PremièrePrécédenteSuivante
Voir toutes les pages

Vérification de la Gestion du centre de données

1.0 Sommaire

1.1 Introduction

La Direction de la gestion du centre de données (GCD) fait partie de la Division des services d'infrastructure (DSI), qui relève du chef de l'informatique. Elle a pour mandat d'optimiser la gestion et l'exploitation du centre de données d'Industrie Canada (CDIC) tout en mettant son leadership et son expertise au service des unités fonctionnelles du Ministère dans le domaine des serveurs, du stockage des données d'entreprise et du courriel.

L'objet de la mission de vérification, approuvé dans le plan de vérification axée sur le risque et confirmé à l'étape de la planification, consistait à donner l'assurance que le CDIC avait mis en place des contrôles adéquats pour protéger la confidentialité, l'intégrité et la disponibilité des données et des systèmes du Ministère.

La vérification portait sur tous les aspects du centre de données dans l'édifice C.D. Howe. Elle a aussi examiné la gouvernance, la gestion des risques et les contrôles exercés par la GCD. En outre, les vérificateurs ont évalué la mesure dans laquelle l'autorité fonctionnelle est établie et exercée sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de technologie de l'information (TI) propres aux programmes.

Les vérificateurs n'ont pas examiné les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC (p. ex. à la Place du Portage, dans les Tours Jean-Edmonds et dans les bureaux régionaux). Ils ne se sont pas penchés non plus sur les contrôles d'accès logique se rapportant à des applications, à des bases de données ou à des dispositifs réseau particuliers (p. ex. les concentrateurs, les routeurs, les commutateurs et les coupe-feu).

1.2 Conclusion générale

La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus et aux procédures d'exploitation. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique. Des organismes d'examen surveillent les incidents, les problèmes et les changements. En outre, le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés.

Il serait toutefois possible d'examiner et d'améliorer les pratiques de gestion se rapportant à l'exercice de l'autorité fonctionnelle sur l'exploitation des salles d'ordinateurs et de serveurs du Ministère; le contrôle de l'accès physique au centre de données; et les activités visant à assurer l'exploitation continue du centre de données.

1.3 Principales constatations

Gouvernance

La gestion du centre de données est considérée comme une fonction bien organisée en ce qui a trait aux processus de fonctionnement et aux procédures. Le Ministère a adopté et mis en œuvre la méthode de gestion de projets présentée dans le Cadre amélioré de la gestion du Secrétariat du Conseil du Trésor et du chef de l'informatique ainsi que les processus de prestation de services et de soutien de l'ITIL (Information Technology Infrastructure Library). Des organismes d'examen surveillent les incidents, les problèmes et les changements au centre de données. Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 1.0
Le chef de l'informatique n'exerce pas pleinement une autorité fonctionnelle, à un niveau opérationnel, sur les installations informatiques dans les cas où les secteurs sont demeurés responsables du développement et du soutien de systèmes de TI propres aux programmes.

Contrôle interne

Le rendement du centre de données est surveillé et fait l'objet de rapports en regard des ententes sur les niveaux de service. Son environnement matériel est soumis à une surveillance et à un contrôle appropriés. Il y a toutefois matière à amélioration dans les domaines suivants :

Constatation no 2.0
Les procédures d'utilisation normalisées concernant l'accès physique au CDIC ne sont pas toujours respectées.
Constatation no 3.0
L'investissement ponctuel au titre des serveurs acquis entre 2005 et 2007 nécessitera une stratégie de remplacement en 2011–2012.
Constatation no 4.0
La GCD n'a obtenu aucune confirmation qu'une entente officielle prévoyant l'entretien du système d'alimentation sans coupure est en place.

Gestion des risques

Les évaluations des menaces et des risques sont préparées et prises en compte de façon appropriée. Les comités d'examen analysent et évaluent le risque sur une base permanente. On étudie des problèmes et des incidents pour déterminer les causes profondes et cerner les changements qui s'imposent afin d'éviter qu'ils se reproduisent. Il y a toutefois matière à amélioration dans le domaine suivant :

Constatation no 5.0
Les plans de continuité de la TI et des activités du chef de l'informatique sont incomplets et ils n'ont pas été testés.

1.4 Recommandations

Recommandation no 1.0
Le chef de l'informatique devrait exercer une autorité fonctionnelle concernant la gestion de l'infrastructure de TI du Ministère, les salles d'ordinateurs et de serveurs utilisées à l'extérieur du CDIC.
Recommandation no 2.0
Le chef de l'informatique devrait s'assurer que le registre d'accès est examiné sur une base périodique et que l'on fait valoir l'importance de le remplir de façon appropriée :
  • en contactant les personnes qui n'ont pas rempli le registre de façon appropriée;
  • en rappelant à tous les clients du CDIC la procédure à suivre au moment de l'accès au centre de données.
Recommandation no 2.1
Le chef de l'informatique, en collaboration avec la Direction de la gestion des installations, devrait s'assurer que les droits d'accès sont examinés immédiatement et sur une base périodique afin de s'assurer que tous les titulaires d'une carte magnétique lisible par les différents lecteurs de cartes d'accès du CDIC ont besoin d'y avoir accès.
Recommandation no 3.0
Le chef de l'informatique devrait finaliser et mettre en œuvre une stratégie de remplacement pour les serveurs acquis entre 2005 et 2007 à l'appui de l'initiative de mise à jour en continu du Ministère.
Recommandation no 4.0
Le directeur de la GCD, en collaboration avec la Direction de la gestion des installations, devrait s'assurer d'obtenir une confirmation qu'une entente d'entretien a été conclue, pour avoir ainsi l'assurance que les contrats régissant l'entretien des installations du CDIC sont en place avant la cessation des contrats existants.
Recommandation no 5.0
Le chef de l'informatique devrait veiller à ce que son Plan de continuité de la TI et son Plan de continuité des activités soient finalisés et mis à l'essai sur une base périodique.

1.5 Énoncé d'assurance

Selon mon jugement professionnel en tant que dirigeante principale de la vérification, les procédures de vérification suivies et les données recueillies sont suffisantes et appropriées pour attester de l'exactitude de l'opinion formulée dans le présent rapport. Cette opinion se fonde sur un examen des situations recensées en temps et lieu, en fonction des critères de vérification pré-établis convenus avec la direction. Cette opinion s'applique uniquement aux entités passées en revue et dans le cadre décrit dans le présent rapport. La présente vérification a été menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada.

1.6 Opinion de vérification

À mon avis, la Gestion du centre de données d'Industrie Canada comporte des points forts et des points faibles entraînant des risques modérés liés aux processus de gestion des risques, de contrôle et de gouvernance concernant l'assurance de la continuité de la TI, la gestion des biens en fonction du cycle de vie et l'exercice de l'autorité fonctionnelle qui nécessitent l'attention de la direction.

Susan Hart
Dirigeante principale de la vérification,
Industrie Canada

PremièrePrécédenteSuivante
Voir toutes les pages