<
 
 
 
 
×
>
Vous consultez une page Web conservée, recueillie par Bibliothèque et Archives Canada le 2007-12-12 à 02:55:13. Il se peut que les informations sur cette page Web soient obsolètes, et que les liens hypertextes externes, les formulaires web, les boîtes de recherche et les éléments technologiques dynamiques ne fonctionnent pas. Voir toutes les versions de cette page conservée.
Chargement des informations sur les médias

You are viewing a preserved web page, collected by Library and Archives Canada on 2007-12-12 at 02:55:13. The information on this web page may be out of date and external links, forms, search boxes and dynamic technology elements may not function. See all versions of this preserved page.
Loading media information
X
Agence du revenu du Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Vérification des solutions locales

Direction générale de la vérification et de l'évaluation de l'entreprise
Juin 2007


Sommaire exécutif

Contexte : Les systèmes de l'Agence du revenu du Canada (ARC) qui sont logés dans l'ordinateur central, ou qui sont déployés à l'échelle nationale dans l'environnement réparti, sont ce qu'on appelle des « systèmes nationaux ». Ils sont mis au point, modifiés et maintenus conformément à des processus contrôlés. Les Directions générales de programmes de l'Administration centrale (AC), qui sont les responsables desdits systèmes, identifient les besoins opérationnels et modifications visant les systèmes nouveaux et existants. Le personnel de la Direction générale de l'informatique (DGI) conçoit et met au point les systèmes nouveaux, et modifie les systèmes existants. La mise au point et la maintenance des systèmes nationaux requièrent des approbations officielles et un processus d'épreuve exhaustif avant qu'ils soient mis en oeuvre.

Les « solutions locales » désignent des applications ou systèmes élaborés au fil des années par les employés de première ligne ou par le personnel local de la technologie de l'information (TI) pour usage à l'échelon local dans les Directions générales ou Régions de l'ARC. Ces solutions sont élaborées en dehors des processus de développement pratiqués par l'Administration centrale pour les solutions nationales. La puissance accrue des ordinateurs personnels de bureau et la sophistication accrue des logiciels normalisés ont fait en sorte qu'il est devenu possible pour des non-experts de l'informatique de multiplier l'usage des solutions locales.

Les solutions locales sont généralement crées pour générer des gains de productivité, automatiser des fonctions administratives ou améliorer des interfaces locales avec les bases de données des secteurs d'activité nationaux. Dans la présente vérification, une distinction a été faite entre les applications locales de bureau, dénommées ci-après « applications locales », et les applications macros pour ordinateur central, désignées ci-après par l'acronyme AMOC. Ces deux types d'applications sont inclus dans l'expression générique de « solutions locales ».

Nombreuses sont les motivations qui poussent les employés et les gestionnaires à élaborer et à utiliser des solutions locales. Les gestionnaires s'efforcent de faire plus avec moins, d'atteindre les objectifs de programme et d'offrir un meilleur service aux contribuables. Le programme de prix et reconnaissances, une des initiatives de l'ARC encourageant l'innovation et la créativité, a reconnu beaucoup d'employés, de gestionnaires et d'équipes pour avoir élaboré des solutions locales visant à améliorer la gestion des programmes. Les employés au niveau local ont élaboré et utilisé beaucoup de leurs propres approches et solutions pour répondre à des besoins particuliers.

Objectif : Les objectifs de la vérification consistaient à évaluer dans quelle mesure les éléments de la régie des solutions locales sont en place, et à déterminer si les solutions locales respectent les politiques, procédures et lignes directrices existantes ou la méthodologie d'élaboration généralement acceptée.

La phase d'examen a eu lieu de janvier 2006 à septembre 2006. Des points d'information ont été diffusés auprès des Directions générales de programmes de l'Administration centrale en novembre 2006.

La vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Conclusion : Le développement local se produit au sein des fonctions de l'AC et des opérations régionales. Les avantages des solutions développées localement ne se font pas quantifier de manière documentée ou systématique. Une quantité considérable d'informations anecdotiques tendent à démontrer qu'une efficacité accrue en termes d'analyse améliorée des données, et d'uniformité dans la collecte des faits existent en raison de la capacité des AMOC d'« extraire » des données des systèmes d'ordinateur central. Des accroissements d'efficacité sont tirés du fait que les AMOC ont la capacité d'accélérer l'exécution de tâches répétitives, de réduire les frappes ou de faciliter l'analyse de données complexes et volumineuses. La réduction des frappes et l'automatisation des tâches répétitives permettent aussi une fonctionnalité améliorée pour les employés handicapés. Il existe une dépendance considérable sur l'utilisation des AMOC dans certaines charges de travail.

Il existe aussi des risques significatifs associés à l'élaboration et à l'utilisation des solutions locales, particulièrement des AMOC, en ce qui a trait à la sécurité des données, à l'intégrité des données et, potentiellement, à la performance des systèmes. Devant de tels risques, les meilleures pratiques spécifient que l'élaboration et l'utilisation des solutions locales devraient être administrées à l'intérieur d'un cadre comprenant un inventaire national des solutions existantes; les politiques définissant les exigences visant la sécurité, la protection des renseignements personnels, la langue et l'accessibilité; et les normes relatives au cycle chronologique de l'élaboration des systèmes (CCES).

Le cadre de régie utilisé à l'Agence pour gérer l'élaboration et l'utilisation des solutions locales n'est pas complet et il nécessite des améliorations importantes.

  • Il n'y a aucun inventaire complet et exact des solutions locales en place.
  • Il y a des lacunes significatives dans l'examen et l'approbation fonctionnels, ou dans l'évaluation des risques, des coûts et des avantages d'une proposition d'élaboration donnée. La surveillance globale de l'utilisation des solutions locales est faible.
  • Il n'y a aucun processus normalisé du cycle chronologique de l'élaboration des systèmes qui soit uniformément appliqué dans toute l'Agence pour l'élaboration des solutions locales.
  • Il existe des risques significatifs en termes de sécurité et une absence de pistes de vérification relativement aux données ayant été copiées à partir de l'ordinateur central au moyen d'AMOC et sauvegardées à l'échelle locale.
  • Les lignes directrices existantes pour l'élaboration des solutions locales ne sont pas complètes et elles n'ont pas obtenu l'approbation des parties prenantes.
  • La communication des normes d'élaboration, et l'information tirée des autres initiatives touchant le développement local, doit être améliorée.

L'observation des politiques, procédures et lignes directrices existantes et de la méthodologie approuvée d'élaboration est faible dans certains domaines, notamment l'approbation fonctionnelle, l'enregistrement, les examens de la sécurité technique, et l'élaboration et la mise à l'épreuve dans un environnement non-production.

Certains secteurs de l'Agence ont reconnu le besoin d'améliorer la gestion des solutions locales. Quelques éléments de base d'un cadre de régie, comme les inventaires et les processus standard pour l'élaboration et la mise en oeuvre des solutions locales, existent dans la Région du Pacifique et dans le Recouvrement intégré des recettes pour l'Ouest (RIR-Ouest), au sein de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). Ce besoin est particulièrement notable vu l'importance que les AMOC ont prises dans la gestion des créances par la DGSCGC.

Dans le but de mieux gérer les solutions locales, l'Agence a besoin de répondre aux risques significatifs identifiés dans la vérification et de mettre les bonnes pratiques en oeuvre dans toutes les Directions générales et Régions.

  • Les avantages et les risques que présentent le fait d'élaborer et d'utiliser des AMOC et des applications locales au lieu des processus traditionnels de développement d'applications pour répondre à certains besoins opérationnels devraient être quantifiés, et pris en considération dans la stratégie globale de développement des applications.
  • Un cadre national de régie incluant des normes nationales est nécessaire pour assurer que les solutions locales se font convenablement autoriser, élaborer, éprouver, distribuer, contrôler, sécuriser, inventorier et surveiller.
  • Des mesures devraient être mises en oeuvre pour atténuer les risques pour la sécurité qui se trouvent introduits par l'utilisation des AMOC, surtout les risques associés au téléchargement des données des clients sur des supports d'information locaux.
  • L'établissement d'un inventaire complet des solutions locales, incluant les solutions existantes, est nécessaire pour assurer le contrôle et pour promouvoir le partage des solutions locales dans l'ensemble de l'Agence.

Le défi, pour l'ARC, est d'exercer une diligence raisonnable à tous les égards concernant les solutions locales pour atténuer les risques qui en découlent, tout en soutenant l'innovation opérationnelle.

Plans d'action : La DGI élabore présentement un plan d'action et une stratégie de mise en oeuvre lesquels produiront un cadre de régie amélioré comprenant le développement, le concept et le déploiement des solutions locales. Ce nouveau cadre balancera le besoin d'un régime de régie plus serré de bout en bout pour atténuer de façon plus efficace les risques tout en incitant et soutenant la créativité et l'innovation du développement local.

Le cadre sera introduit en deux phases. La première phase s'adresse particulièrement aux questions des Applications Macro pour ordinateur central (AMOC) qui sera finalisée dans le troisièmede 2007, alors que la deuxième phase portera sur la plus large question des solutions locales de non-macro qui doit débuter dans le dernier trimestre.

Étant donné la nature interdirectionnelle et interrégionale de l'espace des solutions locales, et la nécessité de renforcer le continuum de l'observation dans tous les secteurs impliqués, un plus grand effort s'impose pour s'assurer que le plan de la DGI reçoive une visibilité plus grande et un plus grand champ d'action. Pour ce faire, il sera peut être nécessaire de former un groupe de travail spécial pour les solutions locales afin d'obtenir la plus grande visibilité possible.

Voici quelques points spécifiques du plan d'action :

  • Un répertoire d'applications locales (RAL) restructuré avec une fonctionnalité ajoutée pour mieux retracer l'état de développement des applications locales individuelles, notamment la capacité d'afficher le statut d'un examen d'une direction générale de l'AC sera disponible d'ici juin 2007;
  • Une politique renforcée de développement des AMOC sera disponible d'ici juin 2007 et nécessitera l'enregistrement dans le RAL de tous les AMOC qui sont téléchargées ou mises à jour dans une base de données de l'ordinateur central de l'Agence;
  • Le lancement d'un Processus sur la qualité obligatoire qui sera varié selon le risque posé par chaque AMOC à son environnement;
  • La formulation d'un processus de surveillance et d'approbation d'ici juin 2007;
  • Le lancement de nouvelles Normes AMOC détaillées visant le développement d'ici juin 2007;
  • Le lancement d'une plateforme d'essai efficace d'ici septembre 2007;
  • La mise en oeuvre continuelle de la Plateforme des services terminaux (TSP) pour éliminer davantage les données commerciales existantes dans l'infrastructure locale;
  • Le lancement d'une Politique de solutions locales dans le dernier trimestre de 2007.

Introduction

Les systèmes de l'Agence du revenu du Canada (ARC) qui sont logés dans l'ordinateur central, ou qui sont déployés à l'échelle nationale dans l'environnement réparti, sont ce qu'on appelle des « systèmes nationaux ». Ils sont mis au point, modifiés et maintenus conformément à des processus contrôlés. Les Directions générales de programmes de l'Administration centrale qui sont les responsables desdits systèmes, identifient les besoins opérationnels et modifications visant les systèmes nouveaux et existants. Le personnel de la Direction générale de l'informatique (DGI) conçoit et met au point les systèmes nouveaux, et modifie les systèmes existants. La mise au point et la maintenance des systèmes nationaux requièrent des approbations officielles et un processus d'épreuve exhaustif avant qu'ils soient mis en oeuvre. Les contrôles exercés sur la sécurité des données sont généralement plus renforcés dans l'environnement de l'ordinateur central.

Les « solutions locales » désignent des applications ou systèmes élaborés au fil des années par les employés de première ligne ou par le personnel local de la TI pour usage à l'échelon local dans les Directions générales ou Régions de l'ARC. Les solutions locales ont été et continuent d'être élaborées et utilisées dans la plupart des Directions générales et des Régions. Ces solutions sont élaborées en dehors des processus d ‘élaboration pratiqués par l'Administration centrale pour les solutions nationales. Les solutions locales sont généralement crées pour générer des gains de productivité, automatiser des fonctions administratives, améliorer des interfaces locales avec les bases de données des secteurs d'activité nationaux ou répondre à des besoins particuliers.

Dans la présente vérification, une distinction a été faite entre les applications locales de bureau, dénommées ci-après « applications locales », et les applications macros pour ordinateur central, désignées ci-après par l'acronyme AMOC. Ces deux types d'applications sont inclus dans l'expression générique de « solutions locales ». Les applications locales sont généralement mises au point par des employés locaux de la TI payés à l'acte ou parfois, par d'autres employés de l'ARC dans les Directions générales et les Régions. Les applications locales n'accèdent généralement pas aux données de l'ordinateur central directement, mais elles peuvent quand même fournir des renseignements à des fins de prise de décisions administratives et de la haute direction.

AMOC sont généralement bâties pour fournir une interface conviviale aux employés qui ont accès aux bases de données de l'ordinateur central. Les AMOC augmentent la fonctionnalité des systèmes traditionnels de l'ordinateur central et sont élaborées et utilisées afin d'automatiser et d'accélérer certaines tâches habituelles effectuées par les employés de l'ARC. Elles sont élaborées dans les Directions générales à l'Administration centrale et dans les bureaux locaux.
En utilisant une AMOC, un employé peut accéder aux écrans de l'ordinateur central avec moins de frappes manuelles et peut copier de grandes quantités de données à partir de ces écrans – un processus appelé « râclage d'écran », vers des supports d'information locaux.

Objectif de la vérification

Les objectifs de la vérification consistaient à évaluer dans quelle mesure les éléments de la régie des solutions locales sont en place, et à déterminer si les solutions locales respectent les politiques, procédures et lignes directrices existantes ou la méthodologie d'élaboration généralement acceptée.

La portée de cette vérification était à l'échelle nationale. Elle a compris une analyse d'échantillons aléatoires d'applications locales et d'AMOC, sélectionnées dans la plupart des Directions générales et des Régions, afin d'obtenir des renseignements et de mesurer l'observation. L'échantillon de vérification était composé de 92 AMOC et de 111 applications locales, extraites de sources disponibles au printemps 2006.

Les échantillons d'applications locales ont été tirés aléatoirement d'un regroupement de nombreux inventaires d'applications locales que la vérification a pu repérer ou identifier. Le regroupement incluait plus de mille deux cents applications, dont certaines (applications Web et certaines plus petites applications acquises) ne faisaient pas partie de cette vérification. Mais il s'y trouvait un grand nombre d'applications locales, en usage et en cours de mise au point, qui nécessitent une régie.

Des informations de caractère anecdotique suggèrent qu'il existe plus de 500 AMOC à l'échelle nationale, mais il n'y avait aucun inventaire national duquel on pouvait prélever un échantillon d'AMOC. Par conséquent, des échantillons de vérification ont été dérivés en sélectionnant au hasard des codes d'usagers qui exécutaient des taux d'opérations plus élevés que la normale dans l'ordinateur central, à partir de statistiques sur la Gestion de la technologie de l'ordinateur hôte (GTOH).

Des questionnaires ont été distribués aux utilisateurs et aux développeurs des échantillons de vérification et les réponses ont été recueillies et analysées. Des examens des dossiers et des entrevues ont également été menés auprès des gestionnaires de la DGI, les gestionnaires fonctionnels de l'Administration centrale et les gestionnaires et employés des opérations locales, qui mettent au point et utilisent des AMOC et des applications locales.

Bien que les systèmes d'information de l'Agence des services frontaliers du Canada (ASFC) soient encore logés dans la même infrastructure que celle de l'ARC, l'ASFC ne faisait pas partie de la portée de cette vérification.

La vérification a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l'audit interne.

Constatations, recommandations et plans d'action

1.0 Les avantages et risques stratégiques des solutions locales

Une quantité importante d'informations de caractère anecdotique indiquent que les solutions locales, particulièrement les AMOC, offrent aux utilisateurs des avantages importants en matière de productivité. Bien que des données quantitatives n'étaient pas disponibles, tout au long des entrevues et des essais, l'équipe de vérification n'était pas au courant des avantages, y compris :

  • Efficience améliorée
  • Analyse plus rapide de grandes quantités de données.
  • Uniformité de la collecte de faits.
  • Favoriser l'analyse de données complexes et techniques.
  • Efficacités accrues
  • Automatisation d'entreprise – outils pour accélérer les tâches répétitives.
  • Consommation de papier réduite par rapport aux méthodes traditionnelles.

Les AMOC offrent les avantages supplémentaires suivants :

  • Renseignements d'entreprise – outil visant à « extraire » des données des systèmes d'ordinateur central.
  • La réduction du nombre de frappes et l'automatisation des tâches répétitives aident également les employés handicapés.

Il existe une dépendance considérable sur l'usage de solutions locales dans le traitement de certaines charges de travail, et de nombreux prix et reconnaissances ont été décernés par rapport à l'élaboration de solutions locales.

Il existe aussi des risques significatifs, mais la documentation de ces risques à un niveau stratégique n'était pas évidente. Certaines AMOC constituent de grandes applications complexes touchant à des activités, telles que l'extraction de données à partir de bases de données hôtes, la facilitation des mesures d'exécution à l'égard des contribuables, la diffusion de lettres aux contribuables, la mise à jour des renseignements contenus dans la base de données de l'ordinateur central, entre autres. Par conséquent, il existe des risques pour l'intégrité des données, particulièrement lorsqu'une méthodologie d'élaboration uniforme et prouvée n'est pas utilisée.

Il y a aussi des risques pour la sécurité des données vu la facilité qu'offrent les AMOC de faire du « râclage d'écran » et de télécharger de grandes quantités de données protégées. Bien que des employés doivent encore être affectés aux profils de l'ordinateur central afin d'obtenir un accès aux données de l'ordinateur central, les mêmes profils permettent maintenant de télécharger de grandes quantités de données sur les clients, de sauvegarder et de transporter ces données à l'aide de supports d'information, tels que des disquettes, des clés USB, des disques compacts (CD), des disques numériques polyvalents (DVD) ou tout autre appareil portatif.

Soixante-dix-huit pour cent des répondants de l'échantillon d'AMOC ont affirmé qu'ils téléchargent des données à partir de l'ordinateur central. Toutefois, la vérification n'a pas enquêté sur les supports utilisés pour sauvegarder ces données. Le chapitre 18, Politique sur la sécurité, du Manuel des finances et de l'administration (MFA) de l'ARC stipule que les renseignements protégés qui sont sauvegardés à l'aide de mémoires portatives doivent être cryptés au moyen d'un algorithme cryptographique approuvé de l'Agence. Toutefois, le cryptage n'est pas effectué automatiquement; il nécessite une intervention manuelle et, par conséquent, il n'est pas assuré que les données protégées seront cryptées selon la politique au moment de leur téléchargement vers des supports portatifs. De plus, il n'existe actuellement aucune méthode automatisée pour déterminer si les données sont sauvegardées dans des supports d'information portatifs. Ainsi, il existe des risques importants.

Recommandations

La direction a besoin de déterminer dans quels cas les solutions locales, surtout les AMOC, ont leur place dans la trousse des applications de l'ARC. Cette intégration peut seulement avoir lieu une fois que les Directions générales fonctionnelles et la DGI acquièrent une compréhension claire des solutions locales qui existent, des fins pour lesquelles elles existent, des risques associés à leur utilisation et des avantages qu'offre cette approche d'élaboration.

Des mesures plus immédiates devraient être prises pour réduire les risques inhérents des AMOC, particulièrement à l'égard de la capacité de télécharger de grandes quantités de données sur les clients non cryptées vers des magasins de données et des supports d'information facilement transportables.

Plan d'action

La nouvelle politique de développement des AMOC sera publiée en juin 2007. Elle nécessitera l'enregistrement de chaque AMOC qui accède une base de données de l'ordinateur central de l'Agence. Les AMOC seront logées dans le nouveau processus nommé “Répertoire d'applications locales” (RAL) qui saisira également les données de base dans les AMOC telles que :

  • Le but de l'AMOC
  • Le propriétaire fonctionnel;
  • Les réseaux contactés;
  • Les avantages perçus de l'AMOC.

Le RAL de pair avec la nécessité d'enregistrer tous les AMOC formera la base qui permettra aux Régions et aux Directions générales de l'AC de mieux comprendre la portée du développement des solutions locales et l'utilité de ces solutions et fera en sorte que l'Agence pourra contrôler celles-ci de près et atténuer tous les risques qui y sont associés. Le fait d'avoir un seul processus d'enregistrement central maintenu par la DGI et d'améliorer son efficacité par l'imposition d'un processus d'enregistrement, le RAL deviendra ainsi un inventaire national détaillé des solutions locales existantes.

Cette vérification remarque avec justesse que les AMOC amènent des risques inhérents notamment dans le cas où les données au repos ne sont pas gérées. La mise en oeuvre de la Plateforme des services terminaux (TSP) aidera à résoudre cet état étant donné que les données (volumineuses ou moindres) ne résideraient pas dans l'Infrastructure locale.

La Division des services sécuritaires de la TI dans la DGI entreprendra un examen des AMOC qui ont la fonctionnalité de télécharger de larges volumes de données pour évaluer ainsi si des mesures sécuritaires appropriées sont en place. De plus, au cours de la dernière année, la Sécurité de la TI a certifié que les médias chiffrés (DriveMate et eNova) ainsi que le logiciel chiffré PointSec ont été autorisés et qu'ils seront disponibles d'ici mars 2008.

2.0 Existence et observation d'un cadre national de régie

Selon les meilleures pratiques présentées dans la documentation de l'industrie, l'élaboration et l'utilisation des solutions locales devraient être administrées selon un cadre qui comprendrait certains éléments, tels qu'un inventaire national de solutions existantes, les rôles et responsabilités définis et communiqués des divers participants et intervenants, les politiques qui définissent les exigences en matière de sécurité, de protection des renseignements personnels, de langues et d'accessibilité, les normes et les procédures visant à orienter le cycle chronologique de l'élaboration des systèmes (CCES), y compris l'amorçage, l'approbation, l'élaboration, la mise en oeuvre et l'utilisation des solutions locales et la surveillance après la mise en oeuvre. La vérification avait comme objectifs de déterminer si ces éléments d'un cadre étaient en place et si les solutions élaborées étaient conformes au cadre.

Dans l'ensemble, la vérification a déterminé que les efforts déployés pour élaborer un cadre de régie n'ont pas évolué à la même cadence que le nombre et la capacité des solutions locales, et elle a identifié peu de cas où ledit cadre ou les meilleures pratiques étaient respectés. Les constatations et recommandations de la vérification concernant la régie sont présentées en plus de détail dans les sections qui suivent.

La Vérification interne reconnaît que le risque que présentent certaines solutions locales peut être non significatif, donc qu'il ne justifie pas de processus proprement dits de planification de projet, d'analyses coût-avantages, de surveillance de la fonction de l'AC, ni d'approbations. La Vérification interne n'a pas tenté de définir ce qu'est un développement significatif et non significatif, mais la distinction a besoin d'être faite quand il s'agit de déterminer le niveau de contrôle et de régie nécessaire.

2.1 Création et tenue à jour d'un inventaire national de solutions locales

Un inventaire complet, exact, à jour et disponible, contenant toutes les solutions locales enregistrées et approuvées, n'est toujours pas en place. Un tel inventaire devrait contenir une documentation pour chaque solution, y compris, sans toutefois s'y limiter, le but, les avantages, les risques et le programme en fonction desquels la solution est utilisée, les utilisateurs, le développeur et la Direction générale autorisée. Ces renseignements seraient utiles pour les utilisateurs qui cherchent un « outil » potentiel et, pour les développeurs, avant d'entreprendre un nouveau développement, afin de réduire les cas de duplication du processus d'élaboration.

Le développement local prend place depuis l'arrivée de l'ordinateur central à l'ARC.
À la fin des années 1990, les utilisateurs ont commencé la mise au point d'AMOC comme interfaces plus conviviales et plus productives aux données sur les clients dans divers systèmes d'applications sur ordinateur central, particulièrement dans la Région du Pacifique, où le Bureau des services fiscaux (BSF) de Vancouver et le Centre fiscal (CF) de Surrey procèdent à une mise au point importante d'AMOC.

Plusieurs efforts organisationnels ont été faits pour inventorier les solutions locales. Par exemple, en 2003, l'examen A9, effectué par les cadres supérieurs de l'Environnement réparti contrôlé (ERC), a rendu obligatoire l'inventaire des applications locales. La « liste des applications » résultante était incomplète. À la fin de 2003, d'autres efforts déployés en vue de quantifier les fonds de données locales liés aux solutions de TI locales, y compris les fonds découlant d'AMOC, ont également produit des résultats incomplets.

En 2003, le sous-commissaire de la Région du Pacifique a donné mandat aux gestionnaires de la Région du Pacifique d'inventorier toutes les solutions locales et a affirmé que des sanctions seraient appliquées aux cas d'inobservation. Dans le site intranet de la Région du Pacifique, une Bibliothèque régionale permanente des logiciels (BRPL) des applications locales est maintenant disponible. La Région du Pacifique tient également à jour un inventaire distinct d'AMOC hors ligne.

À la fin de 2004, afin d'enregistrer de nouvelles propositions, en plus des solutions déjà existantes, le Centre du développement de la DGI a amorcé le site intranet du Projet d'élaboration des solutions locales (PESL). Toutefois, l'existence du site et le besoin de se conformer à ses exigences n'ont pas bien été communiqués. Par la suite, le site du PESL a été renommé le Projet de soutien des applications locales (PSAL) et le processus d'enregistrement a été nommé le processus de l'« Enregistrement et répertoire des applications locales » (ERAL). L'ERAL contient de nombreuses solutions qui ont été enregistrées, mais il est incomplet.

La vérification a noté plusieurs faiblesses dans le processus d'enregistrement, y compris l'absence d'une vérification de l'approbation fonctionnelle, un manque de communication aux développeurs lorsque l'enregistrement a été refusé en raison de renseignements manquants ou inexacts et l'absence de directives sur la façon dont divers liens vers le site devraient être utilisés.

À partir du milieu de l'année 2005, la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC) a tenté d'inventorier les AMOC en usage dans le cadre de ses opérations. Depuis, la Section de développement d'applications d'utilisateur final (SDAUF ou aussi appelé « Recouvrement intégré des recettes Ouest » ou RIR-Ouest) à la DGSCGC a inventorié les AMOC qu'elles ont mises au point. Néanmoins, les sondages de vérification concluent que la majorité des AMOC en usage dans les programmes de la DGSCGC ne sont pas enregistrées dans le registre national de l'ERAL. En outre, nulle autre Direction générale n'a un inventaire complet des solutions locales utilisées dans le cadre de ses programmes.

Il existe une inobservation significative de l'exigence voulant que toutes les solutions locales soient enregistrées, étape indispensable pour établir un inventaire national.
Des échantillons de sondages de vérification prélevés dans l'ensemble de l'Agence ont démontré que, parmi les 111 applications locales échantillonnées, 67 % des applications mises au point à l'AC et 77 % des applications locales mises au point à l'échelle régionale n'étaient pas enregistrées. Parmi les 92 AMOC distinctes échantillonnées, 31 % des AMOC mises au point à l'AC et 87 % des AMOC mises au point à l'échelle régionale n'étaient pas enregistrées. Il convient de noter que la majorité des AMOC mises au point à l'AC qui étaient enregistrées avaient été mises au point par le RIR-Ouest.

Recommandations

Il faut que la DGI et les Directions générales fonctionnelles travaillent ensemble afin de dresser et de tenir à jour un inventaire national détaillé des solutions locales existantes, qui comprend une documentation appropriée et qui est mis à la disposition des intervenants appropriés.

Des lignes directrices et procédures claires devraient être élaborées et communiquées par la DGI afin d'appuyer l'enregistrement des nouvelles solutions locales à des fins d'inclusion dans l'inventaire national, y compris vérifier que les nouveaux enregistrements ont été approuvés par la fonction.

Plans d'action

Travaillant en collaboration avec les autres Directions générales de l'AC et des régions, la DGI restructure présentement le RAL pour améliorer ses capacités en tant qu'inventaire national détaillé de solutions locales existantes et en développement. Le RAL sera un outil plus utile qu'à l'heure actuelle avec l'inclusion de pouvoir retracer un AMOC dans son cycle de développement et de permettre aux clients commerciaux de clore une session lors d'un déploiement sur l'AMOC. La nouvelle version du RAL va être lancée en juin 2007.

La DGI en collaboration et avec l'usage des meilleures pratiques dans les secteurs tels que RIR Ouest renforce et applique de nouveau, d'ici juin 2007, la politique de développement des AMOC et relance de nouvelles Normes plus détaillées de développement. Une politique de solutions locales sera lancée dans le dernier trimestre de 2007

2.2 Documents et lignes directrices existants relativement à la régie

Le modèle de régie national existant afin d'orienter le développement local sert généralement à définir le rôle respectif de tous les intervenants, y compris les bureaux locaux, les bureaux régionaux, les Directions générales fonctionnelles et les secteurs appropriés de la DGI, comme le Centre de protection de la technologie de l'information (CPTI), et de la Direction générale des finances et de l'administration (DGFA – Direction de la sécurité). Toutefois, il met l'accent sur la régie de la TI, plutôt que sur le développement, et ne fournit pas suffisamment de détails concernant les autres secteurs qui devraient participer au processus. En particulier, la régie fonctionnelle doit être mieux définie. Le document du modèle de régie comprend certains noms de personnes-ressources, mais d'autres sont manquants ou hors d'usage. Par conséquent, les développeurs potentiels ne savent pas avec qui communiquer. Le document ne tient pas compte des changements organisationnels récents à l'ARC.

Les divers documents qui traitent généralement des questions liées à la TI et à la sécurité qui devraient être examinés au moment de la mise au point et de la mise en oeuvre des AMOC et des applications locales sont désignées sous le nom de « lignes directrices » plutôt que de « normes ». À ce titre, les développeurs peuvent assumer qu'il n'est pas nécessaire de les respecter. Un titre plus symbolique, tel que
« Normes nationales relatives au développement local », serait plus approprié et pourrait encourager un niveau d'observation plus élevé.

Les divers documents qui constituent le modèle de régie existant n'ont pas été approuvés. De plus, la responsabilité relative à l'assurance de l'observation de la régie et des lignes directrices n'a pas été clairement déléguée.

Recommandation

Les « Normes nationales » devraient être mises à jour, s'il y a lieu, et être approuvée et l'observation de ces normes devrait être assurée

Plan d'action

La DGI, en collaboration et avec l'usage de meilleures pratiques tels que la RIR Ouest renforce et réutilise la Politique de développement des AMOC et réutilise de nouvelles Normes de développement plus détaillées d'ici juin 2007. De concert avec ses partenaires, la DGI fera l'élaboration d'un régime de contrôle pour assurer l'observation d'ici septembre 2007.

2.3 Processus de surveillance fonctionnelle du développement, de l'examen et de l'utilisation

Les processus liés à l'examen et à l'approbation fonctionnels de l'élaboration et de l'utilisation des solutions locales doivent être améliorés. Les meilleures pratiques de l'industrie, qui ont été établies en vue de l'informatique d'utilisateur final et de l'élaboration de solutions pour les utilisateurs finals, exigent la rédaction d'un énoncé clair des rôles et responsabilités respectifs. Les Directions générales fonctionnelles de l'AC sont également responsables de l'attribution de fonds aux programmes. À ce titre, elles devraient assurer une surveillance en fonction des avantages, des coûts et des risques potentiels, de la fonctionnalité opérationnelle proposée et de l'approbation des propositions de solutions locales importantes. Sans surveillance fonctionnelle, il existe un risque accru lié à la redondance et au développement inutile ou non autorisé, puis il y a moins de possibilités de partage de solutions utiles et moins de contrôle sur l'affectation budgétaire. Les avantages et les coûts prévus des nouvelles perspectives importantes de développement devraient être décrits et suivis afin que les cadres supérieurs de la Direction générale soient au courant des dépenses liées au développement local.

L'échantillon de vérification comprenait des solutions locales dans les programmes relevant de la plupart des directions générales fonctionnelles de l'Administration centrale. En se servant de l'échantillon, au cours de la vérification, il a été déterminé que les rôles et responsabilités liés à l'examen et à l'approbation fonctionnels des propositions d'élaboration à l'AC n'ont pas été attribués dans la plupart des Directions générales. À l'exception des initiatives en évolution à la DGSCGC, il n'y a aucun encadrement fonctionnel national (Direction générale de l'Administration centrale) en place en vue de comprendre les avantages, les coûts et les risques, d'examiner et d'approuver le développement local ou de déterminer si d'autres options existent ou devraient être considérées.

La DGSCGC a rédigé l'ébauche d'un processus de régie d'entreprise pour les AMOC seulement, y compris la création d'une équipe du RIR-Ouest en 2005 en vue de gérer la mise au point des AMOC. Bien qu'il continue d'évoluer, il existe un processus par lequel les AMOC mises au point par le RIR-Ouest sont examinées par des experts fonctionnels et les secteurs appropriés de la DGI. En outre, les coûts d'élaboration sont suivis et connus, même si d'autres mises au point d'AMOC effectuées par un secteur non-RIR-Ouest, qui ne suivent pas ce processus, ont lieu dans le cadre des programmes de la DGSCGC.

La Direction générale des programmes d'observation (DGPO) dispose du processus de Demande de changement des systèmes d'observation (DCSO), par lequel des changements potentiels ou proposés aux systèmes de la DGPO existants sont signalés, examinés et priorisés. Toutefois, au cours de la vérification, il a été noté que ce processus ne vise pas à résoudre directement les situations dans lesquelles on procède déjà à un développement local ou des outils locaux sont déjà en usage.

L'analyse des réponses de l'échantillon de vérification des AMOC a révélé que dans seulement 13 % des échantillons, l'avis de l'AC a été demandé concernant des solutions de rechange possibles au développement local, comme apporter des modifications aux systèmes existants. En outre, bien que l'approbation de la direction locale ait été demandée dans au moins 77 % des cas, l'approbation de la fonction de l'AC a été demandée dans 29 % des cas. Un rapport sur l'analyse de rentabilisation a été préparé dans seulement 5 % des cas.

L'analyse des réponses de l'échantillon de vérification des applications locales a révélé que l'avis de l'AC concernant les besoins opérationnels ou les solutions de rechange possibles au développement local, comme apporter des modifications aux systèmes existants, a été demandé dans seulement 18 % des échantillons. En outre, bien que l'approbation de la direction locale ait été demandée dans au moins 86 % des cas, l'approbation de la fonction de l'AC a été demandée dans seulement 13 % des cas.
Un rapport sur l'analyse de rentabilisation a été préparé dans seulement 11 % des cas. Dans 72 % des cas, les coûts d'entretien n'étaient ni connus ni suivis.

Des solutions locales sont souvent élaborées en vue d'aborder une absence de fonctionnalité dans les applications nationales existantes. Toutefois, il n'y a aucune indication que l'absence de fonctionnalité qui est abordée par les solutions locales est communiquée ou considérée à des fins d'inclusion dans les applications et les systèmes nationaux nouveaux ou existants. Par conséquent, il existe un risque que les modifications aux applications nationales pourraient ne pas répondre à tous les besoins des utilisateurs, puisque le besoin n'a pas été communiqué à la direction générale fonctionnelle.

Recommandations

Les directions générales fonctionnelles de l'Administration centrale devraient définir, documenter et approuver les processus internes dans le cadre desquels il existe des rôles et responsabilités respectifs liés à l'approbation opérationnelle des propositions et la surveillance opérationnelle du développement, y compris le besoin de réaliser des analyses coût-avantage et de déterminer et atténuer les risques.

Les responsabilités des directions générales fonctionnelles, y compris le nom des personnes-ressources nommées, devraient être communiquées aux développeurs potentiels.

Les directions générales fonctionnelles de l'Administration centrale devraient s'assurer que les questions de fonctionnalité abordées par les solutions locales sont prises en compte au moment de définir les exigences liées aux applications et aux systèmes nationaux existants.

Plan d'action

La DGI travaillera avec ses partenaires à élaborer et mettre en place des processus nécessaires pour une approbation efficace de l'AC envers le déploiement des solutions locales. Un processus d'approbation et de surveillance sera formulé d'ici juin 2007. Le nouveau processus restructuré de RAL permettra de retracer l'approbation fonctionnelle, capter le contact et les autorités d'approbation et fournir un enregistrement où les exigences peuvent être identifiées et considérées dans le développement d'une entreprise-classe. Le RAL sera disponible en juin 2007.

2.4 Processus du cycle chronologique de l'élaboration des systèmes (CCES)

Une méthodologie du CCES n'est pas adoptée de façon uniforme. Les principes du CCES exigent que des politiques et des procédures d'élaboration soient mises en place et communiquées. Ces politiques et procédures devraient traiter des exigences liées à la documentation, la mise à l'essai, la réutilisation et les pistes de vérification, au moment d'accéder aux données sur les clients. D'autres questions qui devraient être incluses dans de telles politiques et procédures comprennent l'exigence de procéder à des mises au point et à des essais dans un environnement non-production et d'effectuer des essais d'acceptation au nom du client. En ce qui concerne la distribution de nouveaux produits ou de mises à jour des produits existants, la mise en oeuvre devrait être contrôlée afin que seuls les employés de l'ARC qui sont autorisés à utiliser les nouvelles versions les reçoivent.

Dans l'ensemble, la documentation relative à tous les échantillons de vérification était faible. Quarante-six pour cent des répondants des échantillons d'AMOC et 66 % des répondants de l'échantillon des applications locales ont affirmé qu'aucun document décrivant le but et l'usage général de la solution locale n'était disponible. Les résultats de l'essai de mise au point n'étaient pas disponibles pour 76 % des échantillons de vérification des AMOC et 94 % des échantillons d'applications locales.

Certains éléments des principes du CCES sont en place et observés aux niveaux locaux. Toutefois, à l'échelle nationale, seule la DGSCGC et, particulièrement le
RIR-Ouest, a amorcé certaines meilleures pratiques concernant la mise au point d'AMOC. Par exemple, ils ont commencé à utiliser les services de la Division d'essais d'acceptation (DEA) pour 11 AMOC mises au point par RIR-Ouest. Malgré la rigueur accrue utilisée par les processus d'élaboration du RIR-Ouest, il y a quand même eu un grand nombre d'erreurs constatées. Cependant, il convient de noter que, parmi toutes les AMOC en usage à l'ARC, seules les AMOC mises au point par le RIR-Ouest ont fait l'objet d'essais à la DEA. Cela soulève donc la question à savoir ce que découvrirait la DEA si elle mettait à l'essai les AMOC qui ont été mises au point ailleurs à l'aide d'une méthodologie d'élaboration moins rigoureuse.

Le RIR-Ouest a élaboré certaines procédures internes locales et une méthodologie afin de renforcer la résistance de ses produits : le Plan d'intervention d'urgence et de stratégie opérationnelle et des processus visant à encourager la réutilisation. Le
RIR-Ouest a élaboré des modules d'AMOC qui satisfont aux exigences énoncées dans le cadre de régie à des fins de réutilisation. Toutefois, ces modules n'ont toujours pas été entièrement mis en oeuvre et ne sont pas communiqués à d'autres développeurs.

La mise en oeuvre et l'accès aux AMOC sont incompatibles puisque certains secteurs ont des processus de distribution plus rigoureux que d'autres. Les lignes directrices du cadre de mise au point des AMOC exigent que la mise en oeuvre et l'accès soient exécutés par l'intermédiaire d'un processus national contrôlé qu'a élaboré la DGI.
Ce processus est seulement utilisé en vue de distribuer les AMOC nationales ayant été mises au point par le RIR-Ouest au nom de la DGSCGC.

L'analyse des échantillons a également révélé que d'autres secteurs de programme ont différents processus de mise au point, de contrôle, d'approbation et de distribution des AMOC en place, mais que leur méthodologie n'est pas aussi uniforme ou rigoureuse que celle des processus du RIR Ouest. La plupart des échantillons de vérification de ces secteurs ont également fait l'objet d'un examen fonctionnel ou d'une approbation fonctionnelle.

L'absence d'un CCES uniforme augmente les risques d'une documentation inadéquate, d'une intégrité de données inadéquate et d'autres erreurs, ainsi qu'un contrôle inadéquat de la version.

Recommandation

Les « Normes nationales » devraient être renforcées en vue de promouvoir une méthodologie du CCES uniforme pour le développement local et d'inclure un processus afin que toutes les solutions locales soient élaborées, mises à l'essai, documentées et mises en oeuvre de façon appropriée et que les versions soient adéquatement contrôlées.

Plans d'action

Le lancement d'un Processus de qualité guidera le développement local par l'entremise d'un CCES correspondant aux risques posés par ce développement. Grâce au TSP, la publication de toutes les applications deviendra nécessaire et comprendra un système d'essai et un cycle de relâche plus rigoureux. La fermeture de cette brèche dans le système actuel du CCES permettra d'identifier les problèmes et les incompatibilités plus tôt dans le cycle et permettra de renforcer les points forts de l'alignement des normes nationales.

Une stratégie d'essai détaillée sera créé de même qu'une plateforme d'essai efficace. Les meilleures pratiques d'essai ajoutées à une version appropriée des processus et des procédures de lancement, de changements, et de gestion de la configuration contribueront à faire en sorte que les solutions locales seront plus contrôlées en matière de risque. La mise en oeuvre de la platforme d'essai va être lancée en septembre 2007.

2.5 Examens réalisés afin de vérifier l'observation technique

Plusieurs examens techniques des solutions locales nouvelles et existantes sont effectués à la DGI afin de s'assurer qu'elles respectent les lignes directrices nationales. Ces examens sont effectués en fonction des solutions qui sont signalées au Centre du développement seulement et ne sont pas bien intégrés.

Le Centre du développement de la DGI effectue une vérification préliminaire à la suite de l'enregistrement des solutions dans l'ERAL. Cette vérification est effectuée en vue d'assurer l'observation des lignes directrices du cadre de régie.

La Division de l'intégration de recouvrement des recettes des Solutions de la DGI (Solutions d'IRR) examine également les AMOC nationales mises au point par le RIR-Ouest en fonction des recommandations présentées dans les Lignes directrices du Centre du développement concernant la mise au point des AMOC. Ce processus n'est pas lié au processus d'ERAL. Il convient de noter que les Solutions d'IRR considèrent que leur examen ne fournit que des conseils techniques et une orientation au développeur et non une approbation technique.

Les résultats de ces divers examens ne sont pas bien intégrés les uns aux autres ni à l'examen de la sécurité des AMOC effectué par le Centre de protection de la TI (CPTI), Direction de la sécurité, DGI (voir la section 2.6.1 concernant la sécurité). De plus, il n'y a aucun système de suivi unique en place lorsque l'état d'une solution faisant l'objet de ces examens est enregistré. Ainsi, il est difficile pour les développeurs ou les autres de déterminer à quels examens une solution particulière a été assujettie.

Recommandations

Le processus lié à tous les examens techniques de la DGI devrait être intégré, rationalisé, inclus dans les « Normes nationales » et communiqué. Les « Normes nationales » devraient comprendre les rôles et responsabilités de la DGI relativement à la séquence des processus d'examen exécutés à la DGI.

Un système de suivi devrait être fourni afin d'afficher l'état de l'examen de l'Administration centrale (opérationnel ou de la DGI) relativement à la soumission d'une solution et l'état d'un nouveau développement.

Toutes les solutions actuellement en usage, qui n'ont pas été précédemment examinées, devraient faire l'objet des examens requis avant d'être publiées dans la liste des applications approuvées du RAL.

Plans d'action

La DGI intégrera, simplifiera et communiquera ses procédures d'examens techniques et les logera dans le site web du RAL.. Le RAL lui-même permettra de classer et de retracer les processus d'examen au sein de la DGI ainsi que ceux des Directions générales de l'AC.

Les solutions actuellement en usage qui n'ont pas été antérieurement examinées feront l'objet d'un examen aussi rigoureux que celui des solutions en voie de développement.

2.6 Politiques en matière de sécurité

Les chapitres du Manuel des finances et de l'administration (MFA) de l'ARC sur la sécurité contiennent de nombreuses politiques en matière de sécurité qui s'appliquent intrinsèquement aux solutions locales ou aux données, à la transmission et à la mémoire correspondantes. Il y a un faible niveau d'observation relativement à un bon nombre de ces politiques, les examens de sécurité sont fragmentés et il existe des risques importants pour la sécurité.

2.6.1 Examens de la sécurité technique

Dans le volume Sécurité du MFA, le chapitre 20, intitulé Gestion des risques pour la sécurité – Évaluation de la menace et des risques des technologies de l'information, stipule que les examens de la sécurité technique doivent être effectués au début du cycle de vie du développement des applications locales, régionales et des Directions générales, par les gestionnaires d'applications, afin de s'assurer que des mesures de prévention et de contrôle sont mises en oeuvre pour les réseaux, les systèmes et les applications de l'Agence. En 2004 et 2005, la DGI a distribué divers communiqués aux membres du Comité de gestion de l'Agence (CGA) et aux directeurs et conseillers de la TI, affirmant qu'il est nécessaire de réaliser et de présenter un examen de la sécurité technique pour toutes les solutions locales existantes. Cependant, la vérification a constaté ce qui suit :

  • Des examens de la sécurité technique n'ont pas été effectués pour la majorité des solutions locales de l'échantillon de vérification, tel que l'exige la politique. Les essais ont indiqué que des examens de la sécurité technique ont été effectués pour 88 % des AMOC mises au point à l'AC et 31 % des AMOC mises au point à l'échelle régionale. Dans le même ordre d'idées, des examens de la sécurité technique ont été effectués pour 61 % des applications locales mises au point à l'AC et 33 % des applications locales mises au point à l'échelle régionale.

D'autres questions liées aux procédures d'examen de la sécurité technique ont également été soulevées, dont les suivantes :

  • Les procédures de présentation d'examens de la sécurité technique comprises dans les lignes directrices relatives aux solutions locales diffèrent des procédures énoncées dans la Politique en matière de sécurité.
  • La conception de la fonction de recherche du site d'enregistrement des examens de la sécurité technique exige des renseignements particuliers que le demandeur ne possède peut-être pas. Par conséquent, il est difficile de déterminer si un examen de la sécurité technique a été présenté pour une solution locale particulière. Cette base de données n'a pas été mise à jour afin de tenir compte des changements organisationnels à l'ARC.
  • Les présentations précédentes d'examens enregistrés de la sécurité technique ne sont pas mises à jour dans le site intranet des examens de la sécurité technique. Le site contient également des examens de la sécurité technique pour les solutions locales qui ne sont plus en usage.
  • En plus du processus d'examen de la sécurité technique, des examens officiels de la sécurité des AMOC sont également effectués par la Direction de la sécurité (CPTI) de la DGI, en partenariat avec la Direction de la sécurité de la DGFA, afin d'assurer l'observation des lignes directrices de sécurité. Par exemple, le code est examiné afin de s'assurer qu'il ne contient aucun code d'usager intégré. Ces examens sont effectués relativement aux AMOC qui sont signalées au CPTI seulement. Toutefois, de nombreuses AMOC en usage n'ont pas été signalées au CPTI.
  • Le chapitre 20 du volume Sécurité du MFA stipule également que les responsables régionaux de la sécurité doivent passer en revue tous les examens de la sécurité technique dans leur domaine de compétence. Il n'est pas clair si les solutions locales relèvent des responsables régionaux de la sécurité. Quoi qu'il en soit, il n'y a aucune preuve que ces examens sont effectués.

2.6.2 Pistes de vérification

Le chapitre 22 du volume Sécurité du MFA stipule ce qui suit : « Tous les accès aux données identifiables sur les clients doivent être journalisées (piste de vérification), sauf en cas d'exemption justifiée par le processus d'évaluation de la menace et des risques (EMR) et autorisée par la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI). » Quelles que soient les mesures de sécurité prises relativement à ces données, les pistes de vérification doivent encore être conservées afin d'identifier les employés qui ont accédé à ces données. Soixante-dix-huit pour cent de l'échantillon des AMOC et 10 % des réponses au questionnaire de l'échantillon des applications locales ont indiqué que les données des contribuables sont téléchargées à partir de l'ordinateur central. Les pistes de vérification liées aux accès aux données des contribuables sauvegardées à l'échelle locale ne sont pas conservées. C'est actuellement le cas pour les AMOC en usage. À ce titre, l'ARC ne peut pas garantir qu'elle peut identifier tous les employés qui ont accédé aux données des contribuables.

2.6.3 Mise à l'essai des AMOC dans l'environnement de production

Faire des essais et des mises au point d'unités dans l'environnement de production est une entreprise risquée, puisque cela peut nuire à l'intégrité des données réelles ou produire des sorties non intentionnelles de données réelles. Par conséquent, la politique en matière de sécurité de l'ARC stipule que les renonciations doivent être émises par la Direction de la sécurité de la DGFA lorsque les essais sont effectués dans l'environnement de production.

Les sondages de vérification ont révélé qu'il n'existe actuellement aucun environnement de développement et de mise au point distinct pour les solutions locales à l'ARC. Par conséquent, les développeurs des AMOC n'ont pas le choix de mettre au point et de mettre à l'essai les AMOC dans l'environnement de production. Aucune preuve n'a été donnée à la VI qui indique que les renonciations ont été émises par la Direction de la sécurité de la DGFA pour les AMOC mises à l'essai au moyen de données identifiables sur les clients dans l'environnement de production.

2.6.4 Continuité des opérations et reprise après sinistre

La politique en matière de sécurité de l'ARC stipule que des plans de continuité des opérations, y compris des plans de reprise après sinistre, doivent être en place pour les systèmes qui appuient les fonctions opérationnelles essentielles. Cette exigence demeure insatisfaite pour la plupart des solutions locales desquelles dépendent fortement les opérations commerciales. Le RIR Ouest a commencé à étudier cette question à l'aide de l'élaboration du Plan d'intervention d'urgence et de stratégie opérationnelle.

Recommandations

Les « Normes nationales » devraient résumer ou faire renvoi aux questions de sécurité qui s'appliquent et aux procédures qui devraient être respectées au moment de procéder au développement local, comme l'exigence d'effectuer un examen de la sécurité technique et le processus adopté en vue de les présenter. Des sanctions devraient s'appliquer aux cas d'inobservation.

La haute direction a besoin d'assurer l'observation de la politique exigeant des renonciations quand des activités de développement et d'épreuve sont menées dans l'environnement de production en présence de données réelles.

La DGI devrait envisager de résoudre l'absence de pistes de vérification liées aux accès aux données des contribuables sauvegardées à l'extérieur de l'environnement de l'ordinateur central.

Le processus lié aux examens de la sécurité du CPTI doit être précisé et communiqué et des mesures doivent être prises afin de s'assurer que toutes les solutions locales font l'objet de ces examens.

Les « Normes nationales » devraient exiger que des solutions locales soient intégrées dans les plans de continuité des opérations si elles appuient les fonctions opérationnelles essentielles.

Plans d'action

La DGI mettra en oeuvre un Processus de qualité obligatoire afin d'aider un développeur par le biais d'un régime de sécurité correspondant aux risques que posent les solutions locales. Pour des solutions d'une étendue suffisante, le Processus de qualité exigera que les plans sur la continuité des opérations soient complétés et enregistrés dans le RAL.

Le développement d'une plateforme d'essai efficace rendra périmé la pratique dangereuse de développer et de tester l'environnement de production.

Un cycle d'examen de deux ans pour les Politiques de sécurité de l'information effectué dans l'exercice fiscal 2007-2008 par la Direction de la sécurité, de la gestion du risque et des affaires internes (DSGRAI) et de la Direction générale des F&A permettra un renforcement plus large des politiques existantes et produira une plus grande amélioration des rôles et des responsabilités envers les applications de solutions locales. Le programme de sensibilisation à la sécurité soulignera davantage les politiques existantes, les normes et les procédures opérationnelles en matière de création des AMOC. En outre, l'inspection courante et la révision du programme par la Direction générale des F&A inciteront la DSGRAI à identifier les AMOC et les autres applications en cours de développement qui ne possèdent pas de normes propres, de certification, d'accréditation ou qui n'ont pas été examinées au préalable relativement aux risques.

Un projet de modernisation de 5 ans des pistes de vérification a été mis en place. La DSGRAI a commencé à faire une analyse préliminaire des exigences pour la restructure du Système de modernisation des pistes de vérification nationales. Le contenu de toutes les pistes de vérification existantes est actuellement documenté en détail et les exigences des intervenants sont analysées pour un système révisé.

2.7 Observation des politiques sur les langues officielles, la technologie d'adaptation et les évaluations des facteurs relatifs à la vie privée

Cinquante-sept pour cent des répondants de l'échantillon des AMOC et 66 % des répondants de l'échantillon des applications locales ont affirmé que les développeurs n'avaient pas tenu compte des politiques sur la technologie d'adaptation et les langues officielles au moment d'élaborer ces solutions locales.

Dans le cas des évaluations des facteurs relatifs à la vie privée (ÉFVP), en raison du large éventail de bases de données de l'ordinateur central qui ont été accédées à des fins d'extraction de données au moyen d'AMOC, il a été suggéré que des évaluations préliminaires des facteurs relatifs à la vie privée (EPFVP) devraient être considérées. Toutefois, nul répondant au questionnaire de l'échantillon de vérification des AMOC et seulement 4 % des répondants de l'échantillon des applications locales ont affirmé qu'une ÉFVP avait été effectuée et présentée.

Une EPFVP globale a été effectuée par le RIR-Ouest pour toutes les AMOC qu'il a mises au point, mais le comité responsable de l'examen des EPFVP en vue du besoin potentiel d'un ÉFVP officielle n'a pas été consulté à partir de décembre 2006.

Il n'existe pas de point de référence unique pour les politiques et les lignes directrices pertinentes (Sécurité, Technologie d'adaptation, Langues officielles, ÉFVP, Développement durable, entre autres), dont les développeurs devraient être au courant au moment d'élaborer des solutions locales. Un tel outil serait utile afin de permettre aux développeurs de s'assurer que toutes les politiques pertinentes ont été prises en compte. L'ébauche du modèle de régie des solutions locales et des documents à l'appui rédigée par le Centre du développement constitue un bon point de départ en tant que norme nationale, mais n'énumère pas toutes les politiques que les développeurs devraient prendre en compte.

Recommandation

Les « Normes nationales » devraient comprendre des renvois particuliers aux politiques sur les langues nationales, la technologie d'adaptation et les évaluations des facteurs relatifs à la vie privée qui doivent être prises en compte au moment de procéder au développement local.

Plan d'action

Les nouvelles Normes de développement feront référence aux politiques des Langues officielles et de la technologie d'adaptation. Elles seront publiées en juin 2007. Le Processus de qualité déterminera les exigences en matière d'ÉFVP.

2.8 Communication des normes d'élaboration et d'autres renseignements importants

La communication des normes d'élaboration et d'autres renseignements importants peut être améliorée.

  • Les communications qui contiennent des renseignements touchant aux AMOC sont diffusées par la DGI par les voies de communication traditionnelles du courrier électronique et des avis régionaux. Ces communications sont principalement adressées aux conseillers, aux directeurs ou aux personnes-ressources de la TI et non aux directeurs ou aux gestionnaires régionaux de programme ou à leurs homologues de la Direction générale de la région où sont situés la plupart des développeurs-utilisateurs finals, autres que ceux de la TI. Les développeurs-utilisateurs finals, autres que ceux de la TI, ainsi que le personnel de la TI, ont maintenant besoin des renseignements.
  • Les modifications apportées à l'environnement d'ordinateur central, ou les modifications de bases de données ou d'applications qui pourraient affecter les outils de râclage d'écran, présentent le potentiel d'affecter non seulement le développement des AMOC mais aussi le fonctionnement des AMOC actuellement en usage, en introduisant des erreurs et d'autres effets indésirables. Aucun processus n'est en place actuellement pour assurer que les utilisateurs finals et les développeurs reçoivent en temps opportun l'information utile au sujet de telles modifications.
  • Les communiqués concernant la distribution de nouvelles versions des AMOC mises au point par le RIR-Ouest contenaient le nom de personnes-ressources avec lesquelles les employés peuvent communiquer s'ils ont besoin de renseignements supplémentaires sur le contenu. Toutefois, souvent, les personnes-ressources nommées ne participent pas à la mise au point des AMOC et les connaissent très peu.

Recommandation

Des améliorations devraient être apportées aux voies de communication afin que tous les renseignements de l'Administration centrale (à la fois opérationnels et techniques) qui touchent aux solutions locales soient reçus par ceux qui en ont besoin.

Plans d'action

Le travail effectué sur la stratégie de communication est constant. Étant donné la nature interdirectionnelle et interrégionale de l'espace des solutions locales, plus d'efforts devraient être accordés pour s'assurer que les plans d'action reçoivent une plus grande visibilité et un plus grand champ d'action. Pour ce faire, il sera peut-être nécessaire de former un groupe de travail spécial pour les solutions locales afin d'obtenir une plus grande visibilité initiale et d'élaborer des réseaux de communication durables.

La DGI (assurance de la production) publie et maintient actuellement la diffusion des renseignements de la gestion relativement au lancement d'une application et des changements majeurs d'infrastructure dans son Calendrier des prochaines modifications de la Direction générale Procédure (CPMDGP). L'information sur tous les changements apportés à l'infrastructure se trouve dans le système de Changements dans le système Infoman. Alors que ces rapports sont actuellement distribués dans un large rayon, la DGI questionne l'utilité d'étendre la distribution dans un secteur plus grand.

2.9 Surveillance

Dans le cadre de l'approche d'élaboration traditionnelle de l'ARC, de nombreux contrôles sont exercés sur le processus d'élaboration. En raison de ces nombreux contrôles, la fonctionnalité opérationnelle est connue, les risques pour la sécurité et l'intégrité des données sont atténués et les préoccupations concernant le rendement de l'infrastructure et de l'ordinateur central sont relativement bien connues et documentées.

Les solutions locales, vu leur nature, ne sont pas assujetties au même contrôles. Étant donné les tâches importantes que certaines solutions locales exécutent, elles méritent l'attention de la direction, afin de non seulement déterminer la fonctionnalité et les avantages qu'elles offrent, mais également les risques qu'elles présentent.

Les applications locales sont souvent utilisées dans les processus administratifs ou des Resouces Humains et traitent souvent des données d'employés ou génèrent des renseignements utilisés par la direction aux fins de prise de décisions. Elles aussi sont importantes et devraient être assujetties aux mêmes processus de contrôle que toutes les applications ou les AMOC qui servent à traiter les données sur les clients ou à y accéder. Les AMOC méritent qu'on s'y intéresse pour de nombreuses raisons d'ordre fonctionnel, technique et de sécurité énoncées dans le présent rapport.

Spécifiquement en ce qui concerne les AMOC, bien que l'exécution des AMOC qui invoquent des quantités élevées d'opérations dans l'ordinateur central ait été surveillée officieusement par la Gestion de la technologie de l'ordinateur hôte (GTOH) de la DGI et par un employé de la DGSCGC, à l'aide des statistiques de la GTOH qui précisent le nombre d'opérations traitées chaque heure, l'Agence n'a aucun processus officiel en place pour surveiller les AMOC.

Dans la GTOH, l'objectif de la surveillance assurée à l'aide des statistiques de la GTOH est limité à déterminer si l'exécution d'une AMOC a causé des problèmes de rendement de l'ordinateur central. D'autres AMOC pourraient ne pas invoquer de grandes quantités d'opérations et, par conséquent, ne figurent pas dans ces statistiques. Dans ces cas, il est impossible d'exercer un contrôle ou une surveillance afin de déterminer la mesure dans laquelle et la fin pour laquelle ces AMOC sont utilisées. Ces AMOC pourraient encore être importantes à la lumière des fonctions qu'elles exécutent et, par conséquent, elles pourraient présenter des risques importants.

Beaucoup d'exécutions de grandes quantités d'AMOC ont lieu au cours de la période de base, en violation des lignes directrices émises par la DGI en vue de réduire les charges quotidiennes dans l'ordinateur central. Le rendement et la stabilité de l'ordinateur central n'ont toujours pas été considérablement touchés par l'utilisation des AMOC. Toutefois, un manque de régie constant de la mise au point et de l'utilisation des AMOC pourrait commencer à avoir des répercussions négatives sur le rendement et la stabilité des systèmes d'ordinateur central. Les volumes élevés d'opérations, lesquels sont entraînés par l'utilisation des AMOC, peuvent entraîner le besoin de fournir des ressources supplémentaires de l'ordinateur central ou donner lieu à d'autres questions liées à l'accès simultané, au rendement et à la stabilité.

Les solutions locales ont une incidence sur le réseau et les serveurs de réseau. Par exemple, la prolifération des solutions locales dans le réseau constituait un facteur essentiel, exigeant ainsi que la DGI réduise considérablement la portée de son projet de consolidation des serveurs au cours des troisième et quatrième trimestres de l'exercice 2006-2007.

Vu la variété des utilisations qui se font des solutions locales, il est nécessaire de surveiller les solutions locales et d'examiner les risques et les avantages, tel qu'il a précédemment été mentionné dans le présent rapport.

Recommandations

Les Directions générales de l'Administration centrale et la DGI devraient mettre en oeuvre un processus de surveillance officiel relativement à l'utilisation qui est faite des solutions locales en fonction de la fonctionnalité du programme et de l'observation des normes nationales.

Pour les AMOC, les directions générales fonctionnelles de l'AC devraient considérer utiliser les statistiques de la GTOH existantes comme point de départ afin de parvenir à identifier et à comprendre qui utilise les AMOC et à s'assurer qu'elles sont autorisées et enregistrées. Elles devraient également considérer obtenir des renseignements supplémentaires sur les AMOC qui ne figurent pas dans le rapport actuel de la GTOH en raison des volumes d'opérations plus faibles, mais qui peuvent quand même encore présenter des risques ou des avantages importants.

Pour les AMOC, la DGI devrait mettre en oeuvre un processus de surveillance officiel relativement à leur exécution dans l'infrastructure technique et rendre compte de l'observation des normes nationales.

Plans d'action

Le processus d'approbation et de surveillance sera formulé d'ici juin 2007.

L'expansion de la fonctionnalité du RAL augmentera la capacité de l'Agence de surveiller l'utilisation des solutions locales, les responsables de leur développement et l'observation dans l'ensemble des Normes nationales. L'enregistrement obligatoire des AMOC et la mise en oeuvre du Processus de la qualité assureront qu'elles auront l'autorisation d'être déployées et qu'elles auront subi l'examen d'un CCES correspondant aux risques encourus et à sa complexité.

La DGI examinera de nouveau son régime de surveillance pour s'assurer que les incidences sur l'infrastructure technique sont comprises et contrôlées.

Conclusion

Le développement local se produit au sein des fonctions de l'AC et des opérations régionales. Les avantages des solutions développées localement ne se font pas bien quantifier, mais ils comprennent des gains sur le plan de l'efficacité, de l'efficience et de la productivité. Certains exemples sont l'automatisation de fonctions administratives auparavant faites manuellement et les améliorations apportées aux interfaces locales avec les bases de données des secteurs d'activité nationaux, ce qui peut également amener une réduction dans l'utilisation des ressources telles que le temps et le papier.

Il existe aussi des risques significatifs associés à l'élaboration et à l'utilisation des solutions locales, particulièrement des AMOC, en ce qui a trait à la sécurité des données, à l'intégrité des données et, potentiellement, à la performance des systèmes. Devant de tels risques, l'élaboration et l'utilisation des solutions locales devraient être administrées à l'intérieur selon un cadre comprenant une claire définition des responsabilités et un inventaire national des solutions existantes; les politiques définissant les exigences visant la sécurité, la protection des renseignements personnels, la langue et l'accessibilité; et les normes relatives au cycle chronologique de l'élaboration des systèmes.

La régie de l'Agence concernant l'élaboration et l'utilisation des solutions locales a besoin d'être améliorée. Certains éléments d'un cadre de régie national sont en place, mais ils sont incomplets, ils n'ont pas été approuvés par les parties prenantes, et ils n'ont pas été bien communiqués. L'observation de ces éléments et des meilleures pratiques est faible.

La régie fonctionnelle concernant l'élaboration et l'utilisation des solutions locales est limitée. Les Directions générales fonctionnelles de l'AC sont ultimement responsables des systèmes, outils et procédures qui soutiennent leurs programmes, et elles sont les gestionnaires de fonds pour les affectations budgétaires destinées à leur fonctionnement. À ce titre, chaque Direction générale devrait exercer un pouvoir et une surveillance sur les solutions locales significatives élaborées et utilisées en vue de faciliter l'atteinte des objectifs de ses programmes. Les coûts de l'élaboration des solutions locales sont généralement inconnus pour la Direction générale qui les finance.

Il est nécessaire d'identifier et d'inventorier toutes les solutions locales significatives qui existent, le but, la population d'utilisateurs de chacune, et ses avantages et risques. Les solutions significatives qui n'ont pas subi l'examen fonctionnel, technique et de sécurité à l'AC exigé dans les lignes directrices et la politique existantes, ont besoin d'être examinées. Le développement local, surtout celui des AMOC, doit être mieux compris; les risques et les avantages doivent être quantifiés, et le positionnement du développement local dans l'éventail des outils et systèmes automatisés doit être clarifié. Une surveillance doit être instituée.

Certains secteurs de l'Agence ont reconnu le besoin d'améliorer la gestion des solutions locales. Quelques éléments de base d'un cadre de régie, comme les inventaires et les processus normalités pour l'élaboration et la mise en oeuvre des solutions locales, existent dans la Région du Pacifique et dans le RIR-Ouest, au sein de la Direction générale des services aux contribuables et de la gestion des créances (DGSCGC). Ce besoin est particulièrement notable vu l'importance que les AMOC ont prises dans la gestion des créances par la DGSCGC.