Audit de la gestion du portefeuille d’applications de TI

Rapport final
Bureau du dirigeant principal de l’audit
Novembre 2022

Table des matières

Acronymes
Symboles
Sommaire
Contexte
Constatations et recommandation
Conclusion
Annexe A : À propos de l’audit
Annexe B : Modèle de maturité de la gestion du portefeuille d’applications
Annexe C : Évaluations de la TI vieillissante et analyses T.I.M.E.
Annexe D : Portefeuille des applications
Annexe E : Définition d’une application opérationnelle du BDPI
Annexe F : Réponse de la direction et plan d’action

Acronymes

AI: Architecture intégrée
AMC: Affaires mondiales Canada
BDPI: Bureau du dirigeant principal de l’information (du gouvernement du Canada)
CT: Conseil du Trésor du Canada
GC: Gouvernement du Canada
GPA: Gestion du portefeuille d’applications
ISPA: Indicateur de la santé du portefeuille d’applications
PMSN: Plan ministériel sur les services et le numérique
SCT: Secrétariat du Conseil du Trésor du Canada
SPC: Services partagés Canada
TI: Technologie de l’information
T.I.M.E.: Tolérer, Innover, Migrer, Éliminer

Symboles

SID: Direction générale de la gestion de l’information et de la technologie
SIS: Soutien à la clientèle en technologies de l’information

Sommaire

Conformément au Plan d’audit axé sur les risques 2021‑2022 approuvé d’Affaires mondiales Canada (AMC), le Bureau du dirigeant principal de l’audit a mené un audit de la gestion du portefeuille d’applications de technologie de l’information (TI).

Qu’est-ce que la gestion du portefeuille d’applications et pourquoi est-elle importante?

La Politique sur les services et le numérique du Conseil du Trésor (CT) exige que les ministères gèrent l’information, les données, la technologie, la cybersécurité et les services de manière intégrée afin de permettre la prestation de services numériques. La gestion du portefeuille d’applications (GPA) couvre les applications de TI, la composante technologique la plus importante dont les ministères sont responsables.

Les applications sont définies comme un sousensemble de logiciels qui utilisent toutes les fonctions d’un dispositif électronique directement pour exécuter la tâche désirée de l’utilisateur. La GPA évolue en fonction de la gouvernance des applications de TI tout au long de leur cycle de vie afin de maximiser la valeur opérationnelle fournie. La GPA aide le Ministère à répertorier les applications et à évaluer leur valeur technique et opérationnelle afin de déterminer les applications à conserver, à moderniser ou à éliminer. Il s’agit d’une méthode éprouvée qui est utilisée pour gérer avec succès les applications de TI d’une organisation.

Renseignements généraux

AMC (le Ministère) a un environnement de TI complexe, puisqu’il offre des services à l’Administration centrale, dans les bureaux régionaux partout au Canada ainsi qu’à l’étranger au sein de 178 missions dans 110 pays. Le Ministère appuie un réseau mondial de missions qui est utilisé par 41 autres ministères, organismes, sociétés d’État, gouvernements provinciaux et partenaires diplomatiques étrangers afin d’atteindre les objectifs internationaux du gouvernement.

Le Ministère utilise plus de 600 applications et solutions logicielles pour offrir ses services, qui sont gérées à la fois de façon centralisée et à l’échelle des opérations et des missions. Ces applications sont hébergées dans les anciens centres de données du Ministère gérés par Services partagés Canada (SPC), dans le nuage ou sur place dans les missions.

Le Programme de modernisation des applications du Ministère est décrit en détail dans le Plan ministériel sur les services et le numérique (PMSN) de 2021‑2024. Le plan comprend l’intention de migrer les applications vers le nuage ou vers les nouveaux centres de données d’entreprise de SPC, ou de mettre hors service les anciennes applications qui offrent une valeur minimale.

Peu importe l’endroit où elles se trouvent, les applications de TI doivent être gérées tout au long de leur cycle de vie afin de s’assurer qu’elles offrent aux programmes et aux secteurs d’activité la fonctionnalité et la valeur requises pour répondre aux exigences du Ministère de façon sécuritaire et rentable.

Objectif et portée

L’objectif de l’audit était d’évaluer la pertinence et l’efficacité du cadre de gestion et des processus en place pour gérer le portefeuille d’applications de TI du Ministère tout au long de leur cycle de vie.

La portée de l’audit comprend le portefeuille d’applications de TI gérées par le Ministère de façon centralisée ainsi que celles gérées par les missions (pour obtenir de plus amples renseignements sur l’approche de l’audit, consulter l’annexe A).

Conclusion

Bien que certaines pratiques positives aient été relevées, dans l’ensemble, le Ministère n’a pas mis en œuvre un cadre de gestion et des processus efficaces pour gérer le portefeuille d’applications de TI du Ministère tout au long de leur cycle de vie. Des améliorations sont nécessaires pour :

coordonner, communiquer, définir et documenter les obligations redditionnelles, les rôles et les responsabilités en matière de GPA;
rendre compte périodiquement de l’état du portefeuille d’applications à la haute direction; mettre en œuvre un processus et des contrôles d’assurance de la qualité pour assurer une meilleure qualité des données de la GPA;
intégrer davantage les données de la GPA aux activités opérationnelles de gestion de l’information et de technologie de l’information (GITI), comme l’architecture intégrée (AI) et la gestion des incidents de TI, la continuité des activités et de la TI, la prise de décisions stratégiques et en matière d’investissement.

Énoncé de conformité

L’audit a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes, ainsi qu’à la Politique sur l’audit interne et à la Directive sur l’audit interne du CT, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

Contexte

Qu’estce que la gestion du portefeuille d’applications et pourquoi est-elle importante?

Les applications sont définies comme un sous-ensemble de logiciels qui utilisent toutes les fonctions d’un dispositif électronique directement pour exécuter la tâche désirée de l’utilisateur^{Note de bas de page 1}. La GPA évolue en fonction de la gouvernance des applications de TI tout au long de leur cycle de vie afin de maximiser la valeur opérationnelle fournie. La GPA aide le Ministère à répertorier les applications et à évaluer leur valeur technique et opérationnelle afin de déterminer les applications à conserver, à moderniser ou à éliminer. Il s’agit d’une méthode éprouvée qui est utilisée pour gérer avec succès les applications de TI d’une organisation.

Les principaux éléments d’un cadre de GPA* sont illustrés dans la figure ci-dessous. Ils comprennent :

la gouvernance et la surveillance nécessaires pour établir les priorités et prendre des décisions stratégiques concernant le portefeuille d’applications;
les processus opérationnels requis pour planifier, concevoir et acquérir de nouvelles applications, les tenir à jour tout au long de leur cycle de vie et les mettre hors service une fois qu’elles ne sont plus requises;
la surveillance de l’état et du rendement du portefeuille d’applications et la production de rapports connexes pour orienter la prise de décisions.

Les avantages de la GPA comprennent l’obtention d’une vue d’ensemble pour le Ministère et le gouvernement du Canada (GC) en ce qui concerne l’état de toutes les applications de TI et les risques associés tout au long de leur cycle de vie à l’appui de la prise de décisions stratégiques numériques relatives au portefeuille d’applications. Cela comprend ce qui suit :

détermination des applications existantes d’AMC ou du GC à réutiliser afin d’éviter d’investir dans des applications en double;
mise hors service des anciennes applications afin de réduire les coûts et les risques pour la sécurité;
détermination rapide des applications qui pourraient être vulnérables à une nouvelle menace pour la sécurité;
migration des applications vers un environnement plus efficace et plus sécuritaire;
mise à niveau des applications coûteuses à maintenir, désuètes ou peu sécurisées;
amélioration de la prestation des services pour les Canadiens.

Dans un contexte plus large, l’ambition numérique du GC^{Note de bas de page 2} est le plan stratégique qui établit les priorités pangouvernementales et énumère les mesures clés dont les ministères et les organismes ont besoin pour passer à un gouvernement plus numérique et pour satisfaire aux exigences de la Politique sur les services et le numérique du CT. Comme le montre le diagramme ci-dessous, la Politique sur les services et le numérique exige que les ministères gèrent l’information, les données, la technologie, la cybersécurité et les services de manière intégrée afin de permettre la prestation de services numériques. La GPA couvre les applications de TI, la composante technologique la plus importante dont les ministères sont responsables.

Par conséquent, un cadre de GPA efficace contribue grandement à la gestion efficace de la technologie au sein des ministères, ce qui permet aux ministères de fournir les applications nécessaires pour permettre la prestation de services numériques aux Canadiens de façon sécuritaire et rentable. L’exploitation des données de la GPA permet également aux ministères de prendre des décisions éclairées au sujet du portefeuille d’applications afin de respecter leur mandat et de maximiser la prestation de services numériques.

Le Bureau du dirigeant principal de l’information (BDPI) du gouvernement du Canada a élaboré des lignes directrices à l’intention des ministères en ce qui concerne la GPA. Entre autres, le guide « BDPI GPA – Guide de la gestion du portefeuille des applications » établit un modèle de maturité de la GPA qui fournit une feuille de route pour permettre aux ministères d’établir et d’améliorer leur programme de GPA, conformément aux directives du Secrétariat du Conseil du Trésor (SCT) [consulter l’annexe B].

Gestion du portefeuille d’applications à Affaires mondiales Canada

AMC a un environnement de TI complexe, puisqu’il offre des services à l’Administration centrale, dans les bureaux régionaux ainsi qu’à l’étranger au sein de 178 missions dans 110 pays. Le Ministère appuie un réseau mondial de missions qui est utilisé par 41 autres ministères, organismes, sociétés d’État, gouvernements provinciaux et partenaires diplomatiques étrangers, afin d’atteindre les objectifs internationaux du gouvernement.

Comme décrit à l’annexe D, le Ministère utilise plus de 600 applications et solutions logicielles pour offrir ses services, qui sont gérées à la fois de façon centralisée et à l’échelle des opérations et des missions. Ces applications sont hébergées dans les anciens centres de données du Ministère gérés par SPC, dans le nuage ou sur place dans les missions.

En 2018‑2019, le GC a mis des budgets à la disposition des ministères et des organismes pour les aider à migrer les applications des anciens centres de données vers des centres de données plus sécuritaires et plus modernes ou des solutions infonuagiques. Cet exercice de migration est l’un des quatre piliers de la Stratégie de migration de la charge de travail et d’activation du nuage du GC. Par conséquent, le Ministère a mis en œuvre un programme de modernisation des applications qui est conforme à l’initiative du gouvernement.

Le Programme de modernisation des applications du Ministère est décrit en détail dans le PMSN de 2021‑2024. Le plan comprend l’intention de migrer les applications vers le nuage ou vers les nouveaux centres de données d’entreprise de SPC, ou de mettre hors service les anciennes applications qui offrent une valeur minimale. Cela est déterminé au moyen de la réalisation d’évaluations de la TI vieillissante et d’analyses T.I.M.E. (Tolérer, Innover, Migrer, Éliminer) relatives aux applications, comme décrit plus en détail à l’annexe C.

Rôles et responsabilités en matière de gestion du portefeuille d’applications

Divers groupes au sein du Ministère participent aux activités de GPA. Le directeur général et dirigeant principal de l’information de la Direction générale de la gestion de l’information et de la technologie (SID) est responsable de la prestation de l’ensemble des services de GITI et demeure une partie intégrante de la Plateforme internationale du Ministère. Le mandat de SID consiste à élaborer, à exploiter et à tenir à jour les systèmes de GITI, y compris les systèmes d’information ministériels et les applications de TI, à l’appui des activités et des initiatives du Ministère. Les directions générales suivantes de SID ont des rôles et des responsabilités liés à la GPA :

Innovation et intégration de solutions d’affaires facilitées par la technologie (SIA) est responsable de recueillir des données sur le portefeuille d’applications auprès des responsables opérationnels et techniques des applications et de gérer les données du système Clarity, qui est utilisé pour assurer le suivi des données du portefeuille d’applications et produire des rapports à cet égard. L’équipe responsable de la GPA de SIA a également la responsabilité de fournir à la haute direction et au SCT des renseignements opportuns sur les applications afin de s’assurer que les risques cernés sont atténués et que les applications sont pertinentes et durables.
Direction de la transformation numérique (SIP), qui relève de SID, est responsable de l’AI et travaille actuellement à l’élaboration de l’AI au sein du Ministère. La Politique sur les services et le numérique du CT définit l’AI comme un plan conceptuel qui définit la structure et le fonctionnement d’un organisme en tenant compte et en harmonisant les activités opérationnelles, l’information, les données, les applications, la technologie, la sécurité et la protection des renseignements personnels afin d’appuyer les résultats stratégiques . À mesure qu’elle se développera, la fonction d’AI devrait être un important consommateur d’information sur le portefeuille d’applications et influencer l’évolution du portefeuille d’applications.
Soutien à la clientèle en technologies de l’information (SIS), qui relève de SID, est responsable de la mise en œuvre du Programme de modernisation des applications, qui supervise la migration des applications hors des anciens centres de données qui doivent être fermés. Dans le cadre de ce rôle, le Programme est un important consommateur d’information sur le portefeuille d’applications, et les décisions prises en ce qui concerne la modernisation des applications peuvent avoir une incidence sur le portefeuille d’applications d’AMC.

Constatations et recommandation

Les points forts suivants ont été relevés lors de l’audit :

AMC lance un processus d’appel annuel pour solliciter la participation de tous les responsables techniques et des applications afin que ceux-ci fournissent ou mettent à jour les données ministérielles sur la GPA concernant leurs applications respectives.
AMC a mis en œuvre un processus d’établissement des priorités en matière d’investissement dans la TI qui est en partie appuyé par les données de la GPA.
Le Ministère a récemment amélioré l’indicateur de la santé du portefeuille d’applications (ISPA)^{Note de bas de page 3}, qui est passé de 11 % à plus de 19 %; l’ISPA est une mesure de rendement clé de la GPA calculée par le SCT en fonction des renseignements fournis par les ministères au sujet de la GPA.
Le Ministère a élaboré un plan sur les services et le numérique qui intègre la technologie, l’information, les données, les services et la cybersécurité, conformément à la nouvelle Politique sur les services et le numérique du CT.

La section suivante décrit les principales constatations. Elle est divisée en trois volets, soit les rôles et responsabilités en matière de GPA, les données de la GPA aux fins de prise de décisions et la qualité et l’intégrité des données de la GPA.

Rôles et responsabilités en matière de gestion du portefeuille d’applications

La réussite de la GPA dépend de la mise en place d’un cadre de gouvernance et de gestion efficace pour fournir une orientation stratégique à l’appui de la gestion continue du portefeuille d’applications. Des obligations redditionnelles, des rôles et des responsabilités clairement définis, communiqués et coordonnés font partie intégrante d’un cadre de gestion de la GPA mature. Dans le cadre de la GPA, il est important de s’assurer que les obligations redditionnelles sont bien établies, et que les rôles et les responsabilités sont connus des fonctionnaires du Ministère qui ont des obligations à remplir en ce qui concerne la gestion des activités relatives au portefeuille d’applications du Ministère, surtout si l’on tient compte du fait que les activités de la GPA sont exécutées par divers groupes au sein du Ministère.

Conformément à la Directive sur les services et le numérique du CT, le dirigeant principal de l’information est responsable du programme de GPA au sein du Ministère. Cela comprend la production de rapports sur les dépenses et l’état d’avancement des activités de la GPA. L’équipe d’audit a constaté qu’à l’exception de la responsabilité globale du dirigeant principal de l’information, les rôles et les responsabilités des fonctionnaires du Ministère participant aux activités de la GPA ne sont pas clairs.

L’équipe d’audit a constaté que le Ministère a élaboré des guides de l’utilisateur pour aider les responsables opérationnels et techniques à rendre compte au SCT de l’état des applications opérationnelles. De plus, le BDPI fournit une certaine orientation sur les activités de la GPA par l’intermédiaire du site Web GCpédia.

Toutefois, les entrevues auprès des représentants du Ministère et un examen de la documentation ont révélé que les obligations redditionnelles, les rôles et les responsabilités liés aux activités de la GPA n’ont pas été définis, documentés et officiellement assignés au sein du Ministère. De plus, il n’y a aucun groupe unique responsable de la coordination des activités de la GPA au sein du Ministère (consulter le tableau 2 cidessous)^{Note de bas de page 4}. Certains groupes travaillent de manière cloisonnée, ce qui crée des lacunes et des chevauchements, donnant lieu à un manque de coordination pour la gestion des applications tout au long de leur cycle de vie.

Tableau 2 : Rôles et responsabilités liés au cycle de vie de la GPA

Processus du cycle de vie de la GPA	Dirigeant principal de l’information	Bureau de gestion du changement	Architecture intégrée	Architecture de solutions	Modernisation des applications	Responsable technique	Responsable opérationnel	Direction de la transformation numérique
Gouvernance et supervision : Planification de la GITI	A	C	C	C	C	-	-	R
Gestion du portefeuille d’applications : Exécution / Conception Exécution / Exploitation Mise hors service	- - I	C - C	C C C	C - C	R/C - C	A/ R R	A/R A /R A	- - I
Surveillance et production de rapports : Surveillance Rapports au SCT Rapports à la haute direction	- A -	A - -	I C C	I R -	I - -	- C C	- C C	- - -

Processus du cycle de vie de la GPA

Dirigeant principal de l’information

Bureau de gestion du changement

Architecture intégrée

Architecture de solutions

Modernisation des applications

Responsable technique

Responsable opérationnel

Direction de la transformation numérique

Gouvernance et
supervision : Planification de la GITI

Gestion du
portefeuille d’applications :
Exécution / Conception Exécution /
Exploitation Mise hors service

R/C

A/R

/R A

Surveillance et
production de rapports :
Surveillance Rapports au SCT
Rapports à la haute direction

Légende

R – Responsabilité
A – Approbation
C – Consultation
I – Information

Selon le tableau ci-dessus, il y a différents groupes au sein d’AMC qui sont responsables de ce qui suit :

Planification stratégique (à l’aide des données de la GPA)
Planification, conception et exécution des applications
Mise hors service des applications
Rapports sur les données de la GPA au SCT

Toutefois, aucun groupe n’est responsable de la coordination de toutes les activités de la GPA.

L’équipe d’audit a également mené des entrevues auprès d’autres ministères qui avaient une fonction de GPA plus évoluée. Certains ont mentionné qu’un facteur de réussite clé pour une fonction de GPA efficace est d’intégrer les activités de la GPA dans une seule fonction, comme l’AI, ce qui permet une meilleure communication et une meilleure coordination pour les personnes responsables des activités de la GPA. La cote de l’ISPA de ces ministères dépassait la moyenne (37 %) de tous les ministères fédéraux.

En l’absence de rôles et de responsabilités clairement définis et d’une fonction de coordination, il y a un risque accru de lacunes dans les activités de la GPA et un manque d’uniformité et d’une vue d’ensemble du cycle de vie en ce qui concerne la GPA.

En conclusion, l’équipe d’audit a constaté que le Ministère n’a pas défini, documenté et assigné officiellement les obligations redditionnelles, les rôles et les responsabilités, et n’a pas établi de fonction de coordination pour la GPA, ce qui fait en sorte que la GPA est gérée de façon plus cloisonnée et non coordonnée.

Recommandation 1

Le sous-ministre adjoint (SMA), Planification ministérielle, finances et technologies de l’information devrait officialiser et communiquer les obligations redditionnelles, les rôles et les responsabilités, et établir une fonction de coordination pour la gestion des applications tout au long de leur cycle de vie.

Mise à profit des données de la gestion du portefeuille d’applications aux fins de prise de décisions

La Politique sur les services et le numérique du CT fournit aux ministères l’orientation nécessaire pour passer d’un plan de TI au Plan sur les services et le numérique, en mettant l’accent sur les liens entre la TI, les services, l’information, les données et la cybersécurité. La Politique sur les services et le numérique souligne l’importance de la planification et de la prise de décisions intégrées, ainsi que leur incidence sur les services, l’information, les données, la TI et la cybersécurité pour chaque fonction, et veille à ce que ces éléments soient pris en compte tout au long de l’élaboration de nouvelles initiatives de GITI. Les données de la GPA peuvent apporter une valeur importante à la haute direction en tant que contribution clé à la planification des services et à la planification stratégique et opérationnelle numérique pour le Ministère. De plus, une approche intégrée en matière de GPA peut offrir une perspective plus holistique en ce qui concerne la planification, ce qui permet de cerner les interdépendances clés, y compris de cerner les systèmes ayant une valeur opérationnelle limitée et les possibilités de réaffecter les investissements dans des secteurs qui appuient directement la prestation de services numériques et l’amélioration des services aux Canadiens.

Le Ministère a mis en œuvre un processus d’établissement des priorités en matière d’investissement dans la TI pour son plan d’investissement et son PMSN. Même si ce n’est pas la principale source d’information pour la prise de décisions, le groupe responsable de la planification de la TI à AMC indique qu’il utilise les données de la GPA comme une de ses sources d’information. Toutefois, les données de la GPA ne sont pas utilisées pour déterminer les applications existantes qui pourraient être réutilisées ou exploitées afin d’éviter le dédoublement lors de la planification de nouvelles applications et des décisions d’investissement. Cela pourrait mener à des investissements continus dans des applications inutilisées, coûteuses et peu sûres, et à l’incapacité d’affecter des ressources ministérielles à des initiatives de GITI qui nécessitent davantage ces ressources.

Bien que le Ministère ait effectué la transition du plan de TI vers le PMSN, l’équipe d’audit a constaté que le nouveau plan ministériel ne fournit pas le même niveau de détails sur la GPA que celui du plan de TI ministériel précédent qui indiquait une liste d’applications devant être mises hors service ou modernisées. De plus, les données de la GPA n’ont pas été spécifiquement utilisées pour élaborer le PMSN de 2021‑2022 et pour orienter les priorités et les mesures du PMSN.

En outre, l’équipe d’audit a constaté que des plans d’action ne sont pas élaborés pour traiter les applications désignées comme « nécessitant une attention » dans le cadre des évaluations du vieillissement de la TI et des analyses T.I.M.E de la GPA. Sans l’officialisation et l’exécution de plans d’action pour traiter les applications opérationnelles qui nécessitent une attention particulière, le Ministère devra composer avec un nombre croissant d’applications inutilisées, ce qui rendra l’infrastructure de TI plus difficile et coûteuse à maintenir, ce qui aura des répercussions négatives sur les services numériques aux Canadiens.

Il convient de noter qu’en janvier 2022, le Ministère était aux prises avec les effets d’une cyberattaque qui a perturbé ses services Internet. L’équipe responsable de la gestion des incidents s’attendait à ce que les données de la GPA puissent être utilisées pour déterminer les applications touchées par la vulnérabilité en matière de sécurité; toutefois, AMC n’a pas été en mesure de le faire en raison de la mauvaise qualité et de l’intégrité des données. Un exercice sur les leçons apprises a été effectué à la suite du rétablissement des services et on a souligné qu’il était nécessaire de mettre à jour le répertoire des applications ministérielles et de mener un examen approfondi des processus de GPA. Si les données de la GPA avaient été de meilleure qualité et intégrées à la planification de la continuité des activités et de la TI, elles auraient pu contribuer à réduire le temps d’arrêt des principaux services Internet ministériels.

Enfin, le Ministère ne surveille pas périodiquement l’état de son portefeuille d’applications et n’en rend pas compte régulièrement à la haute direction, même si ces renseignements sont facilement accessibles et peuvent être produits sous forme de tableau de bord fournissant des renseignements précieux sur l’état, les coûts et les risques du portefeuille d’applications. Sans une surveillance et des rapports périodiques en ce qui concerne les activités de GPA, il sera difficile pour la haute direction de mesurer les progrès réalisés dans l’atteinte de ses objectifs stratégiques en matière de GITI et de prendre des décisions plus éclairées sur les questions relatives au portefeuille d’applications et à la prestation de services numériques. Par exemple, le SCT utilise les données de la GPA obtenues des ministères pour calculer l’ISPA afin de mesurer l’état des applications. Bien que l’ISPA d’AMC ait récemment augmenté, passant de 11 % à plus de 19 %, il est toujours inférieur à la moyenne du GC, qui est de 37 %. La présentation régulière de l’ISPA à la haute direction pourrait aider à orienter les discussions et les mesures de suivi sur la façon d’améliorer le niveau de l’ISPA du Ministère afin de combler l’écart avec le reste du GC.

En conclusion, l’équipe d’audit a constaté que des processus n’étaient généralement pas en place afin que les données de la GPA soient utilisées pour la prise de décisions en matière de TI, comme la planification stratégique et des investissements en TI, l’examen des capacités des applications existantes par l’AI afin d’éviter le dédoublement des applications, le répertoire des applications pour la gestion des incidents de TI, l’information sur les coûts relatifs aux investissements en TI aux fins d’analyse coûtsavantages et la détermination des applications candidates pour la mise hors service.

Recommandation 2

Le SMA, Planification ministérielle, finances et technologies de l’information devrait élaborer et mettre en œuvre des processus pour améliorer l’état de la GPA et tirer parti des données de la GPA pour la prise de décisions dans le cadre de la planification stratégique numérique et des investissements ainsi que des activités opérationnelles liées à la GPA, comme l’AI, la gestion de la continuité des activités et de la TI et la gestion des incidents de TI.

Qualité et intégrité des données de la gestion du portefeuille d’applications

Le BDPI du GC et le SCT ont élaboré des directives exigeant que les ministères présentent annuellement au SCT un rapport sur l’état de leur portefeuille d’applications, y compris des données de haut niveau sur les dépenses en TI. Il est important que le GC et les ministères disposent de données exactes et comparatives sur la GPA pour évaluer l’atteinte des objectifs stratégiques et opérationnels en matière de technologie numérique.

Bien que le Ministère transmette chaque année les données sur la GPA au SCT, les entrevues réalisées auprès de certains représentants ministériels ont révélé que ceux-ci ont peu confiance dans la qualité et l’intégrité des données. L’équipe d’audit a effectué des essais d’intégrité des données sur les champs clés utilisés dans le cadre du processus d’appel annuel d’AMC pour mettre à jour les données sur la GPA et ceux utilisées par le SCT pour déterminer l’ISPA, et elle a noté que sur 641 applications figurant dans le répertoire des applications d’AMC :

47 applications (7 %) n’avaient pas de responsable fonctionnel désigné;
473 applications (74 %) n’avaient pas fait l’objet d’une évaluation de la TI vieillissante;
471 applications (73 %) n’avaient pas fait l’objet d’une analyse T.I.M.E.;
271 applications (42 %) n’avaient pas de catégorie de sécurité de l’information assignée.

AMC a mis en place un processus annuel géré par le groupe responsable de l’architecture de solutions pour obtenir, de la part des responsables techniques et des responsables d’applications, une mise à jour sur leurs applications respectives en ce qui concerne les éléments de données clés de la GPA. Ce processus s’harmonise avec les rapports annuels au SCT. Toutefois, l’équipe d’audit a constaté que le groupe responsable de l’architecture de solutions n’examine pas les données de la GPA qui sont mises à jour annuellement et n’effectue pas de contrôle de la qualité de ces données, et que les responsables des applications ne reçoivent qu’une orientation limitée en ce qui concerne la manière de transmettre des données de qualité. La responsabilité relative à la qualité et à l’intégrité des données de la GPA revient donc aux responsables techniques et des applications, qui ne sont généralement pas au courant de cette responsabilité et des répercussions de la faible qualité des données de la GPA sur la prise de décisions.

En plus de rendre compte de l’état de santé de son portefeuille d’applications, le Ministère doit faire part du coût total du soutien pour chaque application. Le BDPI fournit des directives aux ministères sur la façon de déterminer les coûts qui doivent être inclus dans la production de rapports annuels sur les données de la GPA à l’intention du SCT. L’équipe d’audit a constaté que le coût total du soutien par application fait l’objet d’un suivi et d’une mise à jour annuelle dans le cadre de la GPA; toutefois, les responsables des applications ne reçoivent pas suffisamment d’orientation interne sur la manière de s’assurer que le coût total du soutien est déterminé de façon précise et uniforme dans l’ensemble du Ministère. De plus, le Ministère n’examine pas la qualité et l’intégrité des données de la GPA, y compris le coût total du soutien. L’équipe d’audit a examiné le coût total du soutien et a déterminé ce qui suit :

Un coût total du soutien a été indiqué pour seulement 289 (45 %) des 641 applications;
Parmi ces applications, 85 (29 %) ont un coût total du soutien de 13 $ ou moins.

Cette information est importante, car le coût total du soutien est utilisé dans l’analyse T.I.M.E., qui devrait servir à orienter les décisions du Ministère en matière de planification des investissements en GI-TI. En l’absence de processus, d’une orientation et de contrôles efficaces pour la collecte et la mise à jour des données de la GPA, il y a un risque accru que la qualité et l’intégrité des données de la GPA soient réduites, ce qui aura des répercussions négatives sur la qualité de la prise de décisions, plus particulièrement en ce qui concerne les décisions d’investissement en GI-TI.

Dans ses directives sur la gestion de la GPA, le BDPI fournit une orientation claire concernant les applications qui doivent être signalées au SCT. L’équipe d’audit a déterminé que le Ministère ne rend pas compte au SCT de toutes les applications qui correspondent à la définition du BDPI d’une « application opérationnelle » (consultez l’annexe E pour obtenir plus de détails). AMC rend compte d’environ 210 des 641 applications faisant partie de son répertoire. Parmi les applications qui n’ont pas été signalées au SCT, l’équipe d’audit a relevé de nombreuses applications qui répondent à la définition d’application opérationnelle du BDPI.

Enfin, l’équipe d’audit a interrogé des membres du personnel de certaines missions, qui ont indiqué qu’ils n’avaient reçu, de la part du groupe responsable de l’architecture de solutions, aucun rapport concernant ses applications. En raison de l’absence de processus exhaustifs ou de capacités d’analyse pour valider les applications utilisées par le Ministère dans l’ensemble de son infrastructure de TI, l’équipe d’audit a déterminé qu’AMC ne pouvait être certain que le répertoire des applications est complet. Par conséquent, il est probable que le répertoire des applications signalées au SCT n’est ni complet ni exact.

En l’absence d’un processus d’assurance de la qualité des données de la GPA et de rapports exhaustifs sur l’ensemble des applications d’AMC à l’intention du SCT, le Ministère risque de ne pas respecter les exigences du SCT. La présentation de rapports sur seulement une partie du répertoire des applications limite également la surveillance, par AMC, de la majeure partie de sa GPA, puisqu’aucune évaluation n’est effectuée pour les applications qui ne font pas l’objet de rapports au SCT.

En conclusion, l’équipe d’audit a constaté qu’aucun processus ni contrôle permettant de s’assurer que la qualité et l’intégrité des données de la GPA sont appropriées pour la prise de décisions stratégiques n’était en place.

Recommandation 3

Le SMA, Planification ministérielle, finances et technologies de l’information devrait élaborer et mettre en œuvre des processus et des contrôles pour s’assurer que la qualité et l’intégrité des données de la GPA sont appropriées et que toutes les applications sont identifiées en vue de la prise de décisions stratégiques, et pour s’assurer que les applications sont signalées au SCT d’une manière qui respecte les attentes.

Conclusion

coordonner, communiquer, définir et documenter les obligations redditionnelles, les rôles et les responsabilités en matière de GPA;
rendre compte périodiquement de l’état du portefeuille d’applications à la haute direction; mettre en œuvre un processus et des contrôles d’assurance de la qualité pour assurer une meilleure qualité des données de la GPA;
intégrer davantage les données de la GPA aux activités opérationnelles de GITI, comme l’architecture intégrée et la gestion des incidents de TI, la continuité des activités et de la TI, la prise de décisions stratégiques et en matière d’investissement.

Annexe A : À propos de l’audit

Objectif

Gouvernance et surveillance;
Gestion du portefeuille d’applications;
Surveillance et production de rapports.

Portée

L’audit a permis d’évaluer le portefeuille d’applications de TI gérées par le Ministère de façon centralisée ainsi que celles gérées par les missions. La portée était axée sur la gouvernance et la surveillance du portefeuille d’applications, sur la gestion continue de ces applications ainsi que sur le suivi et la production de rapports sur le portefeuille d’applications.

Approche et méthodologie

Pour atteindre l’objectif de l’audit, les méthodes suivantes ont été utilisées pour recueillir des éléments probants :

Analyse des exigences des politiques;
Entrevues avec des représentants ministériels et d’autres ministères;
Analyse des données;
Examen des processus de GPA;
Analyse et consolidation des renseignements;
Autres essais jugés nécessaires.

Critères

Les critères ont été élaborés à la suite de l’évaluation des risques en tenant compte des critères d’audit liés à la politique et aux directives du Conseil du Trésor ainsi que des directives du cadre COBIT (objectifs de contrôle pour la TI) élaborées par l’Association des professionnels de la vérification et du contrôle des systèmes d’information pour la gestion efficace d’un portefeuille d’applications.

Critères d’audit	Sous-critères
1. Un cadre de gouvernance et de gestion efficace est en place pour fournir une orientation stratégique à l’appui de la gestion continue du portefeuille d’applications.	Un plan de gestion du portefeuille d’applications a été élaboré et est examiné et mis à jour régulièrement; ce plan est harmonisé avec l’orientation stratégique du gouvernement du Canada et du Ministère et guidé par celle-ci. Des politiques et des procédures ont été définies, communiquées et mises en œuvre pour orienter la gestion du portefeuille d’applications. Les obligations redditionnelles, rôles et responsabilités relatifs à la gestion du portefeuille d’applications ont été clairement définis et communiqués.
2. Des processus sont en place et mis en œuvre pour gérer efficacement le portefeuille d’applications tout au long de leur cycle de vie.	Des processus sont en place pour veiller à ce que les applications du portefeuille soient gérées de façon appropriée en fonction de leur valeur opérationnelle et de leur état technique. Les coûts d’exploitation pour la gestion du portefeuille d’applications sont déterminés afin d’entretenir et de mettre à niveau les applications du portefeuille. Un processus est en place pour cerner les applications qui présentent un risque élevé pour la sécurité ou la protection des renseignements personnels du Ministère et pour atténuer ces risques rapidement.
3. Un mécanisme efficace de surveillance des données et de production de rapports est en place pour surveiller l’état du portefeuille d’applications.	Des processus de production de rapports pour le portefeuille d’applications ont été définis pour assurer l’uniformité, l’exhaustivité et l’exactitude, en fonction des exigences du SCT et du Ministère en matière de production de rapports. Des mesures du rendement liées à l’état du portefeuille d’applications ont été définies, et des mesures appropriées sont prises en réponse aux résultats présentés.

Annexe B : Modèle de maturité de la gestion du portefeuille d’applications

Le BDPI a défini une échelle de maturité pour la GPA. L’équipe d’audit a déterminé que le Ministère est au niveau de maturité 1.

Modèle de maturité GPA *

Annexe C : Évaluations de la TI vieillissante et analyses T.I.M.E.

Les outils et l’orientation du SCT fournissent des méthodes normalisées de gestion du cycle de vie et d’évaluation de la TI vieillissante que les ministères et les organismes doivent utiliser pour analyser le répertoire des applications afin d’améliorer la gérance des applications, en particulier de celles qui appuient les services ministériels essentiels.

Les applications peuvent être évaluées en fonction d’un certain nombre de facteurs, notamment la valeur opérationnelle des activités prises en charge par l’application, son état technique (qualité) et les coûts de soutien de celle-ci. La détermination de ces facteurs pour une application permet d’effectuer une évaluation de la TI vieillissante et une analyse T.I.M.E. (Tolérer, Innover, Migrer, Éliminer), ce qui aide à orienter la prise de décisions sur le portefeuille et à moderniser le répertoire des applications. Les évaluations permettent de classer les applications dans des catégories et de déterminer dans quelle mesure elles doivent faire l’objet d’une attention particulière.

Annexe D : Portefeuille des applications

Le tableau ci-dessous fournit des renseignements détaillés sur les responsables des applications de TI du Ministère et les coûts de certaines de ces applications.

**Portefeuille des applications de TI d’Affaires mondiales Canada**
	Responsables des applications de TI		Nombre d’applications	Sommaire des coûts*
Administration centrale	SCM	Planification ministérielle, finances et technologies de l’information	346	50 183 823 $
	BFM	Développement du commerce international, investissement et innovation	28	45 000 $
	ACM	Plateforme internationale	31	141 500 $
	CFM	Consulaire Sécurité et GU	12	830 000 $
	LCM	Affaires publiques	10	21 500 $
	IFM	Sécurité internationale et affaires politiques	6	20 000 $
	DSMX	Bureau de gestion du sommet	4	185 000 $
	HCM	Ressources humaines	3	280 000 $
	DMT	Sous-ministre du Commerce international	2	30 431 $
	NGM	Amériques	2	19 500 $
	JFM	Affaires légales	2	Inconnu
	PFM	Politique stratégique	2	Inconnu
	DCL	Direction des relations avec le Cabinet et le Parlement	1	400 000 $
	MFM	Enjeux Mondiaux et du développement	1	Inconnu
	TFM	Politique & négociations commerciales	1	Inconnu
	ZID	Direction générale de l’inspection, de l’intégrité, des valeurs et de l’éthique	1	Inconnu
	Autres ministères	Services partagés Canada et ministères partenaires	33	4 535 000 $
	Sous-total		485	56 691 754 $

Missions	LDN	Haut-commissariat du Canada au Royaume-Uni	6	Inconnu
	PARIS	Ambassade du Canada en France	3	200 000 $
	BRLIN	Ambassade du Canada en Allemagne	3	10 000 $
	WSHDC	Ambassade du Canada aux États-Unis d’Amérique	2	62 000 $
	HANOI	Ambassade du Canada au Viêt-nam	2	Inconnu
	SPALO	Consulat général du Canada à Sao Paulo	2	Inconnu
	DELHI	Haut-commissariat du Canada en Inde	1	75 000 $
	PRET	Haut-commissariat du Canada auprès de l’Afrique du Sud	1	10 000 $
	Autres missions ayant une seule application		11	Inconnu
	Sous-total		31	357 000 $

	Inconnu	Aucun responsable de groupe associé aux applications	125	20 000 $
Total			641	57 068 754 $

Source : Liste des applications transmises par les responsables de l’architecture de solutions

*Les coûts sont inconnus pour certaines applications.

Annexe E : Définition d’une application opérationnelle du BDPI

Les applications opérationnelles doivent présenter toutes les caractéristiques suivantes :

Applications incluses	Applications non incluses
Responsabilité du ministère qui produit le rapport (les baux ou les abonnements à des applications comme les logiciels en tant que service [SaaS] dans le nuage sont compris dans la définition de la responsabilité). Application qui soutient un processus opérationnel, en tout ou en partie, à l’aide d’une interface exclusive ou partagée (par exemple, lorsqu’elle est coordonnée par l’entremise d’un portail); Avec ou sans connexion pour accéder à l’application. N’a pas d’interface utilisateur. Il s’agit d’un service automatisé. Application bureautique seulement, dont la logique et les données sont stockées sur l’ordinateur local, sans connexion à un serveur. Par exemple, les applications créées dans MS Excel, MS Access ou d’autres outils semblables. Logiciel de programmation – outil utilisé pour créer des programmes informatiques, p. ex. compilateur, interpréteur, éditeur de liens, débogueur.	Logiciels système ou de plateforme – programmes utilisés pour faire fonctionner le matériel informatique, p. ex. systèmes d’exploitation, pilotes de périphériques ou outils de diagnostic. Pages Web statiques sans traitement autre que l’affichage de pages Web et la recherche. Système mondial de commandement et de contrôle. Outils Microsoft Office standard (Excel, Word, PowerPoint, etc.) installés sur l’appareil ou offerts par abonnement en tant que SaaS (Office 365).
Exemples d’applications incluses	Exemples d’applications non incluses
Applications développées par le Ministère pour appuyer ses programmes. Applications adaptées par le Ministère pour appuyer ses programmes. Applications conçues à l’aide de FoxPro, Lotus Notes, Excel, Access ou toute autre technologie de base de données. Renseignements d’affaires, entrepôts de données et applications de base de données (sauf la technologie de base de données sous‑jacente). Exemples : Bases de données sur les subventions, les ressources humaines, les politiques, les étudiants, la recherche, les matériaux et les risques, entrepôt de données organisationnelles, entrepôt de données opérationnelles, entrepôt de données de l’organisme, entrepôt de données sur les comptes. Exemples de fonctionnalités de logiciels de programmation : Essais de sécurité des applications et outils d’automatisation Outils d’intégration continue pour le développement de logiciels Outils de contrôle des versions Système de courriel personnalisé Outils de développement, y compris ceux utilisés pour coder les scripts de base de données (p. ex. procédures stockées) Outils de modélisation Outils de déploiement Outils de gestion des problèmes et des billets Outils de gestion de la charge de travail Outils de collaboration Exemples de logiciels de programmation : Microsoft Visual Studio Eclipse Jenkins Hudson AppScan Crystal Reports Git Outils de la suite Developer d’Oracle Microsoft SQL Server Management Studio	Logiciels liés à la sécurité : AppGate Récupération de BitLocker McAfee Agent McAfee HIPS Entrust Verisign Pointsec Technologies de bases de données : Microsoft SQL Server Microsoft SQL Server Reporting Services Système de gestion de bases de données relationnelles (SGBDR) Oracle PostgreSQL

Annexe F : Réponse de la direction et plan d’action

Recommandation découlant de l’audit	Réponse de la direction	Plan d’action de gestion	Secteur responsable	Date d’achèvement prévue
Le SMA, Planification ministérielle, finances et technologies de l’information devrait officialiser et communiquer les obligations redditionnelles, les rôles et les responsabilités, et établir une fonction de coordination pour la gestion des applications tout au long de leur cycle de vie.	La direction est d'accord avec cette recommandation. Des procédures seront mises en place pour indiquer clairement les obligations et les responsabilités des propriétaires d'applications en matière de maintenance des données GPA.	1.1 – Développer une matrice RACI (Responsable – Comptable – Consulté – Informé) révisé pour le processus du cycle de vie de l’APM comprenant des rôles et responsabilités clairs des parties prenantes (propriétaire commercial et technique, équipe de la GPA, coordination de la GPA, modernisation des applications et support) dans la GPA. Ce ERCI devra être approuvé par le Directeur de l’information.	SCM (DSI)	Janvier 2023
		1.2 - Communiquez avec toutes les parties prenantes identifiées dans le ERCI pour vous assurer qu'elles comprennent leurs rôles et responsabilités (R&R). Dans le cadre du R&R, la gouvernance des données sera définie pour tous les propriétaires.	SCM (DSI)	Mai 2023
Le SMA, Planification ministérielle, finances et technologies de l’information devrait élaborer et mettre en œuvre des processus pour améliorer l’état de la GPA et tirer parti des données de la GPA pour la prise de décisions dans le cadre de la planification stratégique numérique et des investissements ainsi que des activités opérationnelles liées à la GPA, comme l’AI, la gestion de la continuité des activités et de la TI et la gestion des incidents de TI.	La direction est d'accord avec la recommandation selon laquelle les données sont rarement exploitées pour la prise de décision, principalement en raison de leur qualité (voir la recommandation no 3 ci-dessous). Les données n'étaient pas destinées à être utilisées pour la gestion des incidents, mais plutôt pour aider à prendre des décisions stratégiques sur les investissements dans les applications, conformément à la définition du SCT.	2.1 - Un examen stratégique de l'architecture d'entreprise (EA) sera établi pour les nouvelles idées afin d'identifier les applications existantes qui pourraient être réutilisées.	SCM (DSI)	Janvier 2023
		2.2 - Les données de la GPA sont déjà disponibles pour tout le monde à AMC via notre portail Power BI. Une fois la qualité des données établie, AMC s'assurera que toutes les parties prenantes savent comment accéder aux données pour leur usage.		Mars 2023
		2.3 - Un tableau de bord trimestriel de la santé des applications sera publié pour chaque direction du ministère et présenté au comité stratégique GI/TI (CSI) pour information.		Mai 2023
		2.4 - Les résultats des évaluations de la TI vieillissante et analyses T.I.M.E. (Tolérer-Innover-Migrer-Éliminer) seront utilisés pour aider à établir les priorités de la modernisation des applications et à fixer les priorités triennales énumérées dans le plan départemental sur le service et le numérique (PMSN).		Avril 2023
		2.5 - Bien qu'elles ne soient pas destinées à être utilisées pour la gestion des incidents, mais plutôt pour la planification des investissements, les données d'APM pourraient être étendues pour aider à gérer la réponse aux incidents. Un examen des données à saisir pour la gestion des incidents et de l'endroit où elles doivent être stockées sera effectué. Cette révision permettra l’améliorer la maturité des informations que nous recueillons sur les demandes.		Septembre 2024
Le SMA, Planification ministérielle, finances et technologies de l’information devrait élaborer et mettre en œuvre des processus et des contrôles pour s’assurer que la qualité et l’intégrité des données de la GPA sont appropriées et que toutes les applications sont désignées en vue de la prise de décisions stratégiques, et pour s’assurer que les applications sont signalées au SCT d’une manière qui respecte les attentes.	La direction convient que la qualité des données de la GPA n'est pas celle à laquelle on pourrait s'attendre. Des rôles et responsabilités clairs seront mis en place, ainsi qu'une formation des propriétaires pour fournir des données de qualité. La qualité des données sera examinée par l'équipe de la GPA et communiquée régulièrement à la direction.	3.1 - Établir le propriétaire de l'entreprise pour chaque application suivie par la GPA et mettre à jour toute autre donnée manquante pour le prochain cycle de mise à jour avec le SCT (y compris au moins la catégorie de sécurité et le coût de soutien, etc.)	SCM (DSI)	Mars 2023
		3.2 - Confirmer que nous rapportons correctement toutes les demandes au SCT et non seulement les demandes sélectionnées, conformément aux directives du SCT.		Mars 2023
		3.3 - Établir une liste de logiciels pour l'évaluation de la TI vieillissante selon les directives du SCT.		Janvier 2023
		3.4 - Veillez à ce que les évaluations de la TI vieillissante et analyses T.I.M.E. soient effectuées pour toutes les demandes et procédez à un examen de la qualité des réponses.		Mars 2023
		3.5 - Établir un examen et un rapport trimestriels sur la qualité des données.		Mars 2023
		3.6 – L'équipe de la GPA contactera toutes les missions par SID directeurs adjoints régionaux (DAR) afin de garantir l'harmonisation des processus d'inventaire des demandes. Itinéraires des fonctions relationnelles existantes des missions PTIs, à la DAR, à l'équipe du navigateur des services informatiques dans la région de la capitale nationale.		Mars 2023

Notes de bas de page

Note de bas de page 1

Politique sur les services et le numérique du CT – Annexe A : Définitions

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Le document « Ambition numérique du Canada 2022 » du CT se trouve à l’adresse suivante : https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/plans-strategiques-operations-numeriques-gouvernement-canada/ambition-numerique-canada.html

Retour à la première référence de la note de bas de page 2

Note de bas de page 3

ISPA – Conformément au guide « BDPI GPA – Guide de la gestion du portefeuille des applications », l’ISPA fournit une indication générale de l’état du portefeuille d’applications du ministère ou de l’organisme concerné. L’ISPA représente le pourcentage d’applications jugées saines en fonction de leur valeur opérationnelle et de leur état sur le plan technique, du financement, de la continuité des activités et de la reprise après sinistre.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Bien que cela n’ait pas été documenté, l’équipe d’audit a produit le tableau suivant qui illustre sa compréhension des obligations redditionnelles, des rôles et des responsabilités en matière de GPA au sein d’AMC..

Retour à la référence de la note de bas de page 4

Date de modification:: 2023-03-21

Sélection de la langue

Recherche