers du Ministère.

Deuxièmement, les administrateurs conservent un aperçu mensuel des utilisateurs actifs dans le système. En effectuant une comparaison d'un mois à l'autre, il sera possible de voir quels utilisateurs ont été ajoutés au système ou désactivés, ou quels privilèges d’accès ont été modifiés au cours du mois. Ce contrôle n'aidera pas les gestionnaires du système à désactiver les comptes, mais il fournit un outil permettant de surveiller comment les autres parties du contrôle fonctionnent.

Une troisième méthode est fournie grâce à un nouveau rapport qui présente la dernière date d'ouverture de session de chaque employé; les employés qui n'ont pas ouvert de session récemment peuvent faire l'objet d'un examen plus profond.

Ensemble, ces trois stratégies permettent d'atténuer la probabilité que le compte d'un employé parti demeure actif.

Enfin, étant donné que l'accès au système Merlin est disponible uniquement sur le réseau local, si le compte Active Directory de l'utilisateur a été désactivé, la présence d'un compte utilisateur actif du système Merlin est moins risquée. [Texte enlevé pour protéger la sécurité du système.]

Nous avons remarqué cependant que les outils nécessaires pour accomplir ce travail ne sont pas optimisés aux fins d'utilisation par le secteur opérationnel. Cette lacune peut nuire à la durabilité du contrôle au fil du temps, étant donné qu'il faudra trop de ressources pour le mettre en œuvre. [Texte enlevé pour protéger la sécurité du système.]

Les documents sur les politiques de surveillance et de production de rapports [Texte enlevé pour protéger la sécurité du système] peuvent être améliorés. Trop peu de preuves étaient disponibles pour mettre cette mesure de contrôle à l'essai et, par conséquent, nous n’avons pas réussi à tirer des conclusions sur son efficacité opérationnelle avec un niveau de vérification de l'assurance. Nous pensons toutefois que les mesures de contrôle anticipées devant être fournies en vertu de la nouvelle directive et les formulaires [Texte enlevé pour protéger la sécurité du système]permettront d'atténuer ces risques à un faible niveau en réduisant la [Texte enlevé pour protéger la sécurité du système]. Les mesures de contrôle de détection qui sont désormais disponibles (rapports sur la surveillance des utilisateurs actifs) permettront d'atténuer ce risque. Par ailleurs, nous estimons encore que ces mesures de contrôle n'ont pas été optimisées pour cette tâche, ce qui augmente le risque que la surveillance ne soit pas durable au fil du temps.

10Les mesures de contrôle des mots de passe de l'application Merlin sont surveillées.ConformeOuiOuiNon

Le 1er avril 2011, un nouveau régime de contrôle du mot de passe a été mis en œuvre au sein d'Environnement Canada. L'équipe de vérification a constaté que le nouveau régime offre un contrôle efficace du mot de passe pour les utilisateurs du système Merlin et qu'il répond à toutes les préoccupations soulevées dans les conclusions du rapport de mars 2009; il respecte toutes les recommandations de ce rapport.

L'équipe de vérification a examiné les paramètres de mot de passe dans la configuration de l’application et elle a découvert qu'ils respectent ou dépassent les paramètres recommandés dans la phase 2 de l'évaluation de l'état de la préparation à la vérification.

De plus, ces travaux fonctionnaient comme prévu lorsque les mesures de contrôle ont été mises à l'essai en présence de l’équipe de vérification.

11L'activité de l'utilisateur est consignée au niveau de l'application et des formulaires.ConformeOuiNonNonNous avons constaté pendant les entrevues et l'examen des documents que le niveau recommandé de consignation des accès avait été configuré dans le système. Nous constatons que ce sous–critère a été respecté et que les mesures de contrôle sont mises en œuvre de façon adéquate.
12La responsabilité de l'administrateur de base de données est assurée [Texte enlevé pour protéger la sécurité du système]Risque faibleOuiOuiOui

En examinant les rôles attribués aux comptes individuels d’administrateur de base de données, [Texte enlevé pour protéger la sécurité du système].

Comme il a été mentionné dans la phase 2 de l'évaluation de l'état de la préparation à la vérification, cela peut représenter un risque important pour l'organisation, car une fois que [Texte enlevé pour protéger la sécurité du système].

L'équipe de vérification a également remarqué que [Texte enlevé pour protéger la sécurité du système].

On nous a dit que l'équipe d'administrateur de base de données ayant accès à Oracle Financials est relativement petite; ses membres travaillent à proximité les uns des autres et chaque administrateur de base de données est autorisé à accéder au niveau « secret ». Enfin, avec le niveau [Texte enlevé pour protéger la sécurité du système]. Ces mesures de contrôle correctives atténuent quelque peu les risques posés par [Texte enlevé pour protéger la sécurité du système]. 

Nous jugeons que cette mesure de contrôle est inefficace, mais que les mesures de contrôle correctives susmentionnées permettent de réduire le niveau de risque associé aux lacunes pour atteindre finalement un niveau de risque faible.

13Les comptes de base de données du système sont définis et disposent d'un contrôle par mot de passe approprié.Risque faibleOuiNonOui

Les outils sont maintenant en place pour mettre en œuvre ce contrôle, mais on manquait de preuves pour conclure que ces outils sont utilisés pour atténuer efficacement les risques décrits dans le rapport de la phase 2. On a également découvert que [Texte enlevé pour protéger la sécurité du système].

De plus, les outils qui ont été proposés pour cette activité ne sont pas optimisés pour aider les gestionnaires de système à la surveiller. Cela pourrait rendre le processus de surveillance insoutenable avec le temps.

La documentation en matière de politiques et de procédures n'indique pas que les mots de passe seront modifiés régulièrement, et l'on manquait de preuves pour tester l'efficacité de ce contrôle. Par conséquent, l'équipe de vérification n'a pas été en mesure de tirer des conclusions quant à l'efficacité opérationnelle des contrôles.

Compte tenu des lacunes dans la documentation [Texte enlevé pour protéger la sécurité du système] contrairement aux meilleures pratiques, nous sommes d'avis que ce contrôle reste inefficace mais qu'il ne présente qu’un faible niveau de risque pour ce qui est de la capacité du Ministère à produire des états financiers vérifiables.

14Les comptes utilisateurs de la base de données Merlin font l'objet d'un examen périodique.ConformeOuiNonNonL’équipe de vérification a constaté, en examinant les documents et au moyen d'entrevues, que ce contrôle est efficace. Nous avons constaté que les outils sont en place pour permettre la surveillance des activités de création, de changement et de désactivation des comptes de la base de données Merlin. Toutefois, comme c'est le cas avec d'autres mesures de contrôle de surveillance dans ce système, nous jugeons que les outils qui ont été développés ne sont pas optimisés pour accomplir le travail proposé. Cela signifie que les mesures de contrôle de surveillance peuvent devenir insoutenables avec le temps.
15Des procédures normalisées ont été établies pour créer de nouveaux comptes de base de données.Risque faibleOuiOuiOuiL’équipe de vérification n'a pas trouvé suffisamment de preuves pour conclure à l'existence de procédures ou de contrôles normalisés relativement à la demande, à l'approbation, à la création et à la séparation des tâches pour les nouveaux comptes de base de données et les droits d'accès. Nous avons aussi constaté que le contrôle actuellement en place est inefficace; par exemple, la documentation donnait l'impression qu'un utilisateur pouvait demander un meilleur accès à la plateforme de production de son propre chef. Même si cela s'est avéré ne pas être le cas, le risque associé au manque de normes sur la façon de consigner ce type d'activité reste faible pour le Ministère.
16Des procédures normalisées ont été établies pour s'assurer que les privilèges des comptes de base de données sont modifiés lorsque les utilisateurs changent de postes ou de responsabilités.Risque faibleOuiOuiOuiL’équipe de vérification n'a pas trouvé suffisamment de preuves pour conclure à l'existence de procédures ou de contrôles normalisés relativement à la demande, à l'approbation, à la création et à la séparation des tâches pour les nouveaux comptes de base de données et les droits d'accès. Nous avons aussi constaté que le contrôle actuellement en place est inefficace; par exemple, la documentation donnait l'impression qu'un utilisateur pouvait demander un meilleur accès à la plateforme de production de son propre chef. Même si cela s'est avéré ne pas être le cas, le risque associé au manque de normes sur la façon de consigner ce type d'activité reste faible pour le Ministère.
17Des procédures normalisées ont été établies pour [Texte enlevé pour protéger la sécurité du système].Risque faibleOuiOuiOui

La documentation en matière de politiques et de procédures n'indique pas que la surveillance se fera régulièrement [Texte enlevé pour protéger la sécurité du système].

Étant donné que les outils de surveillance de ce type d'activité n'ont été mis en œuvre qu'en avril de cette année, on n'a pas eu assez de temps pour réunir les dossiers aux fins de test. En raison des lacunes dans la documentation et de l'incapacité de tester ce contrôle, l'équipe de vérification l’a jugé inefficace. [Texte enlevé pour protéger la sécurité du système]. Toutefois, compte tenu des mesures de contrôle correctives telles que le plan pour surveiller cette activité à l’avenir, nous sommes d'avis que le niveau de risque posé par les lacunes liées à ce contrôle est faible.

18Des procédures normalisées ont été mises sur pied pour s'assurer que les changements apportés aux programmes sont soumis à des tests et à l'assurance de qualité avant de passer à l'étape de la production.Risque faibleOuiOuiOui

L'examen des documents a permis d'établir que la documentation pour ce procédé est désuète, car elle fait toujours référence au Conseil de gestion de logiciels, récemment remplacé par le Comité de contrôle des changements.

D'autres documents indiquent que le Comité approuve, rejette ou reporte officiellement les demandes de changement. Le Comité est censé se réunir tous les mois. À notre demande, on nous a confirmé que le Comité est nouveau et qu'il n'a pas encore tenu de réunion officielle. Les réunions doivent avoir lieu périodiquement.

À notre demande, on nous a confirmé qu'un formulaire est utilisé par tous les responsables de module pour obtenir les approbations nécessaires avant que le  billet ou la demande de changement passe à un autre environnement. Une copie signée du formulaire est conservée par le gestionnaire, et les résultats du script de test sont conservés dans un classeur par le responsable de module. Un exemple de formulaire a été fourni.

L’équipe de vérification a demandé qu'on fournisse une liste, générée par le système, des changements apportés aux programmes, afin de pouvoir l'utiliser comme base d'échantillonnage à partir de laquelle un échantillon pourrait être sélectionné pour les tests. Étant donné que la liste n'a pas pu être générée, il a été impossible d'effectuer les tests. Étant donné qu'on n'a pas pu produire une telle liste, il est nécessaire de se doter d'un certain mécanisme pour générer un registre des changements apportés aux programmes par date, qui indique le nom des personnes approuvant chaque promotion de code d'une plateforme à une autre. Durant les vérifications de suivi, on devrait envisager d'utiliser les données de sortie du système de production de billets comme base d'échantillonnage.

Il est possible d'améliorer la consignation des procédures de changements aux programmes et des changements aux programmes en tant que tels. Bien que nous manquions de preuves nous permettant de tirer des conclusions sur le risque, au niveau d'assurance de vérification, nous jugeons que ce critère a été respecté en grande partie, à l'exception de questions mineures, qui présentent un faible niveau de risque pour les objectifs de l'organisation.

19L'environnement de tests est identique à l'environnement de production.ConformeNonOuiNon

Il est impossible d'établir un environnement de tests identique en tout point, à moins qu'il soit hébergé sur un réseau identique mais séparé physiquement. L'environnement de tests doit exister dans une autre instance Oracle qui, par nécessité, est munie d'un identificateur différent si elle est installée dans le même environnement de réseau. Il existe un certain nombre d'autres paramètres d'installation qui doivent être différents entre les deux environnements pour que les programmes d'un environnement n'aient pas d'incidence sur les bases de données sur l'autre environnement.

L'équipe de vérification responsable de tester le contrôle a jugé que celui–ci était inefficace. Toutefois, puisque certaines différences doivent exister entre les environnements, la méthode consignée pour cloner et rafraîchir l'environnement de production aux fins d'utilisation dans les tests, le développement et l'assurance de la qualité, est jugée plus qu'adéquate et donne une assurance raisonnable que le code dans un environnement agira de la même façon que le même code dans l'autre environnement.

La documentation en matière de politiques et de procédures est acceptable et, en nous basant sur la méthode utilisée pour cloner les environnements de production, nous jugeons que ce sous–critère a été respecté.

20Le formulaire de demande de changement de la base de données et de l'application Merlin est autorisé de façon appropriée.ConformeOuiOuiNonÀ notre demande, on nous a confirmé que le formulaire de demande de changement nécessite une signature numérique, ce que nous avons également pu observer.
21Des processus officiels existent pour surveiller les changements apportés à la base de données Oracle et à l'application Merlin.ConformeOuiOuiNonIl a été confirmé, grâce aux observations et aux enquêtes, que l'équipe chargée de l'assurance de la qualité devra approuver l'émission des billets de demande de changement.
22Les travaux d'examen suivant la mise en œuvre menés par l'équipe chargée de l'assurance de la qualité sont consignés et conservés.ConformeOuiOuiNonIl a été confirmé, grâce aux observations et aux enquêtes, que l'équipe chargée de l'assurance de la qualité dirigera l'examen après la mise en œuvre et conservera les preuves en rapport avec l'examen.
23L’accès des utilisateurs du système d’exploitation est surveillé.Risque faibleOuiNonOui

L'équipe de vérification responsable des essais n'a pas trouvé suffisamment de documents décrivant la gestion des comptes de système d’exploitation. De plus, l’équipe de vérification a noté quelques anomalies, p. ex. la preuve d'un problème survenu au cours de la mise à niveau du système de la plateforme Unix vers la plateforme Linux actuelle. Ces problèmes auraient peut–être pu être décelés avant qu'ils ne se produisent s'il existait des normes adéquates. L'équipe de vérification a découvert quelques cas isolés qui doivent être suivis par l'entremise du processus de surveillance et lors des futures vérifications.

Nous avons découvert grâce à notre enquête que les employés d'Environnement Canada n'ont jamais accès qu'aux fonctions de lecture et d’exécution de partage de fichier dans le système d'exploitation. On ne leur accorde jamais les droits d'administrateur du système d'exploitation.

Trop peu de renseignements étaient disponibles pour procéder à des essais complets, par conséquent l’équipe de vérification a conclu que cette mesure de contrôle et la documentation s'y rattachant sont inadéquates. Étant donné que le niveau d'accès accordé aux employés d'Environnement Canada se limite à l'accès aux fichiers dans certaines zones partagées, le niveau de risque posé par cette lacune est faible. [Texte enlevé pour protéger la sécurité du système.]

24Une liste des personnes autorisées à demander que TPSGC crée des comptes de système d’exploitation est établie et tenue à jour.ConformeOuiOuiNonGrâce à l’enquête et à l'examen des documents, nous avons découvert que TPSGC a reçu une liste du personnel d'Environnement Canada qui peut autoriser la création ou la modification et/ou la suppression de comptes de système d’exploitation pour les employés d'Environnement Canada. De plus, grâce à l'enquête, nous avons déterminé qu’une liste distincte existe à TPSGC pour leur indiquer quels employés d'Environnement Canada doivent être avisés lorsqu'un compte de système d'exploitation est ajouté, modifié ou désactivé. Nous avons conclu que ces deux mesures de contrôle regroupées forment un contrôle efficace.
25Il existe des processus pour s'assurer que les comptes utilisateurs des employés qui quittent l'organisation sont désactivés en temps opportun.Risque faibleOuiOuiOui

L'équipe de vérification responsable de l'essai de ce contrôle trouve qu'il n'y a pas suffisamment de preuves pour garantir que le niveau de vérification de ce contrôle est adéquat. En outre, en raison du manque de documentation à jour au sujet du processus, l'équipe de la vérification a conclu que le contrôle était inefficace.

Grâce à l'examen des documents et à l'enquête, nous avons découvert que la directive anticipée (ainsi que les formulaires et les procédures pertinents) relative à la quittance de fin d'emploi devrait permettre au personnel de la technologie de l’information de collecter des renseignements détaillés sur le départ des employés. Une partie des processus de la technologie de l’information connexes consiste à s'assurer que tous les comptes de système de l'employé sont désactivés à son départ. Cette nouvelle directive devrait entrer en vigueur en juillet 2011. De plus, le nouvel accord sur les niveaux de service avec TPSGC accorde aux gestionnaires d'Environnement Canada l'accès en lecture seule au système d’exploitation, ce qui leur permettra de surveiller et de vérifier le processus à l'avenir.

Avec ces deux améliorations de l'environnement de contrôle attendues dans un avenir proche, nous pouvons conclure que cette lacune en matière de contrôle ne représente qu'un faible niveau de risque pour le Ministère. Afin de le maintenir faible, un travail de suivi de la vérification doit être effectué afin de veiller à ce que les activités de surveillance aient lieu et que la nouvelle directive et ses procédures connexes soient approuvées et adoptées.

Retournez à la table des matières

Date de modification :