Audit du système SONAR du programme d'aide à la recherche industrielle (PARI)

 

Table des matières

Sommaire et conclusion

Contexte

Ce rapport présente les constatations de l'Audit du système SONAR du Programme d'aide à la recherche industrielle (PARI) réalisé par le Conseil national de recherches du Canada (CNRC). Le président du CNRC a approuvé cet audit suite à la recommandation du Comité ministériel de vérification le 24 juin 2016.

Le PARI est le programme d'aide à l'innovation mis en place par le CNRC à l'intention des petites et moyennes entreprises (PME). Pour en faciliter l'exécution, le PARI a créé SONAR, un système interne de gestion de la clientèle et d'information qui est adapté et articulé sur le Web. Les coûts annuels de développement et de maintien du système sont actuellement évalués à 2,2 millions de dollars (en excluant l'infrastructure)Footnote1. Depuis février 2017, le système SONAR est directement relié au système financier SAP du CNRC, ce qui facilite le traitement des demandes des bénéficiaires.

Objectif de l'audit

L'audit devait établir si le cadre de contrôle de gestion mis en place par le CNRC pour faciliter le développement et l'administration de SONAR est adéquatFootnote2. Plus précisément, l'audit devait déterminer ce qui suit :

  • si des structures de gouvernance ont bel et bien été créées et instaurées pour encadrer le développement et la gestion de SONAR;
  • si le développement et la gestion dudit système s'appuient sur de saines pratiques de gestion du risque;
  • si l'on a établi et mis en place des contrôles pour garantir l'intégrité des données et des processus associés à la surveillance et à la production de rapports.

Raison d'être

Durant l'exercice 2015‑2016, plus de 350 employés du PARI et de la Direction des finances du CNRC ont utilisé SONAR pour consigner les services consultatifsFootnote3 fournis et gérer des accords de contribution d'une valeur globale approximative de 230 millions de dollars touchant environ 3 500 bénéficiaires. L'exécution efficace du programme tout comme l'accomplissement des objectifs et de la mission du CNRC reposent dans une large mesure sur un système de technologies de l'information fiable, correctement maintenu, de manière à faciliter la gestion du rendement du PARI. C'est pourquoi le CNRC investit constamment dans le développement et l'adaptation du système qui feront de SONAR un instrument majeur soutenant ses activités.

Points forts

Le PARI a amélioré la gouvernance du système de diverses manières en vue d'en aplanir la gestion et le développement, avec le concours des principaux intervenants. Nous avons également remarqué l'existence d'un processus structuré permettant de gérer le changement et l'adoption récente des pratiques de gestion de la méthode AgileFootnote4, qui confèrent plus de souplesse à SONAR, en fonction des besoins du PARI.

Points à améliorer

On pourrait renforcer les pratiques de gouvernance en les étayant avec une documentation claire sur le rôle et les responsabilités des intervenants de SONAR que l'on ferait ensuite circuler. De plus, il faudrait doter le PARI d'une stratégie numérique pour faire en sorte que les sommes qui y sont injectées s'harmonisent avec les priorités de l'organisation. À cet égard, l'adoption d'un cadre de gestion du risque veillera à ce que l'on prenne en compte les risques liés à la gestion et au développement de SONAR d'une manière cohérente avec les priorités de l'organisation et sa tolérance au risque. Enfin, il faudrait améliorer les contrôles relatifs à l'accès des utilisateurs à SONAR.

Opinion et conclusion de l'audit

Mon opinion en tant que dirigeante principale de la Vérification et de l'Évaluation est, bien que l'on a mis en place des éléments de gouvernance, d'évaluation des risques et de contrôle pour la gestion et le développement de SONAR, le cadre de contrôle de gestion instauré par le CNRC mériterait d'être amélioré par l'adoption des recommandations formulées dans le présent rapport.

Déclaration de conformité

Selon mon jugement professionnel et tant que dirigeante principale de la Vérification et de l'Évaluation, je suis d'avis que les procédés de l'audit appliqués et les éléments probants recueillis sont suffisants et appropriés pour étayer l'opinion formulé dans le présent rapport. Cette opinion est fondée sur une comparaison des conditions qui existaient et des critères de l'audit établis au préalable et acceptés par la direction. L'opinion s'applique uniquement à l'entité examinée. La mission a été exécuté conformément aux exigences de la Politique sur l'audit interne, sa directive associée du gouvernement du Canada et le Code d'éthique. Les éléments probants ont été recueillis conformément aux procédés et pratiques qui respectent les normes professionnelles tels que corroborés par les résultats du programme d'assurance et d'amélioration et la qualité. Les éléments probants recueillis sont suffisants pour convaincre la haute direction, le bien-fondé de l'opinion découlant de l'audit interne.

Alexandra Dagger, CIA, dirigeante principale de la vérification et de l'évaluation

 

Remerciements

L'équipe de la Vérification souhaite remercier tous ceux et celles qui ont collaboré à cet effort pour mettre en lumière les forces et les possibilités d'amélioration du CNRC liées à ce projet d'audit.

 

1.0 Introduction

L'Audit du système SONAR du Programme d'aide à la recherche industrielle (PARI) a reçu l'aval du président le 24 juin 2016, suite à la recommandation du Comité ministériel de vérification, dans le cadre du plan d'audit interne, fondé sur les risques, du Conseil national de recherches du Canada (CNRC) pour les exercices de 2016‑2017 à 2018-2019.

 

2.0 Mise en situation et contexte

Le PARI est le programme de subventions et de contributions (S et C) du CNRC. Son objectif est d'aider les petites et moyennes entreprises (PME) à prendre plus vite de l'expansion et ainsi à rendre le Canada plus prospère. Le système SONAR est le principal outil créé par le CNRC pour appuyer les activités du PARI et il en facilite l'exécution depuis plus de dix ans. Ces cinq dernières années, le PARI n'a cessé de développer et de perfectionner ce système. Plus récemment, l'adoption de la méthode de développement Agile a permis d'améliorer le système par le déploiement de versions mensuelles, en itérations de vingt jours (« sprints ») durant l'exercice 2017‑2018. Étant donné l'importance de SONAR pour le PARI et puisque le CNRC continue d'investir dans ses capacités, on a estimé qu'un audit sur la manière dont l'organisation gère et développe le système aurait de l'utilité pour elle.

Depuis février 2017, SONAR est directement relié au système financier SAP du CNRC, ce qui facilite le règlement des demandes de remboursement soumises par ceux que finance le gouvernement par l'entremise du PARI. Du coup, la mise en place d'un cadre de contrôle officiel pour la gestion du système a gagné en importance.

 

3.0 Objectif et portée

Objectif

L'audit devait établir si le cadre de contrôle de gestion mis en place par le CNRC pour faciliter le développement et l'administration de SONAR est adéquatFootnote5. Plus précisément, l'audit devait déterminer ce qui suit :

  • si des structures de gouvernance ont bel et bien été créées et instaurées pour encadrer le développement et la gestion de SONAR;
  • si le développement et la gestion dudit système s'appuient sur de saines pratiques de gestion du risque;
  • si l'on a établi et mis en place des contrôles pour garantir l'intégrité des données et des processus associés à la surveillance et à la production de rapports.

Portée

L'audit s'est concentré sur les activités et les processus du PARI au CNRC, propriétaire de SONAR. La gestion du risque et les contrôles appliqués aux processus ont été examinés en regard de trois projetsFootnote6: l'authentification unique, la refonte du portail de l'innovation du PARI CNRC (PIP) et l'intégration de SONAR à SIGMAFootnote7. Les conclusions de l'audit se rapportent au cadre de contrôle de gestion en place durant l'exercice 2017‑2018Footnote8. Les vérifications de l'audit ont pris fin le 19 octobre 2017.

L'audit n'a pas analysé les données sur le rendement du programme pour le module « Instantané » ni les données financières du système SAP du CNRC. La portée et les procédures de l'audit ne constituent pas une vérification des contrôles généraux des technologies et de l'information (CGTI) aux termes de la Politique sur l'audit interne.

 

4.0 Résultats de l'audit et recommandations

4.1 Structures de gouvernance

Résumé des constatations

Bien que de nombreuses pratiques de gouvernance fondamentales aient été introduites, il conviendrait de les étayer avec une documentation exposant clairement le rôle et les responsabilités des intervenants de SONAR, que l'on ferait ensuite circuler. De plus, le PARI n'a pas de stratégie numérique bien définie ayant reçu la sanction officielle.

Observations

4.1.1 Des mécanismes et des structures de gouvernance améliorés

Nous nous attendions à trouver des structures de gouvernance officielles, notamment des mécanismes permettant d'examiner et d'approuver les changements apportés au système SONAR de manière cohérente.

Le PARI a récemment instauré divers mécanismes de gouvernance et a pris des mesures pour renforcer la gestion de SONAR, ainsi que le système proprement dit. Le Comité consultatif sur la réalisation du programme (CCRP), reconstitué en mai 2017, fournit désormais des conseils sur les travaux prioritaires de développement et de maintenance de SONAR. Nous avons constaté que l'Équipe des cadres supérieurs (ECS) joue elle aussi un rôle consultatif à cet égard. Les deux groupes sont accessibles par le truchement du « Propriétaire du produit » SONAR (un nouveau maillon dans la chaîne de gouvernance de la méthode Agile). Le Propriétaire du produit a pour responsabilités de fixer les priorités relatives au développement de SONAR et de veiller aux intérêts des intervenants. Ce mécanisme permet de séparer la gouvernance de la direction, un principe essentiel à une régie efficace.

Le personnel du PARI saisit bien l'imputabilité du vice-président du PARI, de même que les responsabilités qui ont été déléguées au directeur exécutif du Service de la division du PARI au niveau de la gestion et du développement de SONAR. Les employés comprennent aussi clairement les responsabilités du Propriétaire du produit dans le contexte de l'expertise du programme que possède le Service de la division du PARI.

La Direction des services du savoir, de l'information et des technologies (SSIT) a déjà une équipe qui se consacre spécialement aux applications opérationnelles du PARI. Ses membres ont une connaissance approfondie du programme ainsi que des besoins des utilisateurs eu égard à SONAR.

Nous nous attendions également qu'une stratégie numérique bien définie harmonise le développement de SONAR avec les objectifs du PARI. Le PARI a effectivement créé une feuille de route durant l'exercice 2017‑2018. Même si la feuille de route identifiait les principaux produits livrables, elle n'incluait pas d'objectifs à court ou à long terme pour SONAR, ni de considérations coûts-avantages pour appuyer les décisions d'investissement et démontrer l'alignement avec les priorités ministérielles et opérationnelles.

4.1.2 Collaboration et harmonisation avec les initiatives du gouvernement du Canada

Le PARI gère SONAR en mettant l'accent sur la prestation des services en ligneFootnote9, sur les citoyens et sur les bénéficiaires, ce qui va dans le sens des initiatives et des priorités en matière de S et C actuelles du gouvernement canadien.

Le PARI entretient de solides liens de collaboration et de consultation avec les directions des SSIT, de la sécurité et des finances du CNRC pour ce qui est de la gestion d'entreprise de SONAR. Les changements importants apportés au système, comme l'intégration de SONAR à SIGMA pour traiter les demandes des bénéficiaires, ont fait l'objet de consultations et de discussions, et donnent lieu à des réunions interfonctionnelles continues.

Des employés clés du PARI font partie de groupes de travail du gouvernement canadien et participent activement aux communautés de praticiens du gouvernement pour s'assurer que la gestion de SONAR par le PARI reste en harmonie avec les initiatives de l'État. Le groupe de travail du Secrétariat du Conseil du Trésor qui conçoit les processus opérationnels en est un bon exemple.

4.1.3 Application de la méthode Agile et usage du système TFS pour gérer le développement et la modification du système

Le système de gestion du changement TFS (Team Foundation Server) a été mis en place durant l'exercice 2016‑2017. Depuis, le PARI n'a cessé d'investir dans l'introduction de processus et de rôles mieux structurés pour gérer les changements apportés à SONAR, notamment au moyen de cas, de fonctionnalités, d'expériences des utilisateurs et de bogues étayés par une documentation officielle. Les pratiques de gestion du PARI avec la méthode Agile ont pris de la maturité et évoluent pour s'harmoniser avec le cadre de contrôle Agile.

4.1.4 Rôles et responsabilités

Le manuel de service du PARI, outil Web accessible en ligne mis à la disposition des employés, explique clairement le rôle des utilisateurs de SONAR (à savoir, directeurs, conseillers en technologie industrielle et agents régionaux des accords de contribution). Nous avons constaté que les utilisateurs saisissent parfaitement leur rôle et leurs responsabilités. Cependant, aucun document de gouvernance ne définit les responsabilités des principaux intervenants comme le vice-président du PARI, le bureau du dirigeant de l'information des SSIT du CNRC, l'agent ministériel de la sécurité (AMS) de la Direction de la sécurité du CNRC et le chef de la direction financière de la Direction des finances du CNRC.

Points à améliorer

Les structures et les responsabilités actuelles ne sont étayées par aucune documentation. En outre, SONAR ne fait l'objet d'aucune stratégie officielle, assortie d'objectifs et d'indicateurs de risque et de rendement clés pouvant appuyer les décisions en matière d'investissement et l'évaluation des résultats.

Recommandations

Nous recommandons ce qui suit.

  1. Que le vice-président du PARI renforce la gouvernance de SONAR en veillant à ce que les rôles et les responsabilités soient définis, étayés et communiqués. [Priorité : élevéeFootnote10]
  2. Que le vice-président du PARI s'assure que l'on crée une stratégie numérique comprenant des objectifs à court et à long terme ainsi que des indicateurs clés de rendement (coûts inclus) afin que la prise de décisions importantes en matière d'investissement s'en trouve facilitée et que l'on illustre l'harmonisation du système avec les priorités stratégiques et opérationnelles de l'organisation. [Priorité : élevée]
 

4.2 Gestion du risque

Résumé des constatations

Le PARI n'a pas introduit de cadre de gestion du risque pour faire en sorte que les risques liés à la gestion et au développement de SONAR soient abordés en regard des priorités de l'organisation et de sa tolérance au risque.

Observations

4.2.1 Activités relatives à la gestion du risque

Nous nous attendions à ce que les risques associés à la gestion et au développement de SONAR aient été établis, analysés et évalués, et nous nous attendions aussi à ce que l'on ait réagi à ces risques en concordance avec la stratégie de SONAR et la tolérance au risque de l'organisation. Nous nous attendions également que les risques soient pris en compte lorsque l'on priorise les investissements dans SONAR, et que l'on ait établi des contrôles opérationnels. Enfin, nous nous attendions à ce que les rôles au niveau de la gestion du risque aient été clairement définis et soient bien compris.

Nous avons bien découvert des signes qu'on tient compte des risques, et noté des éléments de culture du risque au niveau de la gestion et du développement de SONAR. Ainsi, nous avons relevé plusieurs exemples récents où les risques ont été pris en compte, notamment la feuille de route des technologies de l'information élaborée durant l'exercice 2017‑2018, le plan stratégique du PARI de 2016‑2017 et l'analyse de l'impact dans le système TFS lorsque l'on envisage des perfectionnements au système ou la résolution de problèmes. Plusieurs activités de développement de SONAR ont été entreprises pour atténuer le risque que l'on accède sans autorisation aux informations confidentielles sur la clientèle et pour répondre aux besoins opérationnels. Bien que ces activités démontrent que l'on évalue la situation en permanence et que la haute direction adapte sa tolérance au risque, ces activités demeurent informelles.

Le personnel du Service de la division du PARI possède une expérience et une connaissance solides de la gestion des risques liés à SONAR. Les employés, par exemple, sont au courant des risques associés à la clientèle, à l'accès non autorisé au système, à la fuite d'information et de données, au manque de conformité avec les exigences du gouvernement s'appliquant aux subventions et aux contributions, ainsi qu'aux risques opérationnels sur le plan des technologies de l'information. Le personnel du PARI saisit clairement les responsabilités qui ont été déléguées au directeur exécutif du Service de la division en ce qui concerne la gestion des risques découlant de l'administration et du développement de SONAR.

Points à améliorer

Le PARI n'a aucune documentation sur les risques associés à SONAR. La gestion du risque s'avère assez informelle et repose lourdement sur l'expérience et les connaissances du personnel. Rien n'indique que l'on tient compte des risques au moment de prioriser les changements. Même si le personnel d'expérience fait preuve d'efficacité dans la gestion du risque, les décisions et les mesures adoptées pourraient s'écarter des priorités de l'organisation et de sa tolérance au risque. Une méthode d'évaluation des risques bien documentée montrerait que l'on prend en compte les risques, les coûts et les avantages quand vient le temps de prioriser les investissements du PARI dans le système.

Recommandations

Nous recommandons ce qui suit.

  1. Que le vice-président du PARI veille à ce que les risques associés à la gestion et au développement de SONAR soient établis, analysés et évalués, et que les réponses aux risques cernés soient en harmonie avec la stratégie de SONAR ainsi que la tolérance au risque de l'organisation (Recommandation 2). [Priorité : élevée]
 

4.3 Contrôles d'affaires

Résumé des constatations

Des contrôles et des processus ont largement été mis en place pour préserver l'intégrité des données et sécuriser le système, fournir l'information nécessaire à la prise de décisions et veiller à ce que les utilisateurs reçoivent la formation pertinente et soient avisés des modifications en temps opportun. D'importantes faiblesses demeurent néanmoins au niveau du contrôle des accès si l'on veut détecter les intrusions et empêcher les personnes non autorisées d'accéder aux données du PARI ou de les modifier.

Observations

4.3.1 Intégrité des données

Nous nous attendions à ce qu'il existe des contrôles pour veiller à ce que l'information ou les données de SONAR soient complètes, exactes, pertinentes, à jour, traitées de la façon requise et correctement stockées dans le système.

L'audit nous a confirmé qu'au moment où il a été réalisé, le système SONAR comportait plusieurs contrôles au niveau de la saisie et de la validation des données. Toutefois, ces contrôles ne concordent pas avec les champs obligatoires définis dans la documentation du système. Durant l'exercice 2015‑2016, les opérations du CNRC ont été perturbées par la cyberintrusion de juillet 2014, qui a mis hors ligne les principaux systèmes et contraint l'organisation à revenir au papier. Par la suite, on a dû saisir l'information dans SONAR d'une manière qui ne déclenchait pas les vérifications et les bilans usuels pour chaque champ de données (à savoir, les contrôles garantissant l'intégrité des données). Cette solution de rechange a été abandonnée au début de l'exercice 2016‑2017. L'examen des données par une méthode d'analyse et l'examen d'un échantillon de vingt organisations de même que des discussions en groupe ont révélé que les données de SONAR n'étaient pas toujours complètes, exactes, pertinentes, ni à jour. La capacité limitée du système à suivre les changements apportés aux données (c.-à-d., piste de vérification) ne permet pas d'établir de façon concluante si les lacunes au niveau de la qualité des données résultent des circonstances particulières associées aux opérations lors des exercices 2014-2015 et 2015‑2016, de certaines lacunes dans la documentation servant à la formation, ou des deux.

Cela dit, les discussions tenues par l'ECS et le CCRP durant l'exercice 2017‑2018 indiquent que la haute direction du PARI sait pertinemment qu'il faut rehausser l'intégrité des données de SONAR. On a d'ailleurs lancé une initiative pour épurer les données sur les organisations financées grâce au PARI. Enfin, nous avons constaté que le PARI a produit des rapports de surveillance qui serviront à rapporter et à corriger les erreurs relatives à l'intégrité des données.

4.3.2 Information pour la prise de décisions

Nous nous attendions à trouver des contrôles garantissant que SONAR produit un nombre suffisant de rapports pour rendre la prise de décisions plus facile.

La direction du PARI recourt bien aux capacités usuelles de SONAR en la matière et aux rapports produits par le Service de la division du PARI pour gérer le programme au quotidien. Toutefois, la capacité de produire des rapports répond aux besoins d'information de moins du quart des utilisateurs. Durant l'audit, le Service de la division du PARI a élargi ces capacités au moyen de l'outil Business Objects (BO), a établi les modalités de base pour la rédaction de rapports et formé quelques « super utilisateurs » dans chaque région pendant le deuxième trimestre de l'exercice 2017‑2018. Grâce à l'outil BO, l'utilisateur peut désormais concevoir et adapter les rapports, en plus de recourir aux modèles existants mis à sa disposition. D'autre part, certaines régions ont préparé des rapports spéciaux supplémentaires en vue de mieux exploiter les informations du système pour la prise de décisions. Bien que ces modifications aient rehaussé les capacités du système en matière de rapports, il reste du chemin à faire pour combler les lacunes.

4.3.3 Communication et formation

Les employés du PARI doivent savoir quels changements ont été apportés à SONAR et pouvoir se servir du système pour exercer leurs responsabilités. Nous nous attendions donc à ce que l'on ait mis en place des moyens pour épauler les utilisateurs, notamment des stratégies de communication, et qu'on leur propose de la formation, des outils, des ressources de même qu'un soutien technique.

Le PARI n'a pas de stratégie de communication interne. Malgré cela, les utilisateurs estiment que le PARI les tient assez au courant des changements apportés à SONAR, et le fait en temps opportun. Les employés peuvent aussi se servir de l'outil en ligne Connexion PARIFootnote11 pour partager l'information sur les capacités et les lacunes de SONAR.

Nous nous attendions à ce que le PARI ait évalué les besoins de formation les plus stricts et à ce que ceux-ci constituent un contrôle essentiel pour la saisie des données et la préservation de leur intégrité. En fait, le Service de la division du PARI a rédigé une abondante documentation sur SONAR ainsi que sur les tâches et les processus se rapportant à la gestion des contributions, à l'intention des utilisateurs. Les hyperliens que renferme le manuel offert sur le Web permettent de consulter la documentation en question. Les employés avaient reçu des communications et du matériel de formation sur les principaux changements apportés au système dans le cadre des trois projets examinés lors de l'auditFootnote12. Enfin, des guides et des ressources sur SONAR ont été créés et diffusés à l'échelon régional pour mieux épauler le personnel. Malgré cela, il faudrait plus de conseils sur les champs de données qu'il faut absolument maintenir dans SONAR pour préserver la qualité des données.

4.3.4 Protection du système et gestion du cycle de vie

Nous nous attendions à ce que le PARI exploite le cadre de gestion du risque des technologies de l'information du CNRC établi par l'agent ministériel de sécurité (AMS). Nous nous attendions aussi à ce que le PARI tienne compte des risques, et ce, tout au long de la vie utile de SONAR (implantation du système, opérations, maintenance et disposition), comme le prescrit le cadre.

Nous avons déterminé que le PARI appliquait bien le cadre de gestion du risque du CNRC pour les ressources des technologies de l'information et avait achevé les démarches recommandées pour l'implantation, le perfectionnement et la maintenance de SONAR. Entre avril 2015 et juillet 2017, le CNRC avait terminé ce qui suit afin d'obtenir et de garder l'autorisation d'exploiter le système sur l'infrastructure sécurisée de Services partagés Canada :

  • obtention de l'autorisation d'exploiter conditionnelle (AEC);
  • déclaration de sensibilité sur SONAR et évaluation montrant qu'une déclaration distincte est superflue pour le PIP de SONAR;
  • acceptation de l'évaluation sur l'authentification de la connexion SONAR-SIGMA;
  • évaluation de l'impact de l'intégration de SONAR à SIGMA sur la sécurité;
  • élaboration d'un cadre de gestion et d'un manuel d'opérations du PARI pour SONAR;
  • essai des capacités de restauration de SONAR en cas de catastrophe par Services partagés Canada.

Les responsabilités concernant la surveillance de l'application des mesures exceptionnelles assorties à l'AEC de SONAR manquent de clarté et les mécanismes pour assurer cette surveillance sont à l'avenant. C'est pourquoi bon nombre des mesures requises pour éliminer les « conditions » de l'autorisation n'ont pas été prises dans les délais prévus.

4.3.5 Gestion de l'accès des utilisateurs

Nous nous attendions à ce que l'accès des utilisateurs à SONAR soit contrôlé et surveillé afin d'interdire aux personnes non autorisées de consulter ou de modifier les données du système.

Le PARI gère l'accès à l'application SONAR au moyen de comptes basés sur les rôles. La plupart des utilisateurs se voient attribuer un compte particulier qui leur permettra d'assumer leurs responsabilités, par exemple un compte conseiller en technologie industrielle (CTI), un compte Directeur ou un compte agent régional des accords de contribution (ARAC). Au deuxième trimestre de l'exercice 2017‑2018, le PARI a amélioré son système d'authentification en associant les accès à SONAR au répertoire actif du CNRCFootnote13. Cette mesure est conforme aux règles de l'art qui visent à mettre en place des contrôles pour éviter l'usage des applications de l'organisation sans autorisation.

Nous avons examiné en détail les comptes d'utilisateur et les accès dans l'environnement de production de SONAR, où les données sont saisies, traitées et entretenues en direct. L'examen portait sur la gestion des accès exceptionnels, en dehors de ceux qu'autorisent les comptes CTI, Directeur et ARAC habituelsFootnote14. Dans plusieurs cas, l'accès n'avait pas été accordé selon les pratiques prévues et de l'application usuelle des contrôles garantissant la ségrégation des fonctions. Plus précisément, nous avons noté l'existence de comptes génériques et constaté que le personnel des technologies de l'information chargé des essais avait accès aux données de l'environnement de production et qu'il pouvait les modifier. Nous avons aussi remarqué que plusieurs utilisateurs possédaient plus d'un compte (compte de soutien administratif en plus d'un compte CTI ou d'un compte Directeur).

D'autre part, nous avons constaté que les capacités actuelles de SONAR sont limitées lorsqu'il faut déterminer les modifications apportées aux données et l'auteur des modifications. Ces capacités restreintes et l'usage de comptes génériques accroissent les risques qu'une personne non autorisée accède aux données et compliquent la préservation de l'intégrité des données de même que la détection et la prévention des actes illicites.

4.3.6 Surveillance et rapports

Compte tenu du nombre élevé d'intervenants majeurs, la surveillance et la déclaration, sous forme de rapports et des mesures correctives, s'imposent si l'on veut que les contrôles mis en place s'accordent avec les besoins de l'organisation et les risques. Nous nous attendions à ce que des mécanismes de surveillance et de rapport aient été instaurés pour déterminer, évaluer et signaler les lacunes au niveau de l'exploitation de SONAR et pour veiller à ce que les correctifs soient apportés au moment voulu.

Les difficultés ou les lacunes relatives à la satisfaction des besoins de l'utilisateur sont consignées grâce au système de suivi (Assyst) du service de soutien technique du CNRC ou au moyen de l'outil Connexion PARI. Des employés du Service de la division du PARI suivent les problèmes, en les résolvant directement ou en leur faisant remonter la chaîne hiérarchique afin que le Propriétaire du produit fixe les priorités et y donne suite avec le système TFS. Durant l'exercice 2017‑2018, des consultations au niveau du CCRP et de l'ECS ont précédé l'adoption de mesures correctives par le personnel du PARI ou des SSIT. Le Service de la division du PARI a effectué une analyse après l'intégration de SONAR au système de gestion financière SAP. Nous y voyons une illustration des pratiques exemplaires qui garantiront l'amélioration continue des procédés du PARI concernant la gestion de SONAR.

Points à améliorer

Le PARI n'a pas évalué les contrôles existants pour s'assurer qu'ils sont à la hauteur des risques et des besoins opérationnels actuels. Ainsi, aucune documentation n'étaye la tolérance des risques associés à l'usage de comptes génériques dans l'environnement de production de SONAR et le PARI n'a pas déterminé si l'on pouvait compenser cette lacune par l'implantation d'un mécanisme de surveillance.

Recommandations

  1. Que le vice-président du PARI fasse en sorte que l'on évalue les contrôles existants et que l'on prenne des mesures correctives en fonction des risques pour les aspects que voici : 1) accès des utilisateurs et piste de vérification et 2) intégrité des données et formation. [Priorité : élevée]
 

Annexe A : À propos de l'audit

Approche et méthode

L'audit s'est déroulé conformément aux normes de l'Institut des auditeurs internes (IAI) généralement reconnues par la profession ainsi qu'aux exigences de la Politique sur l'audit interne du Conseil du Trésor.

La méthode s'appuyait sur les sources que voici :

  • examen de la documentation;
  • 20 entretiens et huit (8) groupes de discussion avec 50 participants (cadres du PARI, conseillers en technologie industrielle — CTI, gestionnaires des opérations et des finances — GOF, agents régionaux des accords de contribution - ARAC);
  • méthodes d'analyse des données de SONAR [accès direct, sans entraves, à SONAR et rapports du logiciel Business Objects (BO)] et rapports sur les contrôles du SAP;
  • revue du système de gestion des changements Team Foundation Server (TFS), du système de soutien technique du CNRC (Assyst) et du système de rapports BO;
  • lecture des documents dans GCpédia et GCconnex, et discussion et comparaison avec les autres communautés de praticiens du gouvernement canadien.

L'équipe de l'audit a consulté en permanence les experts de divers domaines pour lui faciliter la tâche et réunir les exemples sur les règles de l'art existantes en gestion et gouvernance de projets et de programmes de technologies de l'information selon la méthode Agile.

Critères d'audit

Les critères qui suivent dérivent essentiellement des parties sur la gestion du Cadre de responsabilisation de gestion du SCT et du document Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l'intention des vérificateurs internes (2011) du Bureau du contrôleur général. Ils ont été examinés avec la direction avant le début de l'audit.

Critères d'audit
Champ d'examen Critères d'audit
1.0 Des structures de gouvernance ont été conçues et mises en œuvre pour encadrer le développement et la gestion du système SONAR.
  • 1.1 La structure de gouvernance comprend des mécanismes pour procéder à un examen uniforme et à l'approbation des changements apportés au système SONAR, y compris l'harmonisation avec les exigences ministérielles et les autres exigences pertinentes des organismes centraux, et à la révision des responsabilités, des plans d'investissement, des échéances et des obligations de communication de l'information.
  • 1.2 Les rôles et les responsabilités des employés à qui il incombe de gérer et de surveiller le système SONAR sont définis, consignés, mis à jour et communiqués.
2.0 Le développement et la gestion du système SONAR s'appuient sur de bonnes pratiques de gestion du risque.
  • 2.1 La gestion et le développement du système SONAR comprennent la gouvernance et des pratiques officielles de gestion du risque en harmonie avec les pratiques et les cadres en usage au gouvernement canadien et au CNRC.
3.0 Des contrôles ont été mis en place pour garantir l'intégrité des données et l'on a établi et appliqué des mécanismes de surveillance assortis de rapports.
  • 3.1 Des contrôles existent pour s'assurer que l'information et les données se trouvant dans SONAR sont complètes, exactes, pertinentes et à jour.
  • 3.2 Des contrôles ont été mis en place pour s'assurer que les données de SONAR sont traitées de la manière prévue et stockées de manière appropriée dans le système.
  • 3.3 Des processus et des contrôles ont été mis en place pour gérer le cycle de vie du système informatique SONAR et pour le protéger de manière satisfaisante.
  • 3.4 Des contrôles ont été mis en place pour s'assurer que les rapports générés au moyen des données stockées dans SONAR sont accessibles et suffisent à appuyer la prise des décisions.
  • 3.5 L'accès au système par les utilisateurs est contrôlé et surveillé afin d'éviter tout accès non autorisé ou toute modification à mauvais escient des données de SONAR et ce contrôle de l'accès respecte l'équilibre nécessaire pour répondre aux besoins d'information opérationnelle.
  • 3.6 Les changements au système ainsi qu'aux programmes et aux processus liés à SONAR sont communiqués de manière satisfaisante aux employés.
  • 3.7 Les employés disposent de la formation, des outils, des ressources et du soutien appropriés pour utiliser le système SONAR dans l'exercice de leurs responsabilités.
  • 3.8 Des mécanismes de surveillance et de communication de l'information sont en place pour réviser et remettre en question, le cas échéant, les contrôles en place au sein du système SONAR et pour détecter, évaluer et communiquer toute lacune.
  • 3.9 Les mesures correctives sont priorisées et mises en œuvre au moment opportun.
 
 

Annexe B : Plan d'action de la direction

Degré de priorité des recommandations

Élevée Mise en œuvre recommandée dans les six mois afin de réduire le risque que des événements potentiels à probabilité ou à incidence élevée compromettent l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.
Modérée Mise en œuvre recommandée dans l'année qui suit afin de réduire le risque que des évènements potentiels compromettent l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.
Faible Mise en œuvre recommandée dans l'année qui suit afin d'adopter les meilleures pratiques ou de renforcer l'intégrité des processus de gouvernance, de gestion des risques et de contrôle du CNRC.
 
Recommandation Plan des mesures correctives de la direction Date de mise en œuvre prévue et responsable du CNRC
1. Que le vice-président du PARI renforce la gouvernance de SONAR en veillant à ce que les rôles et les responsabilités soient définis, étayés et communiqués. [Priorité : élevée]

Réponse de la direction
La recommandation est acceptée.

Le PARI convient que la gouvernance de SONAR devrait être officialisée. Il a apporté des modifications notables aux mécanismes et aux structures de gouvernance depuis peu, en les harmonisant avec les exigences des organismes centraux pour les systèmes S et C. La structure de gouvernance actuelle se compose des éléments suivants : comités du CCRP et de l'ECS, application de la méthode Agile et du système TFS à la gestion des changements apportés à SONAR, bonne documentation des rôles dans le manuel de service du PARI, consultations et collaborations avec les intervenants et participation aux groupes de travail du gouvernement canadien, de même qu'aux consultations sur la modernisation des subventions et contributions et des systèmes apparentés.

En officialisant ces éléments, le PARI pourra cerner et atténuer les risques éventuels posés par les personnes clés, et apporter efficacement des changements au système en établissant des points de contact plus précis pour mettre en œuvre les améliorations et les solutions.

Plan d'action
Le vice-président du PARI renforcera la gouvernance fonctionnelle de SONAR par une documentation et des communications officielles illustrant le rôle et les responsabilités des différents intervenants. Dans cette optique, on déterminera les principaux rôles et responsabilités des intervenants internes au CNRC.

Date : 28 février 2018
Contact : V.-P., PARI
2. Que le vice-président du PARI s'assure que l'on crée une stratégie numérique comprenant des objectifs à court et à long terme ainsi que des indicateurs clés de rendement (coûts inclus) afin que la prise de décisions importantes en matière d'investissement s'en trouve facilitée et qu'on illustre l'harmonisation du système avec les priorités stratégiques et opérationnelles de l'organisation. [Priorité : élevée]

Réponse de la direction
La recommandation est acceptée.

La stratégie actuelle du PARI en matière d'applications internes englobe plusieurs moyens visant à garantir la réalisation des objectifs à court terme. Ces moyens comprennent un outil de gestion de projet reposant sur la méthode Agile (TFS), une stratégie des technologies de l'information actualisée chaque mois et un cycle de diffusion mensuel. Grâce à cette stratégie, le PARI dispose d'un tableau de trois à six mois des objectifs du système SONAR.

La création du CCRP et l'existence d'un comité de l'ECS dont la mission consiste en partie à veiller à ce que les améliorations et solutions apportées au système soient en harmonie avec les priorités stratégiques et opérationnelles montrent que l'organisation est déterminée à mettre en place une stratégie globale pour les applications internes.

La formalisation de la stratégie actuelle concernant les applications internes permettra au PARI de préciser ses objectifs à court et à long terme en vue de mieux étayer ses décisions en matière d'investissement.

Plan d'action
Le PARI officialisera sa stratégie actuelle sur les applications internes et tirera mieux parti de sa stratégie de développement pour s'assurer que les importantes décisions en matière d'investissement soient étayées et restent en harmonie avec les priorités stratégiques et opérationnelles de l'organisation.

Date : 31 mai 2018
Contact : V.-P., PARIs
3. Que le vice-président du PARI veille à ce que les risques associés à la gestion et au développement de SONAR soient déterminés, analysés et évalués, et que les réponses aux risques cernés soient en harmonie avec la stratégie de SONAR ainsi que la tolérance au risque de l'organisation (Recommandation 2). [Priorité : élevée]

Réponse de la direction
La recommandation est acceptée.

Les pratiques de gestion du risque actuelles du PARI qui se rapportent à l'amélioration du système et à la résolution des problèmes comprennent l'identification des risques liés à chaque modification apportée au système par l'organisation. Une fois identifiés, les risques engendrent des plans d'action, des chartes de projet ou des validations de principe. Les risques sont établis au terme de consultations entre les intervenants et ceux qui réclament les changements, les services informatiques et le Propriétaire du produit. Le PARI utilise aussi sa feuille de route des technologies de l'information et les pratiques de gestion du risque associées à la sécurité des technologies de l'informatique de la Direction de la sécurité du CNRC pour gérer les risques.

La détermination du PARI à gérer correctement les risques se reflète également dans la création du CCRP qui tient compte des risques liés aux changements envisagés pour le système ainsi que des coûts et des avantages associés aux sommes investies dans les améliorations en question.

Plan d'action
Le vice-président du PARI consolidera les pratiques de gestion du risque par son engagement avec les intervenants et la priorisation des améliorations et solutions.

Date : 31 mai 2018
Contact : V.-P., PARI
4. Que le vice-président du PARI fasse en sorte que l'on évalue les contrôles existants et que l'on prenne des mesures correctives en fonction des risques pour les aspects que voici : 1) accès des utilisateurs et piste de vérification et 2) intégrité des données et formation. [Priorité : élevée]

Réponse de la direction
La recommandation est acceptée.

Pour l'instant, le PARI gère les risques associés au contrôle des activités en contrôlant l'accès des utilisateurs, en recourant à une gestion fondée sur les rôles, en appliquant des contrôles à la saisie et à la validation des données, ainsi qu'en surveillant l'intégrité des données. Les risques identifiés donnent lieu à des mesures correctives, introduites au moment opportun, conformément aux recommandations de la Division de la surveillance financière et aux commentaires formulés par les intervenants, c'est-à-dire les utilisateurs, le Propriétaire du produit et les services informatiques. Les améliorations actuelles et futures apportées à SONAR se reflètent dans l'utilisation du système TFS. Les risques sont également gérés grâce à une formation informelle et officielle, ainsi que par la communication des changements apportés au système aux parties concernées.

Plan d'action
Le vice-président du PARI veillera à ce que l'on continue d'évaluer les contrôles en place et il s'engage davantage à faire en sorte que l'on prenne des mesures correctives en fonction des risques identifiés dans les deux domaines recommandés (sans toutefois qu'elles s'y limitent), à savoir l'accès des utilisateurs et la piste de vérification d'une part, et l'intégrité et la formation d'autre part.

Date : 31 mai 2018
Contact : V.-P., PARI
 
 

Annexe C : Abréviations

Acronyms
ARAC Agents régionaux des accords de contributions
BCG Bureau du contrôleur général
BO Business Objects (logiciel)
CCRP Comité consultatif sur la réalisation du programme
CGTI Contrôles généraux des technologies de l'information
CHD Comité de la haute direction
CNRC Conseil national de recherches du Canada
CTI Conseillers en technologie industrielle
ECS Équipe des cadres supérieurs
ETP Équivalent temps plein
GOF Gestionnaires des opérations et des finances
IAI Institut des auditeurs internes
PACP Charte de projet
PARI Programme d'aide à la recherche industrielle
PIP Portail de l'innovation du PARI
PME Petites et moyennes entreprises
S et C Subventions et contributions
SSIT Direction des services du savoir, de l'information et des technologies
TFS Team Foundation Server (logiciel)