ARCHIVÉ - Suivi de la vérification concernant la gestion de la sécurité des technologies de l'information (TI) de 2007-2008

Contenu archivé

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Table des matières

ARCHIVÉ - Suivi de la vérification concernant la gestion de la sécurité des technologies de l'information (TI) de 2007-2008 (PDF, 209 Ko)

Sommaire et conclusion

Contexte

Ce rapport présente les résultats du Suivi de la vérification interne de la gestion de la sécurité des TI 2007‑2008. La décision de mener cette vérification a été approuvée par le président, à la suite de la recommandation formulée par le Comité de la haute direction et ensuite, par le Comité de la vérification ministériel le 29 avril 2010, dans le cadre du ARCHIVÉ - Plan de vérification interne axé sur les risques du CNRC pour 2010­-2011 à 2012­-2013.

Objectif, portée et méthodologie de la vérification

Au départ, la vérification avait deux objectifs. Conformément à la Politique sur la vérification interne du Conseil du Trésor>et aux normes de vérification professionnelles, le premier objectif était de vérifier les progrès réalisés par la direction dans la mise en œuvre de ses plans d’action en réponse aux recommandations de la vérification interne de la gestion de la sécurité des TI 2007­2008 (telles que présentées à l'annexe A). La portée de la vérification comprenait la Direction des services de gestion de l'information (DSGI) et deux des instituts/directions/programmes (IDP) intégrés à la vérification de 2007­2008.

Le deuxième objectif de la vérification était de vérifier la conformité du CNRC aux sept mesures de sécurité des TI (telles que présentées à l'annexe B) qui sont jugées importantes pour que l’environnement du CNRC soit considéré comme sécuritaire pour l'utilisation des applications Web de la rémunération du gouvernement du Canada. Ces sept mesures sont harmonisées avec la Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor dans le contexte du Cadre stratégique pour l'information et la technologie mis à jour du Conseil du Trésor. Le travail de vérification, qui était en voie d’être achevé, a été arrêté pour cet objectif de vérification à la suite de l'annonce de la création de Services partagés Canada (SPC), qui aurait, en majorité des responsabilités dans ce domaine. À l’heure actuelle, le travail de vérification a suffisamment progressé pour donner à la direction les renseignements requis pour prendre en compte les domaines nécessitant des améliorations. Toutefois, ce travail n’est pas conforme aux normes d’assurance procurées par une vérification; les conclusions présentées dans cette partie des travaux peuvent uniquement être caractérisées comme un « examen ». La portée couvrait un examen des mesures de sécurité principales des TI pour l'ensemble du CNRC, notamment la Direction des services de gestion de l'information (DSGI) et les dix IDP qui gèrent leurs propres services de sécurité des TI dans le cadre du modèle fédéré du CNRC.

En raison de la nature spécialisée de la vérification, l'équipe de vérification du CNRC a fait appel à un groupe d’experts en matière de sécurité des TI à qui ont a attribué un contrat d’expertise de vérification pour appuyer la réalisation de la vérification. Pour les deux objectifs de la vérification, les conclusions sont fondées sur des preuves recueillies entre décembre 2010 et mai 2011.

Opinion du vérificateur et conclusion

Dans l'ensemble, nous concluons que le niveau de mise en œuvre des recommandations de la vérification interne est adéquat, à l'exception de l'élaboration du plan de continuité des opérations du CNRC, qui nécessite l'attention de la direction. 

Selon nos procédures d’examen, les IDP qui reçoivent des services de sécurité des TI de la DSGI sont bien gérés dans l'ensemble et peuvent être considérés comme solides. Alors qu’il existe des exceptions notables de rendement élevé et adéquat pour d’autres IDP qui ne sont pas sur la direction de la DSGI, il existe des occasions d’amélioration en ce qui a trait à la gestion des zones d’accès public et opérationnelles et à la réalisation d’évaluations de la vulnérabilité.

Recommendations

1. Le CNRC devrait examiner et analyser les énoncés de criticité fournis par les IDP pour déterminer si la DSGI doit établir de nouvelles priorités pour ses activités de gestion des risques en réalisant d’autres évaluations des menaces et des risques pour tous les systèmes administratifs essentiels du CNRC et des IDP et en établissant un calendrier pour ces activités.[Priorité ÉLEVÉE - Niveau 1 ]

Réponse de la direction du CNRC :

Avec le transfert de la responsabilité de gestion des infrastructures de TI et des réseaux du CNRC à Services partagés Canada (SPC), on ne sait pas encore comment la gestion des risques liés à la sécurité pour les TI fonctionnera au sein du gouvernement fédéral. Néanmoins, un examen et une analyse des énoncés de criticité du CNRC est une mesure importante pour la présentation claire des exigences en matière de sécurité du CNRC à Services partagés Canada (SPC).

Avec la récente consolidation des services de sécurité du CNRC au printemps 2011, le CNRC est en voie d’établir de nouvelles priorités pour l’ensemble de ses activités de gestion des risques liés à la sécurité, p. ex. les installations de recherche, les immeubles de bureaux, les systèmes administratifs essentiels, etc. Un nouveau plan de gestion des risques liés à la sécurité sera élaboré et fera partie d’un projet dans le cadre du Plan de sécurité ministériel du CNRC et sera mis en œuvre selon les ressources disponibles. [Mars 2012]

2. Le CNRC devrait harmoniser ses processus et ses systèmes administratifs essentiels définis dans une analyse de répercussions sur les opérations avec ceux des énoncés de criticité des IDP, et par la suite achever l'élaboration d’un plan de continuité des opérations pour le CNRC. [Priorité ÉLEVÉE - Niveau 1 ]

Réponse de la direction du CNRC :

Le CNRC entreprendra l'élaboration d’un Programme de planification de la continuité des opérations pour combler les lacunes dans ce domaine. Un document de projet décrivant les exigences et un plan de haut niveau seront élaborés et soumis à l'approbation du CHD. Si le document est approuvé, l'élaboration du programme commencera en janvier 2012.

3. Le CNRC devrait veiller à ce que les systèmes d’accès à distance des IDP soient conformes à ses normes de sécurité des télécommunications. [Priorité MOYENNE - Niveau 3 ]

Réponse de la direction du CNRC :

Avec la création de SPC, le contrôle de gestion et la responsabilité des services d’accès à distance ne relèveront plus du CNRC. Le CNRC continuera de travailler avec ses nouvelles collègues de SPC pour veiller à ce que les systèmes d’accès à distance soient conformes aux exigences du CNRC et aux normes fédérales de sécurité. [Date s/o]

Énoncé d’assurance

Selon mon jugement professionnel en tant que dirigeante principale de la vérification, les procédures de vérification suivies et les éléments de preuve recueillis sont suffisants et appropriés pour étayer l'exactitude de l’opinion fournie dans le présent rapport. Cette opinion se fonde sur une comparaison entre les conditions, telles qu'elles existaient au moment de la vérification, en fonction de critères de vérification préétablis et approuvés par la direction. L’opinion ne s'applique qu'aux domaines examinés.

Jayne Hinchliff Milne, CMA, directrice principale de la vérification

Membres de l'équipe de vérification du CNRCNote de bas de page 1

Irina Nikolova, Directrice de la vérification, F.C.C.A., CIA, CISA
Allison Smith, Vérificatrice subalterne, BA
Andy Lang, Vérificateur subalterne, B. Com

Échelle de cotation pour la mise en œuvre des vérifications internes pour les plans d'action de gestion du CNRC

Niveau 1 : Aucun progrès ou progrès non significatif

Des mesures comme l'établissement d'un nouveau comité la tenue de réunions ou l'élaboration de plans informel sont considérées comme des progrès non significatifs.

Niveau 2 : Planification

Des plans d'action formels en vue d'apporter des changements on été organisationnels ont été établis et approuvés par le niveau hiérarchique adéquat (c'est-à-dire un niveau suffisamment élevé, habituellement un comité exécutif ou l'équivalent.

Niveau 3 : Préparatifs en cours pour la mise en œuvre

Des dispositions ont été prises pour mettre en œuvre une recommandation, comme embaucher ou former du personnel, élaborer ou acquérir les ressources requises.

Niveau 4 : Mise en œuvre avancée

Les structures et les processus sont en place et ils sont intégrés à au moins certaines parties de l'organisme, et certains résultats ont été observés. L'entité aura probablement aussi un plan d'action à court terme et un échéancier pour l'achèvement de la mis en œuvre.

Niveau 5 : Mise en œuvre achevée

Les structures et les processus ont été entièrement implantés et ils fonctionnent comme prévu.

Désuète

La recommandation ne s'applique plus parce que le processus ou l'enjeu a été remplacé par un élément plus récent.

Notes de bas de page

Note de bas de page 1

L'équipe de vérification du CNRC a fait appel aux services d'une équipe de vérificateurs de Deloitte à laquelle un contrat a été attribué; ses membres, qui possédaient de l'expertise de la gestion de la sécurité des TI ont appuyé le travail de vérification.

Retour à la référence de la note de bas de page 1

Date de modification :