Examen de l'infrastructure des technologies de l'information - Gestion de l'accès et de la poursuite des activités

Février 2017
Numéro du projet : 80590-97

Table des matières

Note aux lecteurs : le présent rapport comporte des renseignements expurgés conformément à la Loi sur l’accès à l'information.

Sommaire

Statistique Canada partage la gestion des technologies de l'information (TI) avec Services partagés Canada, son partenaire du gouvernement du Canada. Cette responsabilité partagée exige de Statistique Canada de mettre au point des communications efficaces avec son partenaire, qui assureont la prestation continue de ses programmes et la protection de ses renseignements statistiques de nature délicate (RSND).

Services partagés Canada gère l'infrastructure des TI pour Statistique Canada, y compris les composantes du réseau et du centre de données. Les RSND sont stockés dans le réseau et doivent être protégés. De plus, Statistique Canada a besoin de renseignements sur les risques pour l'infrastructure des TI afin de prendre des décisions éclairées sur les stratégies d'atténuation.

Cet examen avait pour objectifs d'évaluer si Statistique Canada :

  • dispose d'un cadre de contrôle de gestion adéquat afin de gérer les risques pour l'infrastructure des TI;
  • a en place des mécanismes efficaces permettant de surveiller la conformité des tiers aux exigences de la Directive sur la sécurité des renseignements statistiques de nature délicate et de la Suite des politiques sur les TI de l'organisme.

La portée de l'examen comprend les éléments suivants : rôles, responsabilités, imputabilité, autorités, politiques, procédures et mécanismes de surveillance établis au sein de Statistique Canada, relativement à l'infrastructure des TI. La portée de cet examen était limitée à la documentation, aux consultations et aux entrevues avec les employés de Statistique Canada

Pourquoi est-ce important?

Statistique Canada est responsable de la prestation continue de ses programmes et de la protection de ses données de nature délicate, même lorsqu'elles sont stockées dans une infrastructure gérée par un tiers. Cela exige de Statistique Canada d'avoir des politiques et des processus qui lui permettront de s'acquitter de ces responsabilités. Statistique Canada travaille actuellement en étroite collaboration avec Services partagés Canada afin de déterminer les exigences en matière d'infrastructure des TI et cet examen permettra de soulever des points à prendre en compte en vue des ententes opérationnelles actuelles et futures.

Principales constatations

Les politiques en matière de TI, y compris les rôles et responsabilités pour la protection des RSND stockés dans l'infrastructure des TI, ont été mis à jour afin de refléter l'environnement opérationnel actuel.

Statistique Canada dispose de processus qui permettent d'accorder et de contrôler l'accès des employés aux RSND. [Cette information a été expurgée]

Le serment de discrétion de la Loi sur la statistique constitue un contrôle clé afin de s'assurer que les employés et les personnes réputées être employées comprennent leurs responsabilités en matière de protection des RSND. Statistique Canada ne peut confirmer que tous les employés des partenaires externes qui ont accès à l'infrastructure ont prêté le serment de discrétion de la Loi sur la statistique.

Statistique Canada gère les priorités, les risques et les questions liées à la disponibilité de l'infrastructure des TI par le biais de négociations avec Services partagés Canada. Des plans sont en place afin d'adresser les principaux risques liés aux problèmes de capacité des TI.

Les activités d'évaluation de la sécurité et d'autorisation (ESA) identifient les risques pour la sécurité qui se rapportent aux systèmes de TI et qui doivent être adressés. Statistique Canada ne dispose pas de renseignements suffisants et opportuns sur les activités d'ESA, tant pour l'ancienne infrastructure que pour la nouvelle. Ce problème devrait être transféré aux comités pertinents de Statistique Canada aux fins de règlement.

Des plans sont en place afin de fournir des stratégies d'atténuation des risques en cas d'interruption du service des TI, mais certains points clés relativement aux TI n'ont pas été adressés adéquatement. [Cette information a été expurgée]

Conclusion générale

Statistique Canada a clairement expliqué les rôles et les responsabilités pour la protection des RSND. De plus amples travaux sont requis en vue d'élaborer des processus visant à obtenir une assurance relativement à tout accès potentiel aux RSND stockés sur le réseau.

Statistique Canada ne dispose pas de renseignements suffisants ou actuels sur tous les risques pour l'infrastructure. Les plans de poursuite des activités et les stratégies de sauvegarde sur bande devraient être améliorés afin de réduire les risques attribuables à des interruptions potentielles de service des TI.

Conformité aux normes professionnelles

Cet examen s'est déroulé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, appuyées par les résultats d'un programme d'assurance et d'amélioration de la qualité.

Des procédures de vérification suffisantes et appropriées ont été suivies, et les éléments de preuve recueillis attestent l'exactitude des constatations et des conclusions du présent examen et donnent une assurance de niveau vérification. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient à l'époque, au regard de critères de vérification préétablis. Les constatations et conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'examen.

Steven McRoberts
Dirigeant principal de la vérification et de l'évaluation

Introduction

Contexte

Statistique Canada, dans son rôle visant à produire des renseignements sur les tendances économiques et sociales canadiennes, utilise les technologies de l'information pour recueillir, stocker, analyser et diffuser des données statistiques. Statistique Canada est déterminé à s'assurer de la protection de la confidentialité de toutes les données fournies à l'organisme et traitées à travers son infrastructure des technologies de l'information.

La gestion de la sécurité de l'infrastructure des technologies de l'information (TI) utilisée pour appuyer les activités de Statistique Canada est effectuée en tenant compte des exigences de la Loi sur la statistique et de la Politique sur la sécurité du gouvernement du Conseil du Trésor.

La Loi sur la statistique exige des employés et des personnes réputées être employées de l'organisme qu'ils prêtent un serment de discrétion relativement à la Loi sur la statistique promettant de ne pas divulguer de renseignements auxquels ils pourraient avoir accès dans le cadre de leur travail. La Politique sur la sécurité du gouvernement exige des dirigeants des ministères et organismes gouvernementaux qu'ils gèrent efficacement les activités de sécurité et qu'ils contribuent à la gestion efficace de la sécurité dans l'ensemble du gouvernement.

La gestion de l'infrastructure des TI est une responsabilité partagée entre Statistique Canada et Services partagés Canada, son partenaire du gouvernement du Canada, depuis 2011. Services partagés Canada possède et gère la plus grande partie de l'infrastructure des TI pour l'organisme. Statistique Canada est responsable et imputable de la protection de tous les renseignements statistiques de nature délicate (RSND) stockés dans l'infrastructure des TI. En tant que fournisseurs, les employés de Services partagés Canada sont des personnes réputées être employées en vertu de la Loi et sont assujettis au même serment et aux mêmes dispositions sur la sécurité que les employés de Statistique Canada.

Les exigences en matière de sécurité des RSND sont précisées dans la Directive sur la sécurité des renseignements statistiques de nature délicate (DSRSND). L'objectif de la DSRSND est de protéger la confidentialité de tous les RSND comme l'exige la Loi sur la statistique. Selon la DSRSND, la Division des opérations de technologies de l'information (DOTI) est responsable de se doter de procédures et de contrôles afin de limiter l'accès uniquement aux utilisateurs autorisés et de protéger tous les RSND de format électronique détenus par Statistique Canada, y compris ceux qui sont stockés dans l'infrastructure des TI gérée par un partenaire externe.

De plus, tandis que Statistique Canada dépend d'un tiers pour gérer son infrastructure, il est essentiel d'avoir en place des stratégies appropriées de détermination et d'atténuation des risques. Cela comprend le fait de s'assurer de la présence d'un plan pour réaliser les éléments essentiels des activités de Statistique Canada, tels que la production des indicateurs économiques clés en cas d'interruption de service de l'infrastructure des TI.

Compte tenu de la complexité de la responsabilité de gestion partagée pour l'infrastructure des TI, un examen du cadre de contrôle a été inclus dans le Plan de vérification axé sur les risques de 2016-2019.

Objectifs de l'audit

Cet examen avait pour objectifs d'évaluer si Statistique Canada :

  • dispose d'un cadre de contrôle de gestion adéquat afin de gérer les risques pour l'infrastructure des TI;
  • a en place des mécanismes efficaces permettant de surveiller la conformité des tiers aux exigences de la DSRSND et de la Suite des politiques sur les TI de l'organisme.

Portée

La portée de l'examen comprend les éléments suivants : rôles, responsabilités, imputabilité, autorités, politiques, procédures et mécanismes de surveillance établis au sein de Statistique Canada, relativement à l'infrastructure des TI. La couverture comprenait l'ancienne infrastructure des TI située à [Cette information a été expurgée], et la nouvelle infrastructure des TI établie à l'intérieur du nouveau Centre de données à [Cette information a été expurgée]. La portée de l'examen comprenait également la planification de la poursuite des activités pour les secteurs à haut risque, y compris la diffusion des indicateurs économiques clés.

Approche et méthodologie

L'examen portait sur la révision des documents, des entrevues avec des dirigeants principaux et des employés clés et un examen des mécanismes en place visant à assurer la conformité aux lois, aux politiques, aux directives et aux lignes directrices pertinentes.

Cet examen a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de la vérification interne de l'Institute of Internal Auditors.

Authorité

L'examen a été mené en vertu des autorités prévus dans le Plan intégré de vérification et d'évaluation fondé sur les risques de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.

Constatations, recommandations et réponse de la direction

Politiques et processus de TI aux fins de conformité à la Loi sur la statistique et à la DSRSND

Les politiques en matière de TI, y compris les rôles et responsabilités pour la protection des RSND stockés dans l'infrastructure des TI, ont été mis à jour afin de refléter l'environnement opérationnel actuel.

Statistique Canada dispose de processus qui permettent d'accorder et de contrôler l'accès des employés aux RSND [Cette information a été expurgée].

Le serment de discrétion de la Loi sur la statistique constitue un contrôle clé afin de s'assurer que les employés et les personnes réputées être employées comprennent leurs responsabilités en matière de protection des RSND. Statistique Canada ne peut confirmer que tous les employés des partenaires externes qui ont accès à l'infrastructure où les RSND sont stockés ont prêté le serment de discrétion de la Loi sur la statistique.

Statistique Canada gère les priorités, les risques et les questions liés à la disponibilité de l'infrastructure des TI par l'entremise de négociations avec Services partagés Canada. Des plans sont en place afin d'adresser les principaux risques liés aux problèmes de capacité des TI.

Les rôles, responsabilités et imputabilités pour la gestion de la sécurité des TI, y compris la protection des RSND, devraient être soulignés dans les politiques et les processus de TI de Statistique Canada. L'accès aux RSND devrait être limité et les attentes liées à l'utilisation et à la protection des RSND devraient être clairement communiquées.

Les politiques relatives aux TI ont été mises à jour afin de refléter l'environnement opérationnel actuel, y compris les rôles et responsabilités en matière de protection des RSND

La protection des RSND à Statistique Canada est régie par la Politique sur la sécurité informatique, la Politique sur l'utilisation du réseau, le chapitre 5 du Manuel des pratiques de sécurité et la DSRSND. Ces politiques fournissent la gouvernance et l'environnement de contrôle attendu afin de respecter les obligations en matière de protection des données en vertu de la Loi sur la statistique.

L'équipe qui a mené l'examen a révisé la Politique sur la sécurité informatique, la Politique sur l'utilisation du réseau et le chapitre 5 du Manuel des pratiques de sécurité afin de déterminer s'ils ont été mis à jour pour refléter les rôles et responsabilités de Statistique Canada au sein de l'environnement opérationnel partagé. L'examen a permis de constater que les rôles et responsabilités avaient été mis à jour comme il convient; cependant, ces instruments politiques n'ont pas tous été approuvés.

L'équipe qui a mené l'examen a aussi révisé la Directive sur la sécurité des RSND. La DSRSND a été révisée en 2012 afin d'y inclure les rôles et responsabilités pour la surveillance par Statistique Canada des RSND stockés dans un réseau géré par un partenaire externe.

Selon la DSRSND, Statistique Canada doit se doter de procédures et de contrôles afin de limiter l'accès uniquement aux utilisateurs autorisés et de protéger tous les RSND de format électronique détenus par Statistique Canada, y compris ceux qui sont stockés dans l'infrastructure des TI gérée par un partenaire externe. Elle exige également de Statistique Canada qu'il se coordonne avec les gestionnaires des partenaires externes afin de s'assurer d'élaborer et de maintenir des procédures qui permettent de respecter les exigences de la directive relativement à leurs activités. Enfin, la DSRSND exige de Statistique Canada qu'il s'assure que les employés des partenaires externes qui doivent avoir accès dans le cadre de leur travail aux courriels, centres de données et réseaux où les RSND sont conservés prêtent le serment de discrétion de la Loi sur la statistique, tel qu'il est exigé à l'article 5(2) de la Loi sur la statistique et décrit à l'article 6 de la Loi sur la statistique. Elle mentionne également que le nombre de personnes réputées être employées devrait être limité au minimum.

Statistique Canada dispose de processus qui permettent d'accorder et de contrôler l'accès des employés aux RSND [Cette information a été expurgée]

Les comptes privilégiés sont des comptes d'utilisateurs qui possèdent des droits d'administration au niveau du réseau pour créer/supprimer des comptes d'utilisateurs, accorder/retirer l'accès à divers fichiers et répertoires partagés stockés sur le réseau au moyen de [Cette information a été expurgée]. La Division des opérations des technologies de l'information (DOTI) a déclaré que les employés de Services partagés Canada ont accès au réseau A aux fins de mise à jour, mais n'ont pas, du point de vue opérationnel, à ouvrir des fichiers particuliers ou voir des contenus d'information. Il ne serait pas approprié que ces employés accèdent aux RSND.

Le réseau A est un réseau hautement restreint; il est impossible d'y accéder à partir de connexions externes telles que l'Internet ou d'autres moyens sans fils, ni à partir de sources externes. Les fichiers et les répertoires contenant des RSND recueillis en vertu de la Loi sur la statistique et les renseignements protégés avant leur diffusion sont stockés sur le réseau A. L'accès à certains RSND est restreint au moyen de contrôles au niveau de l'application, [Cette information a été expurgée].

De plus, [Cette information a été expurgée].

Statistique Canada ne peut confirmer que tous les employés de Services partagés Canada qui ont accès à l'infrastructure où les RSND sont stockés ont prêté le serment de discrétion de la Loi sur la statistique.

Les employés de Services partagés Canada sont des personnes réputées être employées en vertu de la Loi sur la statistique et à ce titre, ils doivent prêter le serment de discrétion de la Loi sur la statistique et reconnaître leurs responsabilités pour la protection des RSND conformément à la DSRSND et à la Loi sur la statistique.

Le processus suivant est en place depuis avril 2016. Services partagés Canada informe le directeur de la DOTI des nouveaux employés de SPC qui ont besoin d'accéder à l'infrastructure pour appuyer les activités de Statistique Canada. Après notification, les gestionnaires délégués de la DOTI administreront le serment de discrétion et prendront note de la justification du besoin d'accéder à l'infrastructure.

Avant avril 2016, les serments de discrétion prêtés par les employés de SPC affectés à l'infrastructure hébergeant les données de Statistique Canada n'étaient pas suivis officiellement par la DOTI. La Division de la gestion de l'information (DGI) est responsable de la tenue des dossiers de serments de discrétion administrés dans l'ensemble de l'organisme.

En octobre 2016, la Direction générale de l'informatique a soumis une liste d'employés actifs de Services partagés Canada à la DGI afin de vérifier les dossiers de serment de discrétion administrés. Les résultats de cette vérification ont révélé qu'il manquait des formulaires de serment de discrétion en raison de pratiques de gestion de dossiers incohérentes à Statistique Canada. Par conséquent, Statistique Canada n'est pas en mesure de fournir de preuve écrite selon laquelle tous les employés actifs de Services partagés Canada ayant accès à l'infrastructure de TI où les RSDN sont stockés ont prêté et signé le serment de discrétion de la Loi sur la statistique et reconnu leurs responsabilités en tant que personnes réputées être employées. Dans le cadre de l'étape suivante, les entrevues ont révélé que la DOTI planifie d'identifier les employés qui sont encore actifs et elle administrera de nouveau le serment de discrétion.

Les priorités, les risques et les questions liés à la disponibilité de l'infrastructure des TI sont gérés dans le cadre de négociations actuelles avec Services partagés Canada.

Les priorités, les risques et les questions liés à la disponibilité de l'infrastructure des TI et à l'accès restreint aux RSND devraient être gérés et communiqués en temps opportun, tant à Statistique Canada qu'à Services partagés Canada.

En octobre 2016, Statistique Canada et Services partagés Canada ont signé un accord visant les questions de capacité des TI soulevées pour l'ancienne infrastructure, qui appuie la majorité des activités de Statistique Canada. Il a été convenu de documenter d'ici la mi-avril 2017 une stratégie de migration qui exposera la vision, la stratégie, les rôles et responsabilités, les activités et points à prendre en compte pour la sécurité en vue de transférer toutes les applications de [Cette information a été expurgée] du centre de données au [Cette information a été expurgée] centre de données d'entreprise.

La DOTI dispose d'un processus afin de gérer ses priorités, risques et enjeux ayant des incidences sur la disponibilité de l'ancienne infrastructure des TI appuyant les activités de Statistique Canada. Les priorités sont actuellement au cœur des efforts de collaboration en cours pour régler les enjeux de capacité.

Un processus documenté qui comprend des mesures de suivi progressives des risques élevés est en place

Il devrait y avoir un processus documenté en place, qui comprendrait des mesures de recours hiérarchique pour les secteurs à haut risque, y compris les incidents liés aux TI qui ont des incidences sur la conformité à la Loi sur la statistique.

La DOTI dispose d'un organigramme du processus illustrant comment les incidents sont déclarés à l'intérieur de Statistique Canada. L'organigramme montre également qu'il y a un tri servant à détecter les incidents majeurs aux fins de mesures de suivi progressives. Lorsque les incidents sont jugés importants, ils sont acheminés à un coordonnateur, qui a une ligne directe pour communiquer avec le Bureau d'aide de Services partagés Canada. Des entrevues menées avec la DOTI et la DGI ont révélé qu'ils n'étaient au courant d'aucun incident lié aux RSND par des tiers fournisseurs de services.

Recommandations aux fins d'examen par la direction :

Il est recommandé que le statisticien en chef adjoint, Services intégrésNote de bas de page 1, s'assure de ce qui suit :

  • [Cette information a été expurgée].
  • Qu'il existe un processus efficace pour administrer et suivre le serment de discrétion de la Loi sur la statistique pour tous les employés et les personnes réputées être employées avant d'octroyer les accès.

Réponse de la direction

La direction est d'accord avec les recommandations formulées.

  • La DOTI préparera une analyse de rentabilisation afin de mettre en place des outils pour [Cette information a été expurgée].
  • La DOTI se coordonnera avec la DGI en vue d'examiner le processus à suivre pour administrer et consigner le serment de discrétion pour les employés de SPC avant d'octroyer les accès.

Produits livrables et échéancier :

  • Le directeur de la DOTI produira un rapport d'analyse de rentabilisation — « Outils de contrôle de la surveillance et de l'accès » d'ici le 31 mars 2017.
  • Le directeur de la DOTI, avec l'appui du directeur de la DGI et de la Liaison de SPC, mettra en œuvre un processus visant à s'assurer de la tenue d'une liste à jour des employés de SPC qui ont accès aux RSND, accompagnée des preuves d'administration du serment de discrétion, d'ici le 30 juin 2017.

Gestion des risques pour l'infrastructure des TI au moyen des activités d'ESA

Les activités d'évaluation de la sécurité et d'autorisation (ESA) identifient les risques pour la sécurité qui se rapportent aux systèmes de TI et qui doivent être adressés. Statistique Canada ne dispose pas de renseignements adéquats et opportuns sur les activités d'ESA, tant pour l'ancienne infrastructure que pour la nouvelle. De plus, ce problème devrait être transféré aux comités pertinents aux fins de règlement.

Des activités d'évaluation de la sécurité et d'autorisation et autres activités de gestion des risques pour l'infrastructure des TI devraient être réalisées afin de déterminer les risques et de veiller à ce que les mesures d'atténuation de ces risques soient mises en œuvre en temps opportun. Les activités d'ESA ont pour but d'évaluer les contrôles de sécurité et les risques potentiels à l'intérieur des systèmes de TI et de donner l'autorisation d'exploiter ces systèmes dans l'environnement de production.

Statistique Canada ne dispose pas de renseignements suffisants ou opportuns sur les activités d'ESA sur l'infrastructure des TI

Des activités d'ESA devraient être effectuées sur l'infrastructure des TI. Services partagés Canada, à titre de propriétaire de l'infrastructure des TI, a la responsabilité de mener ces activités.

Des entrevues avec le directeur de la DOTI ont révélé que Statistique Canada dispose de peu de renseignements sur les activités d'ESA pour l'ancienne infrastructure des TI. Par exemple, des activités d'ESA ont été menées pour l'ajout de [Cette information a été expurgée], cependant, Statistique Canada a obtenu peu de détails sur les risques résiduels.

Statistique Canada a commencé à utiliser la nouvelle infrastructure des TI. Services partagés Canada a créé une enclave dans son nouveau Centre de données d'entreprise pour Statistique Canada, qui a été utilisée en premier lieu pour le Recensement de 2016. Une enclave est un secteur séparé au sein d'un vaste centre de données qui est réservé spécifiquement à Statistique Canada et comporte des contrôles d'accès distincts. Statistique Canada prévoit utiliser l'enclave pour d'autres activités à venir, y compris le Nouveau modèle de diffusion (NMD).

Pour le Recensement de 2016, Statistique Canada a reçu de l'information sur les activités d'ESA menées sur la nouvelle infrastructure qui est utilisée pour le recensement. Le 15 avril 2016, des renseignements ont été fournis par Services partagés Canada sur [Cette information a été expurgée] les risques préliminaires qui devraient être adressés. Ces risques [cette information a été expurgée] et processus de gouvernance. Cependant, le recensement devait commencer au début de mai, [Cette information a été expurgée].

Le NMD est le prochain projet d'importance à utiliser la nouvelle infrastructure de TI. L'équipe d'examen a revu le plan de mise en œuvre du NMD. L'examen du plan a révélé que Statistique Canada a déterminé des activités d'ESA à chacune des étapes du cycle de vie du projet du NMD. Cependant, aucune activité d'ESA n'a été déterminée pour l'infrastructure de TI. L'intégration d'activités d'ESA à différents points de contrôle d'un projet est considérée comme une bonne pratique en vue de contribuer à réduire les risques en temps opportun et avant la mise en œuvre complète d'un projet.

L'équipe d'examen a noté que l'ébauche du Cadre de gestion des projets de l'organisme indique que les documents des activités d'ESA doivent être examinés par le Comité d'examen de la sécurité, le Comité d'examen des technologies et le Comité de l'architecture des TI. Un examen des comptes rendus de ces comités a révélé que l'absence d'activités d'ESA opportunes tant sur l'ancienne infrastructure que sur la nouvelle n'avait pas été soulevé comme un enjeu.

Sans information opportune sur les activités d'ESA, Statistique Canada sera peu informé des risques pour la sécurité des TI qui existent à l'intérieur de l'infrastructure des TI afin de prendre des décisions éclairées quant aux contrôles supplémentaires qui devraient être mis en œuvre pour protéger les RSND stockés ou traités dans son infrastructure des TI.

Recommandations aux fins d'examen par la direction :

Il est recommandé que le statisticien en chef adjoint, Services intégrésNote de bas de page 1, s'assure de ce qui suit :

  • Que Statistique Canada obtienne de l'information opportune sur les activités d'ESA pour l'infrastructure des TI, y compris l'ancienne infrastructure, et mette en œuvre des stratégies d'atténuation des risques en l'absence d'activités opportunes d'ESA.
  • Que les produits livrables requis en matière d'activités d'ESA pour l'infrastructure des TI soient intégrés aux différents points de contrôle dans le Cadre de gestion des projets de l'organisme et dans d'autres documents liés au cycle de vie des projets de TI.

Réponse de la direction

La direction est d'accord avec les recommandations formulées.

  • La DOTI s'entendra avec SPC pour obtenir les données sur les activités d'ESA requises afin de gérer adéquatement les risques.
  • La DOTI examinera le processus conjoint d'activités d'ESA et déterminera les possibilités d'amélioration.

Produits livrables et échéancier :

  • Le directeur de la DOTI produira une liste de produits livrables en matière d'activités d'ESA convenus par SPC qui devront être fournis dans le cadre du processus des activités d'ESA pour chaque projet, au besoin, d'ici le 30 juin 2017.
  • Le directeur de la DOTI s'assurera que les produits livrables de SPC sont clairement indiqués dans le processus des activités d'ESA d'ici le 30 juin 2017.

Gestion de la poursuite des activités des TI

Des plans sont en place afin de fournir des stratégies d'atténuation des risques en cas d'interruption du service des TI, mais certains éléments clés des TI n'ont pas été adressés adéquatement. Les programmes n'ont pas déterminé [Cette information a été expurgée] qui réduisent les risques pour la prestation des programmes découlant d'une interruption de services de TI.

La Direction générale de l'informatique n'a mis au point aucune [Cette information a été expurgée] stratégie afin de répondre aux besoins des programmes en cas d'événement grave qui aurait d'importantes répercussions sur [Cette information a été expurgée].

Un programme de Gestion de la continuité des TI (GCTI) devrait être en place afin de contribuer à assurer la continuité des programmes essentiels en cas de perturbation. Cela comprend une structure de gouvernance, une analyse de l'incidence sur les activités qui déterminerait les dépendances aux TI, le temps d'arrêt maximal admissible (TAMA) et l'élaboration de plans de continuité des TI qui sont mis à l'essai régulièrement.

Des plans sont en place afin de soutenir la reprise des activités, mais les principaux éléments de TI n'ont pas été adressés adéquatement

Un programme de GCTI comprend la détermination des exigences relatives aux TI, les dépendances aux TI et une stratégie de reprise des activités en cas d'interruption des TI pour les programmes et les services essentiels au mandat. Ces exigences sont habituellement déterminées à l'intérieur de Plans de poursuite des activités (PPA). Statistique Canada a déterminé 12 programmes essentiels au mandat ainsi que 10 domaines de services essentiels au mandat appuyant ces programmes, y compris la Direction générale de l'informatique, comme stipulé dans la Directive sur la planification de la poursuite et de la reprise des activités (PPRA) de Statistique Canada.

L'équipe d'examen a demandé les PPA pour les 12 programmes et la Direction générale de l'informatique. Les 12 programmes essentiels au mandat ont un PPA ainsi que la Direction générale de l'informatique. Cependant, chacun des PPA en est à une étape différente d'élaboration.

Un échantillon de neuf PPA de programmes ont été examinés afin de déterminer si les exigences clés relatives aux TI avaient été précisées. L'examen a indiqué la nécessité d'améliorer la robustesse de ces plans.

Un examen des PPA des programmes indique qu'ils dépendent de la disponibilité du [cette information a été expurgée] Centre de données. [Cette information a été expurgée]. De plus, un PPA ne dressait pas la liste des bases de données, des serveurs ou des services des TI dont il dépend.

[Cette information a été expurgée] cela pourrait avoir des répercussions sur les capacités de reprise des activités de Statistique Canada.

L'équipe d'examen a également évalué le caractère opportun du PPA de la Direction générale de l'informatique. L'examen a révélé qu'il était possible d'améliorer ce plan [cette information a été expurgée]. De plus, il ne dresse pas la liste des éléments des TI relevés dans les PPA des programmes et n'établit pas l'ordre de priorité pour le rétablissement des composantes des TI, et [Cette information a été expurgée].

Recommandations aux fins d'examen par la direction :

Il est recommandé que le statisticien en chef adjoint, Services intégrésNote de bas de page 1, s'assure de ce qui suit :

  • De se pencher sur [Cette information a été expurgée].
  • De coordonner une stratégie de rétablissement des TI avec les programmes essentiels au mandat qui veillera à ce que les plans de poursuite des activités soient efficaces en cas de graves incidents.

Réponse de la direction

La direction est d'accord avec les recommandations formulées.

  • La DOTI préparera une analyse de rentabilisation afin de migrer la capacité de secours redondante à [Cette information a été expurgée].
  • La DOTI préparera une analyse de rentabilisation afin de s'assurer de la disponibilité d'une capacité de « secours différéNote de bas de page 2 » [Cette information a été expurgée].
  • La DOTI obtiendra le plan de poursuite des activités de SPC qui appuie les programmes essentiels au mandat de Statistique Canada et se coordonnera avec eux afin de s'assurer que tout écart dans ces plans sera comblé.

Produits livrables et échéancier :

  • Le directeur de la DOTI produira un document d'analyse de rentabilisation [Cette information a été expurgée] d'ici le 30 septembre 2017.
  • Le directeur de la DOTI produira un document d'analyse de rentabilisation [Cette information a été expurgée] d'ici le 30 septembre 2017.
  • Le directeur de la DOTI obtiendra une copie du PPA de SPC appuyant nos activités essentielles au mandat d'ici le 31 mars 2018.

Annexes

Annexe A : Critères de l'audit

Critères de l'audit
Objectif du contrôle/contrôles de base/critères Sous-critères Instruments de politique

Objectif 1: Statistique Canada dispose d'un cadre de contrôle de gestion adéquat afin de gérer les risques pour l'infrastructure des TI.

1.1 Il y a une gouvernance appropriée et une imputabilité claire quant à la gestion de l'infrastructure des TI.

1.1.1 La Suite des politiques sur les TI a été mise à jour afin de refléter le contexte actuel et l'environnement des risques liés à l'accès et à la disponibilité.

1.1.2 Il y a un processus en place pour gérer les priorités, les risques et les problèmes liés à l'accès et à la disponibilité de l'infrastructure des TI.

1.1.3 Il y a un processus en place pour administrer les serments de discrétion et la formation sur la DSRSND des employés de Services partagés Canada affectés à la gestion de l'infrastructure des TI.

1.1.4 Il y a un processus pour transférer les risques élevés aux paliers hiérarchiques supérieurs en temps opportun.
  •  Politique sur la sécurité informatique de Statistique Canada.
  • Directive sur les RSND de Statistique Canada
  • CT—Politique sur la sécurité du gouvernement
  • CT—Gestion de la norme de sécurité des TI (GSTI)

1.2 Il y a des pratiques de gestion des risques appropriées y compris des stratégies d'atténuation entourant l'infrastructure des TI.

1.2.1 La DOTI veille à ce que Services partagés Canada mène des activités d'ESA sur l'ancienne infrastructure de TI en temps opportun et a mis en place un processus afin de gérer activement les risques liés à l'accès et à la disponibilité de l'infrastructure des TI déterminés par Services partagés Canada au moyen des activités d'ESA ou d'autres activités de gestion des risques.

1.2.2 La DOTI veille à ce que Services partagés Canada mène des activités d'ESA sur la nouvelle infrastructure de TI (p. ex. l'enclave) en temps opportun et a mis en place un processus afin de gérer activement les risques liés à l'infrastructure des TI déterminés par Services partagés Canada au moyen des activités d'ESA ou d'autres activités de gestion des risques.

1.2.3 La DOTI veille à ce que Services partagés Canada ait des procédures documentées pour la gestion des comptes privilégiés de Services partagés Canada qui peuvent accéder aux RSND ainsi qu'un processus visant à informer Statistique Canada des incidents qui touchent les RSND.

1.2.4 Il y a un processus à Services partagés Canada pour informer Statistique Canada des incidents liés à l'infrastructure des TI qui pourraient inclure des RSND.

1.2.5 La DOTI gère officiellement ses risques liés à la capacité pour son ancienne infrastructure des TI.
  • Politique sur la sécurité informatique de Statistique Canada.
  • Directive sur les RSND de Statistique Canada
  • CT—Politique sur la sécurité du gouvernement
  • CT—Gestion de la norme de sécurité des TI (GSTI)
  • Directive de sécurité 33 des TI du CST (LDSTI-33)
  • Avis de mise en œuvre de la politique sur la sécurité (AMPS) de décembre 2015 du CT

1.3 Il y a un plan de poursuite des activités en place pour l'infrastructure des TI, y compris la gouvernance, l'analyse de l'incidence sur les activités, les plans de poursuite des activités et la mise à jour de l'état de préparation des PPTI.

1.3.1 Un programme de PPTI est en place afin de s'assurer de la prestation des programmes essentiels au mandat de l'organisme.
  • CT—Norme de sécurité opérationnelle — Programme de planification de la poursuite des activités (PPA)

Objectif 2: Statistique Canada a des mécanismes efficaces permettant de surveiller la conformité des tiers aux exigences de la Directive sur la sécurité des renseignements statistiques de nature délicate (DSRSND) et de la Suite des politiques sur les TI de l'organisme.

2.1 La DOTI a mis en place un processus afin de s'assurer de la conformité aux exigences liées à l'infrastructure des TI de la DSRSND et de la Suite des politiques des TI de Statistique Canada.

2.1.1 La DOTI a élaboré des procédures particulières afin de contribuer à s'assurer que Services partagés Canada se conforme aux exigences liées à l'infrastructure des TI de la DSRSND, et

2.1.2 La DOTI surveille les exigences liées à l'infrastructure des TI de la DSRSND aux fins de conformité.
  • Directive sur la sécurité des renseignements statistiques de nature délicate de Statistique Canada

Annexe B : Acronymes

CCS
Comité de coordination de la sécurité
CT
Conseil du trésor du Canada
DOTI
Division des opérations de technologies de l'information
DSRSND
Directive sur la sécurité des renseignements statistiques de nature délicate
DSTI
Directives de sécurité des TI
ESA
Évaluation de la sécurité et autorisation
GCTI
Gestion de la continuité des TI
IIA
Institute of Internal Auditors
NMD
Nouveau modèle de diffusion
PPA
Plans de poursuite des activités
PPRA
Planification de la poursuite et de la reprise des activités
RSND
Renseignements statistiques de nature délicate recueillis et produits en vertu de la Loi sur la statistique
TAMA
Temps d'arrêt maximal admissible
TI
Technologies de l'information

Examen de l'infrastructure des TI, gestion de l'accès et de la poursuite des activités, plan d'action de gestion, état d'avancement en date du 30 juin 2017

Examen de l'infrastructure des TI, gestion de l'accès et de la poursuite des activités, plan d'action de gestion, état d'avancement en date du 30 juin 2017
Mesure Mise à jour

La DOTI préparera une analyse de rentabilisation afin de mettre en place des outils pour [cette information a été expurgée].

  • Le directeur de la DOTI produira un rapport d'analyse de rentabilisation — « Outils de contrôle de la surveillance et de l'accès » d'ici le 31 mars 2017.

Analyse de rentabilisation terminée. La demande de propositions (DP) est traitée par SPC.

La DOTI se coordonnera avec la DGI l'examen du processus d'administration et de suivi du serment de discrétion pour les employés de SPC avant d'octroyer les accès.

  • Le directeur de la DOTI, avec l'appui du directeur de la DGI et de l'agent de liaison avec le SPC, mettra en œuvre un processus visant à s'assurer de la tenue d'une liste à jour des employés de SPC qui ont accès aux renseignements statistiques de nature délicate, accompagnée des preuves d'administration du serment de discrétion, d'ici le 30 juin 2017.

Terminé

La DOTI s'entendra avec SPC pour obtenir les données sur les activités d'ESA requises afin de gérer adéquatement les risques.

  • Le directeur de la DOTI produira une liste de produits livrables en matière d'activités d'ESA convenus par SPC qui devront être fournis dans le cadre du processus des activités d'ESA pour chaque projet, au besoin, d'ici le 30 juin 2017.

Terminé

La DOTI examinera le processus conjoint d'activités d'ESA et déterminera les possibilités d'amélioration.

  • Le directeur de la DOTI s'assurera que les produits livrables de SPC sont clairement indiqués dans le processus des activités d'ESA d'ici le 30 juin 2017.

En cours

La DOTI préparera une analyse de rentabilisation afin de migrer la capacité de secours redondante [cette information a été expurgée].

  • Le directeur de la DOTI produira un document d'analyse de rentabilisation [cette information a été expurgée] d'ici le 30 septembre 2017.

Un document sur les besoins opérationnels a été envoyé à SPC, une analyse préliminaire des coûts a été amorcée.

La DOTI préparera une analyse de rentabilisation afin de s'assurer de la disponibilité d'une capacité de « secours différé » [cette information a été expurgée].

  • Le directeur de la DOTI produira un document d'analyse de rentabilisation [cette information a été expurgée] d'ici le 30 septembre 2017.

Un secours différé est une méthode redondante qui consiste à avoir un système en secours pour un autre système primaire identique. On fait appel au système de secours différé seulement en cas de défaillance du système primaire.

Nous étudions les approches possibles pour accroître l'accessibilité.

La DOTI demandera à obtenir le plan de poursuite des activités (PPA) de SPC qui appuie les programmes essentiels au mandat de Statistique Canada et se coordonnera avec eux afin de s'assurer que tout écart dans ces plans sera comblé.

  • Le directeur de la DOTI obtiendra une copie du PPA de SPC appuyant nos activités essentielles au mandat d'ici le 31 mars 2018.

Une demande officielle a été envoyée à la SPC.
Signaler un problème ou une erreur sur cette page
Date de modification :