Vérification d’attestation de la qualité de l’infrastructure TI (technologie de l'information)

Le but de cette vérification était de fournir au registraire une évaluation indépendante et objective de l’infrastructure TI (technologie de l’information) de la Cour. Les critères servant à l’évaluation des objectifs de la vérification sont tirés des Objectifs de contrôle pour la technologie de l’information et les technologies connexes (COBIT® - Version 4.0).

La vérification englobait tous les aspects de l’infrastructure TI de la Cour, à l’exception du développement et de la maintenance des applications; elle couvrait la pénétration du système de sécurité en ce sens que les vérificateurs ont conclu que les tests de pénétration/détection d’intrusions effectués à l’interne étaient raisonnablement fiables. La vérification s’est déroulée du 20 décembre 2007 au 31 mars 2008, et le rapport a été approuvé en mai 2008.

Voici les constatations clés de la vérification :

  1. Le plan d’activités de la GI/T étant lié à celui du SBSI, les vérificateurs ont conclu que la vision et la stratégie pour l’IT appuient le plan stratégique de la Cour et les orientations gouvernementales.
  2. Les rôles et responsabilités à l’égard de l’infrastructure TI de la Cour sont définis, compris et observés efficacement, mais le coordonnateur de la sécurité de la TI assume actuellement deux rôles contradictoires : il établit des règles de pare-feu et surveille l’activité du pare-feu.
  3. La structure de gouvernance TI est efficace. Selon les vérificateurs, la structure de gouvernance de la Cour pour la gestion de son infrastructure TI est établie et elle est efficace pour l’établissement des priorités en matière d’investissements et de ressources TI, et les projets d’investissement en TI sont intégrés dans les plans et processus de la Cour.
  4. L’infrastructure TI de la Cour est fiable, car la sauvegarde se fait à des dates régulières et la surveillance du réseau est assurée. Toutefois, il n’existe aucun plan de continuité des activités qui soit documenté et approuvé et, malgré la surveillance du réseau, les vérificateurs ont remarqué qu’un tiers est autorisé à accéder au réseau de la CSC.
  5. Des risques pour l’infrastructure TI sont bien définis et gérés grâce à un plan provisoire de gestion des risques liés à la modernisation, mais aucune évaluation des menaces et des risques n’a été faite pour les systèmes, services et programmes.
  6. Les politiques TI, qui visent à appuyer la stratégie TI, ont été communiquées au personnel de la Cour. Les vérificateurs ont ainsi conclu que, grâce aux mécanismes de contrôle efficaces en place, les activités et mesures entreprises à l’appui de la gestion de l’infrastructure TI respectaient certaines politiques, directives, normes et procédures du Secrétariat du Conseil du Trésor, en particulier la nouvelle Politique sur la gestion des technologies de l'information adoptée le 1er juillet 2007, le Cadre amélioré pour la gestion des projets de technologie de l'information et la Politique de gestion de la sécurité des technologies de l'information (PGSTI). Cependant, comme il n’y a eu aucune évaluation des menaces et des risques, la CSC ne respecte pas entièrement la PGSTI.
  7. Le rendement de la Cour en matière de gestion des TI est constamment mesuré, mais il n’existe aucun rapport indiquant la prestation des services IT par rapport aux niveaux de service approuvés.
  8. Des éléments de gestion de la qualité sont actuellement mis en oeuvre, mais aucun document ne permet de vérifier si les TI disposent d’instruments de mesure adéquats pour surveiller les systèmes de gestion de la qualité et il n’existe pas d’environnements de mise au point, d’essai et de production distincts à la CSC. Les vérificateurs ont donc conclu que certains aspects de la qualité et de l’amélioration continue de la gestion des IT se retrouvent dans le processus de contrôle de la Court.

Sauf dans les cas signalés ci-dessus, les vérificateurs peuvent donner l’assurance que le cadre de gestion et de contrôle de l’infrastructure IT est efficace. Dans certains domaines, les pratiques et méthodes actuelles pourraient être améliorées afin de renforcer davantage l’infrastructure IT de la Cour. Les observations et recommandations du rapport portent sur ces améliorations requises. La direction de la Cour a accepté toutes les recommandations et a instauré un plan d’action pour leur mise en oeuvre à court terme.