Affaires étrangères, Commerce et Développement Canada
Symbole du gouvernement du Canada

Affaires étrangères, Commerce et Développement Canada

international.gc.ca

Document archivé

L'information archivée sur le Web est disponible à des fins de consultation, de recherche ou de tenue de dossiers seulement. Elle n’a été ni modifiée ni mise à jour depuis sa date d’archivage. Les pages archivées sur le Web ne sont pas assujetties aux normes Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un format de rechange en communiquant avec nous.

Vérification de la connectivité Internet du MAECI

(Mars 2004)

Résumé

Historique

Dans le cadre des discussions permanentes de la Direction de la vérification avec la direction du MAECI sur les activités de contrôle des risques au MAECI, SIV a demandé une réaction de la part du personnel ministériel sur les questions clés liées à la connectivité Internet du MAECI. À la suite de ces décisions, la vérification suivante a été effectuée dans le cadre du plan de vérification de 2002-2003. (SIV a entrepris une vérification précédente en 1998 qui touchait l'intranet interne, les sites Web ministériels, les coupe-feu et les services de routeurs offerts au MAECI par TPSGC.)

À l'administration centrale, la vérification comprenait des groupes types pour établir une hiérarchie des facteurs de risque considérables liés aux opérations Internet et, depuis que l'accès à l'Internet est offert à tout le personnel, dix missions ont également été incluses dans la vérification. Lorsque possible, une évaluation des performances a été entreprise pour établir une comparaison entre les « meilleures pratiques » du MAECI, celles d'autres ministères ainsi que de celles du secteur privé.

Constatations principales

Depuis 1998, le MAECI a sans cesse connu une croissance du contenu disponible de ses sites Web et de l'utilisation d'Internet par le personnel et les clients. Le nombre de sites Web ministériels s'est maintenant stabilisé par rapport à la période précédente et une structure de gouvernance a été mise en place. Comme tel, le Ministère a progressé depuis 1998 en établissant un cadre de travail de gestion exhaustif au soutien de ces activités.

Nous prévoyons une demande continue de solutions exploitables sur le Web dans les applications, l'informatique mobile et sans fil, la prestation de services de programmes, la participation du public à l'établissement de politiques et au commerce électronique. Ces demandes poseront un défi à la capacité du MAECI d'assurer la sécurité et les composantes de confidentialité requises intégrées à la planification et à la conception de ces initiatives. Le soutien manifeste accordé par la haute direction au moyen des niveaux appropriés de ressourcement pour les composantes en matière de sécurité de ces initiatives sera nécessaire.

Le Ministère n'a pas encore élaboré de modèle d'établissement des coûts exhaustif pour ces activités. En particulier, la vérification a révélé qu'il n'y a pas de processus connu pour établir, sur une base permanente, le total des coûts liés à l'Internet pour le Ministère et faire rapport à ce sujet. Cela signifie que la capacité de la direction de justifier et de répartir les ressources parmi les priorités ministérielles concurrentielles est loin d'avoir un fondement optimal au soutien des décisions prises. La vérification recommande que le MAECI entreprenne un exercice d'établissement des coûts pour intégrer des concepts de comptabilité financière au contrôle stratégique et pour faire rapport sur les coûts en matière de TI à la haute direction.

La vérification a déterminé plusieurs secteurs où le cadre de gestion de la direction au soutien de la protection des renseignements personnels et d'autres aspects de la présence du Ministère sur le Web nécessiterait une attention supplémentaire de la part de la direction en ce qui a trait aux nouvelles exigences liées à la Loi sur la protection des renseignements personnels.

Le Secrétariat du Conseil du Trésor a récemment publié un document intitulé « Architecture des domaines de sécurité » pour le GdC. On s'attend à ce que tous les ministères, dans le cadre d'une période de trois ans, examinent et incorporent les concepts des domaines de sécurité et des zones de sécurité TI présentés dans le document, dans leurs environnements particuliers. Le document est à l'étude au MAECI et l'on s'attend à ce que les diverses composantes du cadre de travail soient intégrées aux activités de planification et de développement des applications et du réseau ministériels.

Le rapport indique des moyens d'accroître la sensibilisation du personnel par rapport à la formation ministérielle accessible et également des secteurs d'amélioration qui se sont manifestés depuis la vérification précédente. Par exemple, la pertinence croissante du Comité des opérations Internet (COI) et les nouvelles exigences de l'analyse de rentabilisation des nouveaux sites Web sont encourageantes. Une analyse de cas doit maintenant être présentée pour toute nouvelle connectivité Internet ou tout nouveau service Web proposé au MAECI. De plus, le Ministère a récemment acquis des outils logiciels qui, lorsque mis en oeuvre, permettront une gestion améliorée du contenu des sites Web ministériels.

Objectifs et portée

Les objectifs de la vérification consistaient à évaluer ce qui suit :

  • L'efficience et l'efficacité de l'implantation d'Internet pour répondre aux exigences des utilisateurs et atteindre les objectifs visés.
  • La pertinence et la conformité avec les politiques, procédures et contrôles opérationnels par les utilisateurs d'Internet.
  • La pertinence de la formation du personnel (par exemple l'utilisateur final et le personnel de soutien technique du MAECI).
  • Si les normes et les politiques de confidentialité(1), d'accessibilité(2) et d'intégrité(3) sont respectées.
  • Si les coupe-feu ministériels sont administrés de manière appropriée.

L'utilisation croissante d'Internet par le public pour obtenir de l'information instantanée incite les fournisseurs de contenu Web à envisager leurs opérations dans le contexte d'une très grande accessibilité, 7 jours sur 7 et 24 sur 24. De la même façon, le Plan de reprise des activités (PRA) provisoire du MAECI indique que les opérations Internet sont essentielles. Par conséquent, l'équipe de vérification a examiné l'état courant du Plan de reprise des activités (PRA) ministériel provisoire(4), (5).

Le PRA indique ce qui suit : « Comme l'Internet constitue un outil capital de communication d'information essentielle au public et d'instructions aux employés, il est indispensable de rétablir une présence de base sur Internet, même si elle est rudimentaire. » (traduction libre) Bien que l'examen de tout le plan se trouve hors de la portée de la présente vérification, le plan semble généralement solide, dans son approche initiale, dans l'attente de l'achèvement de toutes les sections du plan. En général, l'équipe de vérification estime que, sous réserve de l'achèvement d'un examen complet du PRA et de l'incorporation de toutes les leçons apprises, le Ministère a réalisé des progrès dans le développement du PRA provisoire.

Tel qu'indiqué dans le mandat, la vérification comprenait des composantes de Signet-O(6) comme les serveurs DNS et les passerelles de serveur de courrier (par exemple SMTP, X.400, à l'exclusion des serveurs Web particuliers au Gouvernement en direct). Au moment de la vérification, les pare-feu ministériels isolaient Signet-O de Signet-DMZ, du réseau Signet-OGD et de Signet-D. Ces secteurs du réseau ont été inclus dans la portée de la vérification. L'accès à distance Signet et les services connexes ont été exclus de la vérification.

Phases

Hiérarchisation des risques

La première phase de la vérification comprenait une évaluation et une hiérarchisation des facteurs de risque liés à la connectivité Internet du MAECI, ainsi que des plans permanents de mise au point de mécanismes de rechange de prestation de services fondés sur Internet. Des secteurs de risque ont été repérés et examinés en fonction du risque de non-atteinte des objectifs ministériels et de non-protection des biens ministériels. Les éléments indiqués ont été classés par ordre d'importance avec les éléments clés composant le centre d'attention de la deuxième phase de la vérification.

Les problèmes ont été déterminés au moyen de groupes types. On a demandé à ces derniers de hiérarchiser les problèmes en fonction de leurs répercussions (pour le Ministère) et de la probabilité qu'ils se produisent (ou des risques connexes). Les groupes cibles se composaient d'un échantillon représentatif de personnes du Ministère (voir l'Annexe C) qui participaient aux opérations et aux services ainsi qu'à la sécurité et à la réalisation de programmes liés à l'Internet. Les graphiques suivants illustrent la représentation des diverses directions ainsi que les rôles des participants.

Représentation des groupes types par direction

Représentation des groupes types par direction

Rôles et responsabilités des participants

Rôles et responsabilités des participants

Les risques peuvent provenir de l'intérieur ou de l'extérieur. Les risques de l'intérieur sont en majorité de nature opérationnelle et peuvent être habituellement réglés par les gestionnaires alors que les risques provenant de l'extérieur sont de nature plus stratégique et supposent d'habitude des facteurs hors du contrôle direct d'un gestionnaire. La hiérarchisation des risques comprend une analyse de tous les risques indiqués, de l'intérieur et de l'extérieur, afin de déterminer la probabilité que se produisent des événements pouvant compromettre le Ministère et les effets négatifs possibles ou les répercussions qu'un événement donné pourrait avoir. Cette analyse se fonde en majeure partie sur l'expérience, sur l'intuition et sur la perspective opérationnelle des participants aux groupes types.

Travail sur place

Après l'achèvement de la hiérarchisation des risques, la vérification du travail sur place a commencé. La liste des activités suivantes donne un aperçu des tâches qui ont été entreprises :

  • Veiller à ce que le Ministère dispose des processus nécessaires pour assurer l'implantation de la version la plus à jour de tous les logiciels et correctifs dans les coupe-feu et les serveurs Web.
  • Examiner et évaluer toutes les procédures de gestion des comptes de mot de passe.
  • Examiner et évaluer les processus de gestion des incidents de tous les journaux produits par les coupe-feu et les serveurs Web.
  • Examiner et évaluer les droits d'accès aux fichiers et aux répertoires dans les coupe-feu et les serveurs Web.
  • Veiller à ce qu'il y ait des processus servant à désactiver toutes les commandes qui représentent un risque en matière de sécurité ou à les activer à des fins de comptes autorisés appropriés seulement.
  • Examiner et évaluer les procédures de stockage/conservation et d'inventaire des médias amovibles.
  • Examiner et évaluer les procédures de changement de logiciel pour les coupe-feu et les serveurs Web.
  • Évaluer la sécurité matérielle des coupe-feu et des serveurs Web.
  • Examiner et évaluer les procédures de détection et de contrôle des virus.
  • Examiner et évaluer les procédures de changement des règles sur les coupe-feu.
  • Examiner et évaluer les procédures visant à faire respecter les règles sur les coupe-feu.
  • Examiner et évaluer les procédures de sauvegarde liées aux coupe-feu et aux serveurs Web.
  • Examiner les questions liées aux processus commerciaux sur Internet et à l'orientation générale des activités Internet du Ministère.
  • Recueillir de l'information sur les meilleures pratiques et l'analyse comparative dans d'autres ministères et dans le secteur privé.

L'Annexe B renferme une liste des participants par unité organisationnelle qui ont été interviewés.

Analyse comparative et meilleures pratiques

L'analyse comparative compare le rendement d'une organisation « à celui d'organisations de classe internationale afin de mesurer l'excellence commerciale et d'établir des objectifs réalistes d'amélioration ... L'analyse comparative est une mesure du rendement qui offre l'élément moteur nécessaire à l'établissement d'objectifs de haut rendement et le moyen de les atteindre. »(7) (traduction libre)

Afin d'évaluer les meilleures pratiques d'autres ministères et du secteur privé pour une envergure et un mandat semblables, l'équipe a interviewé du personnel à Travaux publics et Services gouvernementaux Canada (TPSGC), au ministère de la Défense nationale (MDN) et à Développement des ressources humaines Canada (DRHC).

L'équipe a utilisé de l'information provenant des sociétés Gillette et IBM et également de publications européennes et du gouvernement des États-Unis, particulièrement des organismes suivants : U.S. General Accounting Office (GAO) et National Institute of Standards and Technology (NIST). Le cas échéant, les politiques et publications pertinentes et courantes du Secrétariat du Conseil du Trésor, y compris les guides et normes techniques de la GRC et du CST.

Constatations détaillées

1. Comptabilisation et production de rapports sur les coûts

1.1 Coût total de possession

La question de la transparence des coûts liés à l'Internet représente un problème au MAECI étant donné qu'il n'y a pas de processus connu pour établir, sur une base permanente, le total des coûts liés à l'Internet pour le Ministère et faire rapport à ce sujet. Cela signifie que la capacité de la direction de justifier et de répartir les ressources parmi les priorités ministérielles concurrentielles est loin d'avoir un fondement optimal au soutien des décisions prises.

Personne n'a pu orienter l'équipe de vérification vers un rapport, un poste budgétaire ou une pratique comptable qui pourraient être utilisés pour déterminer ce que la connectivité Internet et la présence sur le Web coûtent au Ministère. Les entrevues de vérification indiquent un rapport précédent qui renfermait un « coût par tête » de la connectivité Internet, mais nous n'avons pas pu trouver le rapport et disposions d'information insuffisante pour déterminer quels coûts ont été inclus dans le rapport pour en arriver à ce calcul. Plusieurs discussions ont indiqué que les coûts inclus étaient surtout des coûts de matériel et des lignes de location de télécommunications (« largeur de bande »). Les coûts indirects y compris les coûts indirects répartis de logiciels, de gestion du Web, de personnel de programmation et d'autres coûts d'investissements irrécupérables n'ont pas été inclus.

« Il est essentiel de déterminer les coûts en vue d'une bonne gestion des programmes et des services. Cela est nécessaire pour déterminer les frais des utilisateurs, pour la répartition éclairée des ressources parmi les composantes de prestation de services et pour la prise de décisions fondée sur la capacité financière ... Rôles et responsabilités : Il incombe aux ministères d'établir des normes de service et d'informer leurs clients de celles-ci, y compris des coûts de la prestation des services. On s'attend à ce que les gestionnaires de la prestation des services se chargent de ce développement. Les services financiers ministériels doivent être en mesure d'informer les gestionnaires des façons pratiques et exactes de déterminer les coûts pertinents de la prestation des services. »(8) (traduction libre)

Il n'est plus suffisant que les gestionnaires dépensent uniquement de l'argent pour de la TI sans pouvoir faire la preuve des avantages considérables et matériels de ces dépenses. Le coût total de possession (CTP) est une méthode servant à calculer et à préciser les deux côtés de cette équation.

Un document de politique approuvée affiché sur le site Web de la politique AIC/GIT définit le CTP de la façon suivante : « Coût total de possession : Pour un système GIT, une application ou des ressources, il s'agit de la somme des dépenses initiales en immobilisations (liées au projet) et des coûts directs et indirects d'exploitation pour la moindre des deux possibilités suivantes : les cinq premières années d'exploitation ou la durée prévue de sa vie utile. »(9) Le document explique que les gestionnaires de projet doivent avoir ce calcul afin de décider s'ils ont besoin de l'approbation ministérielle pour leur projet GI/TI. Toutefois, il n'y a pas d'explication quant à la façon de calculer les coûts totaux ou quant à l'endroit où l'on peut accéder à cette information.

En janvier 1999, SXD a acheté un progiciel de modélisation du coût total de possession du Gartner Group, avec l'approbation du Comité directeur de la GIT et l'on a procédé à un premier exercice de CTP. La première itération était surtout axée sur le CTP du bureau de dépannage et sur la fonction de soutien des utilisateurs. Une grande partie du travail a été consacrée à recueillir des données et à les définir en termes correspondants au modèle du Gartner Group. Cet exercice représente beaucoup d'efforts et du bon travail de la part des participants. Des calculs périodiques de CTP subséquents (annuels ou plus fréquents) pourraient se fonder sur cette base.

À titre d'exemple supplémentaire de la façon d'atteindre le calcul initial du CTP consisterait à procéder de la façon suivante : une estimation cumulative des coûts de connectivité Internet a été fournie au cours de la vérification précédente de 1998. En 1998, ces coûts représentaient 2,5 millions de dollars par année. Le rapport indiquait également que « Ces coûts excluent le coût courant de développement de diverses pages d'accueil des missions qui ne sont pas identifiées, consolidées ou indiquées à l'administration centrale. En résumé, le graphique ne donne pas le coût véritable complet de cette activité pour le Ministère. »(10) Le diagramme représente un coût de toute évidence en hausse au fil du temps ce qui, selon nous, nécessite un certain contrôle et une certaine analyse.

Coûts de la connectivité Internet

Coûts de la connectivité Internet

Une détermination valable du CTP liée à la connectivité Internet et à la présence sur le Web renforcerait le mandat de l'AIC, contribuerait à l'implantation ministérielle requise de l'Initiative de la fonction de contrôleur moderne (FCM) et du Cadre amélioré de gestion (CAG) du SCT et à l'intégration à l'effort général de la stratégie d'implantation financière (SIF) du GdC, qui consiste à offrir une production de rapports plus précis. Les avantages tirés de l'intégration des concepts de comptabilité financière au contrôle stratégique des coûts en matière de TI ont été décrits dans un rapport de TPSGC qui indiquait ce qui suit :« Nous pouvons mesurer notre consommation plutôt que nos dépenses. ... La qualité améliorée de l'information financière diffusée aux ministères et aux agences entraînera une meilleure prise de décisions, une meilleure planification et une meilleure production de rapports. »(11) (traduction libre)

Parce que le Ministère connaît déjà le programme du Gartner Group qui est un modèle reconnu et crédible, l'application du modèle au CTP de la connectivité Internet et à la présence sur le Web pourrait donner des résultats plus immédiats que ce que l'on s'attendrait d'obtenir d'une première itération n'ayant pas fait l'objet de test. Des itérations ultérieures pourraient être utilisées pour préciser les résultats.

En dernier lieu, les décisions prises en ce qui a trait aux dépenses informatiques profiteront d'une approche qui répartit des coûts mesurés en fonction d'exigences commerciales concurrentielles et de priorités connexes. Sans une méthode de budgétisation et un compte pour l'ensemble de la collectivité Internet et la présence sur le Web, il est difficile d'évaluer si les dépenses correspondent aux avantages prévus.

Selon des entrevues menées dans le cadre de la vérification, il y a une variété de pratiques budgétaires disparates au Ministère pour ce qui est de la connectivité Internet. Par exemple, les plans à long terme de connectivité Internet sont développés de concert avec une initiative du Gouvernement en direct. Le budget général en matière de TI est déterminé à l'échelle ministérielle, mais les critères de budgétisation pour la connectivité Internet, y compris le développement et la maintenance du site Web, sont à court terme et semblent être localisés à la direction générale ou à la direction.

Recommandation(s) : 

  • L'AIC, de concert avec SMD et SAM, devrait entreprendre un exercice pour déterminer l'ensemble des coûts de la connectivité Internet ministérielle et de la présence du Ministère sur le Web et veiller à ce que le processus soit permanent et prenne la forme d'un poste budgétaire annuel.

Mesure de la direction :

Réaction de l'AIC :

En 2004-2005, l'AIC entreprendra, un examen, à l'échelle ministérielle, de toutes les dépenses en matière de GI et de TI et informera le Comité exécutif de ses résultats. Cela comprendra une évaluation du coût total de la connectivité Internet ministérielle.

Commentaires de l'ISC :

Les ressources de l'ISC sont utilisées au cours des enquêtes qui comprennent le contrôle et l'accès aux journaux liés à une activité Internet individuelle. La recommandation reliée à la détermination du « total des coûts de la connectivité Internet ministérielle » qui indiquerait les « coûts/avantages » serait la bienvenue et obtiendrait l'appui de notre Direction générale.

Commentaires de DCP

Les ressources de DCP sont utilisées de façon similaire afin de répondre aux exigences des ministères et des organismes centraux concernant la protection des renseignements personnels dans les nouvelles applications, y compris celles basées sur Internet. Notre direction générale accueille favorablement et appuie la recommandation visant à déterminer le coût total de la connectivité des ministères sur Internet, ce qui permettrait de cerner les dépenses à ce chapitre et d'en rendre compte.

1.2 Contrôle de la rentabilité

Le processus de contrôle de la rentabilité de la connectivité Internet et de la présence sur le Web n'est pas évident au MAECI. Par conséquent, la direction ne peut être assurée que les dépenses liées à l'Internet sont efficientes et efficaces pour répondre aux besoins du MAECI.

Comme dans le cas de la budgétisation, une méthode accessoire d'aborder le problème de gestion de la répartition des ressources limitées consiste à comparer les avantages prévus d'un investissement par rapport aux coûts. Pour de très grands investissements, une étude de rentabilité économique détermine si les dépenses prévues sont justifiées, abordables et si des solutions de rechange pourraient être accessibles.

La justification de la rentabilité ou une exigence de dossier justificatif représente un contrôle de gestion qui garantit que le coût de la prestation des services par la fonction Internet est justifié et harmonisé avec l'industrie.

La politique ministérielle de l'AIC et de la GIT sur le processus des approbations de projets proposés en matière de gestion et de technologie de l'information requiert que tout projet dont le coût total estimatif de possession (capital plus cinq années d'exploitation) dépasse 200 000 $ et dont les risques et(ou) les répercussions sont estimés être d'un degré moyen ou élevé devrait être présenté pour approbation ministérielle.

Un processus de contrôle des coûts qui compare les dépenses réelles aux dépenses budgétisées est effectué dans le cade du processus comptable annuel général ministériel et comme dans le cas de la budgétisation, l'équipe de vérification n'a pas pu repérer un processus particulier de contrôle des coûts pour ce qui est de la connectivité Internet. La budgétisation en matière de TI semble être concentrée sur le matériel, les licences de logiciel et la largeur de bande alors que les coûts de logiciel (par exemple le développement Web, la navigation sur le Web, etc.) ne font pas l'objet d'un suivi non plus que d'une analyse de rentabilité.

La pertinence croissante du Comité des opérations Internet (COI) et ses demandes d'analyse d'un dossier justificatif des nouveaux sites Web sont encourageantes. Un dossier justificatif doit être présenté pour toute nouvelle connectivité Internet ou tout nouveau service Web proposé au MAECI. Toutefois, l'équipe de vérification n'a pas pu déterminer s'il y avait une exigence courante d'examen périodique de la connectivité Internet et de la présence sur le Web ainsi que des dossiers justificatifs connexes afin d'assurer le maintien d'une certaine pertinence.

La direction n'établit pas de coûts particuliers liés à la connectivité Internet et à la présence sur le Web dans le processus de budgétisation et aucune métrique financière n'a été mise en place pour évaluer l'efficacité de la connectivité Internet ou de la présence sur le Web du Ministère. Il ne semble pas y avoir de document disponible qui relie le coût des dépenses de la connectivité Internet et de la présence sur le Web à la réalisation des stratégies de gestion de l'information ministérielle et à l'atteinte des résultats souhaités. Les objectifs établis de la direction quant à la connectivité Internet et à la présence sur le Web ne sont pas suffisamment précis pour déterminer dans quelle mesure les objectifs planifiés ont été atteints, les produits livrables obtenus, les cibles de rendement respectées et les risques atténués.

Meilleure(s) pratique(s) :

Une méthodologie officielle du Cycle chronologique de l'élaboration des systèmes (CCES) est adoptée. Elle requiert, dans chaque projet de développement, d'implantation et de modification de systèmes d'information proposés une analyse des coûts-avantages liés à chaque solution de rechange envisagée pour répondre aux exigences commerciales établies, y compris une étude complète de faisabilité économique pour les projets de très grande envergure.

Les rapports sur l'état d'avancement des travaux comprennent le degré d'atteinte des objectifs planifiés, les produits livrables obtenus, les cibles de rendement respectées ainsi que les risques atténués. Après examen, des mesures de gestion appropriées devraient être prises et contrôlées.

Recommandation(s) :

  • L'AIC, de concert avec SMD et SAM, devrait mettre au point un processus de contrôle de la rentabilité de la connectivité Internet et de la présence ministérielle sur le Web et la mettre en oeuvre dans tout le MAECI.

Mesure de la direction :

Réaction de l'AIC :

L'examen, à l'échelle ministérielle, de toutes les dépenses en matière de GI et de TI dont il est question en 1.1 entraînera également la mise en place d'un processus de contrôle de la rentabilité établi dans tout le Ministère.

2. Loi sur la protection des renseignements personnels

2.1 Le respect par le MAECI des exigences de la Loi sur la protection des renseignements personnels n'a pas été assuré sur tous les sites Web. Cela pourrait entraîner de l'embarras ou une certaine responsabilité pour le Ministère si des renseignements personnels étaient divulgués de manière non autorisée.

La Loi sur la protection des renseignements personnels protège les renseignements personnels que détient un établissement gouvernemental. Le MAECI est responsable de son exigence visant à limiter les renseignements personnels recueillis afin de les protéger contre la divulgation et de veiller à ce que l'information ne soit utilisée qu'aux fins pour lesquelles elle est recueillie.

Le MAECI a adopté une politique ministérielle qui requiert la notification aux visiteurs du site Web de tous les renseignements personnels que le Ministère collectera. Pour les pages Web consultées par l'équipe de vérification, l'énoncé de confidentialité était évident. (Voir « Avis importants - Déclaration sur la protection des renseignements personnels du Canada » de la page d'accueil du MAECI.) En général, le Ministère limite sa collecte de renseignements à l'adresse IP des visiteurs à des fins statistiques. Des évaluations des répercussions sur la protection des renseignements personnels (ERPRP) sont maintenant requises pour tous les systèmes d'information du gouvernement du Canada qui pourraient éventuellement recueillir des renseignements personnels.

Toutefois, sur le site e-XACT d'Équipe Canada, des renseignements personnels sont recueillis du public, y compris les numéros de carte de crédit pour une application particulière et pourraient ne pas être suffisamment protégés. Aucune évaluation des répercussions sur la protection des renseignements personnels n'a été produite pour cette application non plus qu'une évaluation de la menace et des risques (EMR) effectuée sur le système avant le développement et l'exploitation subséquente du site. (Le projet était en mode d'essai à Londres et à New York au cours de la période durant laquelle la vérification a été effectuée.)

Meilleure(s) pratique(s) :

Les organisations qui utilisent les meilleures pratiques effectuent des évaluations de répercussions sur la protection des renseignements personnels (ERPRP) sur tous les systèmes existants et rendent une ERPRP obligatoire dans le cadre du développement de nouveaux systèmes. (En outre, les recommandations de l'ERPRP doivent être mises en oeuvre avant l'accréditation ou la nouvelle accréditation d'un SI.)

Recommandation(s) :

  • S'il est prévu de continuer le passage du projet pilote à l'implantation, SMF et ISC, de concert avec TPSGC, devraient mener une EMR sur l'application e-XACT.
  • SMF devrait communiquer avec DCP pour obtenir de l'orientation sur l'exigence d'une évaluation des répercussions sur la protection des renseignements personnels (ERPRP) de l'application e-XACT.

Mesure de la direction :

Réaction de SMF :

Le projet pilote e-XACT a été abandonné en raison du manque de souplesse du produit. Nous envisageons maintenant d'adopter un produit par « bouton d'achat » de TPSGC. SMF amorcera des discussions avec ISC pour veiller à ce que les mesures requises dans la recommandation soient prises en ce qui a trait au produit acquis par « bouton d'achat » également.

Réaction d'ISC :

La responsabilité du Ministère associée à la collecte de renseignements personnels comprenant des numéros de carte de crédit constitue un problème. Le Ministère a l'obligation de protéger son information et des cas récents dans d'autres ministères où l'information n'a pas été préservée, comme elle l'aurait dû, ont fait les manchettes dans les médias. Pour ce qui est de la recommandation particulière liée au site e-XACT d'Équipe Canada, nous comprenons que cette application n'a pas été mise en oeuvre et, par conséquent, aucune EMR ne sera exécutée. ISC assurera toutefois le suivi avec SMF et avec TPSGC pour vérifier si une autre application a été implantée à sa place.

3. Formation des utilisateurs

3.1 Les utilisateurs du MAECI manquent de sensibilisation à la formation disponible liée à l'Internet. Cela pourrait entraîner une insatisfaction de l'utilisateur pour ce qui est des outils de travail électroniques, une efficience opérationnelle réduite dans les services de formation et des pertes de productivité pour le MAECI.

Bien que l'Institut canadien du service extérieur (ICSE) conserve une série d'offres de formation ainsi qu'une base de « listes de cours » par poste et catégorie d'employé (12), (13), des participants aux groupes représentatifs ont indiqué que la formation liée à l'Internet était limitée ou indisponible.

Dans le secteur du développement et de la gestion Internet, l'ICSE a démontré à l'équipe comment, en plus des cours déjà offerts, il y a une coordination de la formation à partir d'organismes de formation de l'extérieur où l'analyse de rentabilité ne justifie pas l'élaboration d'un programme de formation interne. Les statistiques de formation indiquent qu'il y a 31 % d'annulations et 29 % d'absences. L'ICSE a indiqué qu'il appartient à l'employé et à son gestionnaire d'examiner les besoins en formation et de demander de la formation appropriée. L'ICSE a également indiqué être à la recherche de solutions de rechange, comme l'apprentissage à distance et l'apprentissage en réseau, afin d'offrir à tous les employés du MAECI une variété d'options qui conviennent à leurs besoins. Ces approches permettent également à l'ICSE d'offrir de la formation à n'importe quelle mission reliée au réseau MAECI.

Toutefois, comme des parties de la population utilisatrice d'échantillon n'étaient pas au courant de toute la formation disponible à l'ICSE, elles n'en ont pas tiré avantage. Du personnel sans formation peut ne pas optimiser son utilisation de l'informatique et des ressources Internet. Le fait que des progiciels de formation intensive soient accessibles, mais que la population utilisatrice n'en soit pas au courant, indique une occasion d'améliorer la sensibilisation du personnel à la formation disponible.

Meilleures pratiques :

Des organisations de meilleures pratiques tiennent à jour un système de formation qui relie les niveaux d'aptitudes et de compétence Internet à des descriptions d'emploi régulièrement examinées et mises à jour. Si les titulaires n'ont pas les aptitudes ou les compétences voulues, la formation requise est obligatoire et le suivi est assuré par le système du personnel et la direction. Les titulaires reçoivent tout l'encouragement nécessaire pour acquérir les aptitudes et les compétences voulues, mais dans les cas où le titulaire ne répond pas à ces encouragements, une échéance raisonnable pour les acquérir lui est fixée qui tient compte de la complication de l'aptitude ou de la compétence. La direction reçoit également des incitations et des encouragements pour veiller à ce que son personnel soit bien formé et à jour.

De la même façon, les RH (MSL/HPD/HRD) du MAECI pourraient veiller à ce que les aptitudes et les compétences Internet et TI soient reliées à toutes les descriptions de tâches, peut-être dans le cadre du Projet de gestion des ressources humaines fondé sur les compétences. L'acquisition d'aptitudes et de compétences devrait être obligatoire, comme le démontre les participants aux cours pertinents de l'ICSE ou d'autres preuves acceptables. Les aptitudes et les compétences requises que possède le titulaire pourraient alors être indiquées et soutenues par les divers systèmes de personnel et de formation ainsi que par la direction.

Recommandation(s) :

  • L'Institut canadien du service extérieur (ICSE) devrait élargir son programme de formation pour renseigner le personnel du MAECI sur la grande variété de formation Internet et TI disponible à partir de l'Institut et sur la disponibilité de la formation de l'extérieur, lorsqu'approprié.
  • Le CFSS devrait mettre l'accent sur les besoins des missions et assurer la publicité officielle de son Programme de formation à distance dans les missions.

Mesure de la direction :

Réaction de l'ICSE/du CFSS :

L'ICSE et le CFSS sont d'accord, en principe, avec l'intention des observations dans le rapport de vérification. Toutefois, la question du financement à long terme requerrait une solution supplémentaire et l'approbation de SXD. Nous amorcerons un dialogue avec SXE pour examiner la question du financement à long terme.

Le Projet de renouvellement de l'infrastructure (PRI) à venir nous donnera l'occasion, au cours des deux prochaines années, d'élargir le programme de formation GIT pour inclure une grande variété de formation Internet et TI disponible à l'extérieur de l'Institut ainsi que d'augmenter sa liste courante de produits en ligne et son utilisation de la formation à distance pour donner des ateliers GIT directement aux missions à partir d'Ottawa.

Le CFSS a travaillé de concert avec SXD au cours des derniers mois pour utiliser divers éléments de technologie éducatifs qui sont disponibles à l'heure actuelle ou qui le seront lorsque le Projet de renouvellement de l'infrastructure sera mis en place. Certains de ces éléments de la technologie éducative sont les suivants : un logiciel auteur Web sur chaque poste de travail, une fonction d'aide à distance XP, Impatica on Cue et un portail d'apprentissage GIT qui seront accessibles aux missions et à l'administration centrale.

Ces éléments de technologie sont tous différents selon la perspective dans laquelle ils sont utilisés. Le logiciel auteur Web nous permet de concevoir, de développer ou d'acheter de la FAO qui peut fonctionner sur l'Intranet ministériel. La fonction d'aide à distance de XP nous permet de relier la formation/le tutorat directement à l'ordinateur de l'utilisateur GIT. Impatica on Cue nous permet d'utiliser MS PowerPoint dans des tutoriels en ligne interactifs qui sont rapides et faciles à développer. Le portail d'apprentissage GIT renfermera des produits en ligne qui ont été et continueront d'être développés à l'interne, mais il rendra également possible pour l'ICSE d'utiliser Internet et les progiciels de formation GIT disponibles, à l'heure actuelle, à partir de sources de l'extérieur. Le DFSS publie à l'heure actuelle avec SXM et Travaux publics une demande de proposition pour acquérir une bibliothèque bilingue de progiciels de formation GIT qui peut être placée sur le portail d'apprentissage GIT. Le calendrier de mise en oeuvre du portail d'apprentissage GIT est octobre/novembre 2003.

Commentaires d'ISC :

Bien qu'il n'y ait pas de recommandations particulières liées au DSO, nos enquêtes sur la PUAR ont illustré un manque de sensibilisation par de nombreux employés du MAECI au contenu de la politique d'utilisation acceptable du réseau. Dans ce contexte, nous recommanderions que la PUAR soit transmise aux participants à la formation liée à « Internet » donnée par l'ICSE.

Annexes

ANNEXE A - Résultats liés aux groupes représentatifs

Les résultats de l'exercice sur la hiérarchisation des risques ont indiqué que les six problèmes principaux qui se manifestent quant aux répercussions et à la probabilité que des incidents se produisent sont :

  • Le manque d'initiatives de formation et d'activités de perfectionnement du personnel liées à la gestion et à l'implantation d'Internet.
  • Le fait de ne pas veiller à ce que des processus soient mis en place pour assurer que les programmes secondaires puissent appuyer l'accroissement de la circulation des données.
  • Le fait de ne pas avoir de plan d'urgence et de reprise.
  • Stratégie Internet : Le fait de ne pas avoir de prestation de services précise reliant les objectifs commerciaux du MAECI à la stratégie Internet.
  • Le fait de ne pas avoir de procédures de configuration et de changement officielles.
  • Le manque de sensibilisation des utilisateurs lié aux procédures de protection contre les virus.

ANNEXE B - Participants

PosteOrganisation
Agent principal, ConnectivitéREB, Direction de l'expansion des affaires en Europe et de la connectivité
Agent d'information en chef et directeur généralSXD, Direction générale de la gestion de l'information et de la technologie
Directeur, Direction générale de la gestion de l'information et de la technologieSXP, Direction de la planification et de la direction de la GTI
Directeur, Gestion de l'infrastructureSXT, Direction de l'infrastructure technologique
Gestionnaire de comptesSXCA, Section de la gestion des comptes des utilisateurs
Gestionnaire intérimaire, Services d'informationSXCI, Services d'information
Interface client, IntranetSXC, Direction des services à la clientèle
Gestionnaire, Développement Internet et COIBCP, Direction des programmes de sensibilisation et des communications électroniques
Agent, ConnectivitéREB, Direction de l'expansion des affaires en Europe et de la connectivité
Directeur adjoint et observateur COISXPL, Section de la planification et des politiques de la GTI
WebmestreJPC, Informatique
Directeur, Ressources d'informationSXI, Direction des ressources d'information
Gestionnaire du contenu des projets (et COI)MJW, Sous-ministre adjoint (portefeuille : Politique mondiale et Sécurité)
Directeur, Commerce et COITCW, Direction du marketing, Service des délégués commerciaux
Directeur adjoint, Gouvernement en directSXG, Bureau du Projet de Gouvernement en direct
Directeur adjoint, Courrier électronique et passerellesSXTE, Section de la messagerie et des passerelles électroniques
Directeur adjoint, Systèmes protégésSXTC, Section des systèmes protégés
Gestionnaire, Développement des systèmes protégésSXTC, Section des systèmes protégés
Stratège, CybercommunicationsBCP, Direction des programmes de sensibilisation et des communications électroniques
Coordonnateur de la politique, Sécurité de la TIISC, Direction de la sécurité ministérielle
Conseiller, Autoroute de l'information et jeunesseIMF, Direction des affaires de la Francophonie
Administrateur principal des systèmes InternetSXIA, Diffusion d'information
Coordonnateur des programmes, Sensibilisation et communicationsAGP, Direction de la consolidation de la paix et de la sécurité humaine
Directeur, Centre d'apprentissage des services ministérielsCFSS, Centre d'apprentissage des services ministériels
Gestionnaire de bases de donnéesTCE, Direction du développement des exportations
Analyste, Sécurité de la TIISC, Direction de la sécurité ministérielle
Agent (Administration du Web, Soutien technologique)NUR, Direction des relations générales avec les États-Unis
Conseiller en GI/TI et observateur COIEAM, Bureau de l'administration du secteur - Politique commerciale et économique
Directeur adjoint/spécialiste, Sécurité de la TIISC, Direction de la sécurité ministérielle

ANNEXE C - Participants à la hiérarchisation des risques

PosteOrganisation
Gestionnaire, Développement Internet et COIBCP
Agent de communications, Développement InternetBCP
Coordonnateur de programme, Sensibilisation et communicationsILX
Coordonnateur des électionsIMOP
Coordonnateur RCA et gestionnaire du contenu du Web (agent de communications et COI)JPS
Gestionnaire du contenu Internet et observateur COIPNSP
Conseiller, Autoroute de l'information et jeunesseIMF
Directeur, Ressources d'information et COISXI
Directeur, Planification et direction de la GTISXP
Coordonnateur, CanadExports en directPNSP
Directeur adjointGAF
Analyste, Sécurité de la TIISC
Interface client, IntranetSXC
Directeur adjoint et observateur COISXPL
Directeur adjoint, Systèmes d'information de TCSTCE
Gestionnaire, Programme de visites, REBREB
Conseiller en GI/TI et observateur COIEAM
Webmestre, Agent de gestion financièreIDA
Coordonnateur de la politique, Sécurité de la TIISC
Gestionnaire du contenu des projets (et COI)MJW
Administrateur Web et soutien technique, Direction NNUR
Gestionnaire, Développement des systèmes protégésSXTC
WebmestreJPC
Gestionnaire de bases de donnéesTCE
Service de commercialisation de l'éducationACET
Gestionnaire intérimaire, Services d'informationSXCI
Directeur, Centre d'apprentissage des services ministérielsCFSS
Directeur adjoint/spécialiste de la sécurité de la TIISC
Administrateur principal des systèmes InternetSXIA
Directeur adjoint, Courrier électronique et passerellesSXIM
Directeur adjoint, Gouvernement en directSXG
Gestionnaire de comptesSXCA
Directeur adjoint des systèmes protégésSXTC
Stratège, CybercommunicationsBCP
Directeur, Commerce et COITCW

ANNEXE D - Glossaire

[NB: Cette Glossaire est copier par le Politique du gouvernement sur la sécurité (2002).]

Accréditation (accreditation) - autorisation officielle par la direction d'exploiter un système des TI et acceptation par la direction du risque résiduel s'y rattachant. L'accréditation dépend des résultats de la certification ainsi que d'autres considérations de nature administrative.

Aire à accès restreint (restricted access area) - aire de travail où l'accès est restreint aux individus autorisés.

Besoin de connaître (need-to-know) - besoin éprouvé par une personne d'accéder à des renseignements et de les connaître pour accomplir les tâches qui lui incombent.

Biens (Assets) - éléments d'actifs corporels ou incorporels du Gouvernement du Canada. Ce terme s'applique, sans toutefois s'y limiter, aux renseignements, sous toutes leurs formes et quel que soit leur support, aux réseaux, aux systèmes, au matériel, aux biens immobiliers, aux ressources financières, à la confiance des employés et du public, et à la réputation internationale. (Les renseignements ont été inclus à cette définition exclusivement aux fins de la présente politique. On ne peut en conclure que les conséquences juridiques applicables aux biens dans le sens légal s'appliquent aussi aux renseignements).

Biens classifiés (classified assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.

Biens essentiels (critical assets) - biens supportant un service essentiel.

Biens protégés (protected assets) - biens dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.

Certification (certification) - évaluation complète des dispositifs de sécurité techniques et non techniques d'un système des TI et d'autres mesures de sauvegarde connexes, effectuée à l'appui de l'accréditation, pour déterminer le degré selon lequel un modèle de conception et de mise en oeuvre précis satisfait à un ensemble donné d''exigences en matière de sécurité.

Compromission (compromise) - divulgation, destruction, suppression, modification, interruption d'accès ou utilisation de biens qui est non autorisée.

COMSEC - sécurité des télécommunications : mesures sécuritaires de crytographie, de transmission et d'émission que l'on applique aux renseignements conservés, traités ou transmis électroniquement; une composante de la sécurité des technologies de l'information.

Confidentialité (confidentiality) - caractéristique selon laquelle les renseignements ne doivent pas être divulgués à des personnes non autorisées, cela pouvant porter préjudice à l'intérêt national ou à d'autres intérêts, comme l'indiquent des dispositions précises de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Cote spéciale d'accès (site access clearance) - cote requise pour accéder à des installations vitales pour l'intérêt national ou aux zones à accès restreint des événements majeurs.

Cote de fiabilité (reliability status) - indique que l'évaluation de la fiabilité a été achevée avec succès et donne à la personne visée un accès régulier à des biens du gouvernement et un accès à des renseignements protégés en fonction du besoin de connaître.

Cote de sécurité (security clearance) - indique que l'évaluation de sécurité a été achevée avec succès; avec un besoin de connaître, permet d'avoir accès à des renseignements classifiés. Il y a trois niveaux : Confidentiel, Secret et Très secret.

Disponibilité (availability) - condition d'être disponible sur demande afin de soutenir les opérations, les programmes et les services.

Exigences sécuritaires de base (baseline security requirements) - dispositions obligatoires de la Politique du gouvernement sur la sécurité, de ses normes opérationnelles et de sa documentation technique.

Incident de sécurité (security incident) - compromission d'un bien ou tout acte ou omission qui pourrait se traduire par une compromission; menaces ou actes de violence à l'encontre des employés.

Installation (facility) - désigne un aménagement physique qui sert à une fin précise. On entend par installation une partie ou la totalité d'un immeuble, soit un immeuble, son emplacement et ses alentours, ou encore une construction qui n'est pas un immeuble. Le terme désigne non seulement l'objet même mais aussi son usage.

Intégrité (integrity) - exactitude et intégralité des biens, et authenticité des transactions.

Intérêt national (national interest) - concerne la défense et le maintien de la stabilité sociopolitique et économique du Canada.

Menace (threat) - tout événement ou acte éventuel, délibéré ou accidentel, qui pourrait porter préjudice aux employés ou aux biens.

Planification de la continuité opérationnelle (business continuity planning) - terme global s'appliquant notamment à ''élaboration et à l'exécution opportune de plans, de mesures, de procédures et de préparatifs afin d'éviter ou de minimiser tout arrêt de la disponibilité des services et des biens essentiels.

Pour un motif valable (for cause) - terme indiquant qu'il y a un motif raisonnable de revoir, suspendre, abaisser ou révoquer une cote de fiabilité ou de sécurité. Dans le contexte d'une évaluation de sécurité, terme indiquant la nécessité d''effectuer des vérifications plus approfondies.

Processus de passation des marchés (contracting process) - désigne l'invitation à soumissionner, les négociations, la passation, l'exécution et la résiliation des marchés.

Renseignements classifiés (classified information) - renseignements d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à l'intérêt national.

Renseignements protégés (protected information) - renseignements autres que d'intérêt national susceptibles d'être visés par une exclusion ou une exception en vertu de la Loi sur l'accès à l'information ou de la Loi sur la protection des renseignements personnels, et dont la divulgation sans autorisation risquerait vraisemblablement de porter préjudice à des intérêts privés ou non reliés à l'intérêt national.

Risque (risk) - possibilité qu'une vulnérabilité soit exploitée.

Sécurité des technologies de l'information (information technology security) - mesures de sauvegarde visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique.

Sécurité matérielle (physical security) - mesures de sauvegarde matérielle pour empêcher et retarder l'accès non autorisé aux biens, pour détecter l''accès non autorisé recherché et obtenu et pour déclencher une intervention appropriée.

Service essentiel (critical service) - service dont la compromission en termes de disponibilité ou d'intégrité résulterait en un préjudice élevé à la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ou encore à l'efficacité du Gouvernement du Canada.

Valeur (value) - coût approximatif soit monétaire, culturel ou autre.

Vulnérabilité (vulnerability) - faiblesse quant à la sécurité qui pourrait permettre à une menace de causer préjudice.


NOTES :

1. Confidentialité - « Caractéristique selon laquelle les renseignements ne doivent pas être divulgués à des personnes non autorisées, classifiés ou désignés de manière à porter préjudice dans l'éventualité d'une divulgation non autorisée », Sécurité des technologies de l'information - Guide de vérification, Secrétariat du Conseil du Trésor, 1995. Retourner

2. Disponibilité - « Condition d'être disponible sur demande afin de soutenir les opérations, les programmes et les services », Sécurité des technologies de l'information - Guide de vérification, Secrétariat du Conseil du Trésor, 1995. Retourner

3. Intégrité - « Exactitude et intégralité des biens et authenticité des transactions », Sécurité des technologies de l'information - Guide de vérification, Secrétariat du Conseil du Trésor, 1995. Retourner

4. CANADA. Ministère des Affaires extérieures et du Commerce international. Procès-verbal de la réunion du Comité exécutif du 9 janvier 2002. 19 mars 2002. (http://intranet/department/executive/2002/020109-f.asp) Retourner

5. CANADA. Ministère des Affaires extérieures et du Commerce international. Interim Departmental Business Continuity Plan. 18 janvier 2002. Retourner

6. CANADA. Ministère des Affaires extérieures et du Commerce international. Intrusion Detection Implementation Review, SXIA, 30 mars 2001 Retourner

7. Mise en application de l'analyse comparative, août 1999, CMA Canada. Retourner

8. CANADA. Secrétariat du Conseil du Trésor du Canada. Guide pour l'établissement du coût de la prestation des services pour les normes de service. Octobre 1995. Retourner

9. CANADA. Ministère des Affaires étrangères et du Commerce international. Policy on Approvals Process for Proposed Information Management and Technology Projects. Affiché sur le site Web intranet AIC/GIT à l'adresse suivante : http://intranet/department/cio/proManagement/tracking/policyProcess-f.asp Retourner

10. CANADA. Ministère des Affaires étrangères et du Commerce international. Audit Report on DFAIT Connectivity to the Internet. 19 juin 1998. Retourner

11. CANADA. Travaux publics et Services gouvernementaux Canada (TPSGC). Faire affaires avec Travaux publics et Services gouvernementaux Canada, « La SIF : une transition harmonieuse vers une méthode comptable améliorée. » Printemps 2002. Citation attribuée à Rod Monette, sous-ministre adjoint, Services opérationnels du gouvernement (SOG). Retourner

12. CANADA. Ministère des Affaires extérieures et du Commerce international. Positions and Employee Groups. 7 mai 2002 (http://intranetapps/cfsi/virtual/14EmployeeGroups/EmployeeGroups-f.asp) Retourner

13. CANADA. Ministère des Affaires extérieures et du Commerce international. Cours: Internet and DFAIT Intranet. 7 mai 2002 (http://intranetapps/cfsi/virtual/11CFSIcourses/courseInfo-f.asp?id=100) Retourner

Bureau de l'inspecteur général

Pied de page

Date de modification :
2008-11-19