Rapport sur l'état de vieillissement de la TI à l'échelle du gouvernement du Canada

Rapport sur l'état de vieillissement de la TI à l'échelle du gouvernement du Canada

Table des matières

1.0 Sommaire

Le gouvernement fédéral compte dans une grande mesure sur les systèmes de technologie de l'information (TI) pour fournir des programmes et des services aux Canadiens. Certains de ces systèmes sont assez récents, tandis que d'autres sont utilisés depuis plus de 30 ans. Même si ces systèmes plus vieux fonctionnent bien, bon nombre d'entre eux sont des anciennes applications fondées sur des logiciels désuets, appuyés par des ressources techniques de plus en plus rares et par une vieille infrastructure qui coûte de plus en plus cher à faire fonctionner. Ces systèmes sont donc considérés comme susceptibles de ne pas être disponibles de façon soutenue, solide et sûre. Collectivement, ces systèmes sont désignés comme des « systèmes de TI vieillissants ».

Au printemps de 2010, la vérificatrice générale a examiné cinq grandes entités1 afin de déterminer si elles avaient cerné et géré comme il se doit ou non les risques liés à leurs systèmes de TI vieillissants. La vérification a aussi visé à déterminer si le Secrétariat du Conseil du Trésor du Canada, en particulier sa Direction du dirigeant principal de l'information (DDPI), avait prévu une orientation ou pris l'initiative de l'élaboration d'interventions pangouvernementales face aux risques posés par le vieillissement de la TI.

Il a été signalé dans le rapport qui en a résulté que même si les cinq organismes avaient été à la hauteur des attentes au titre de la détermination des risques liés au vieillissement de la TI, des lacunes cruciales avaient été observées dans la manière dont ces entités géraient ces risques. À ce titre, le rapport présentait des recommandations précises en vue de renforcer ces processus.

D'un point de vue pangouvernemental, le rapport a révélé que le vieillissement de la TI n'avait pas été identifié comme un secteur de risque par la DDPI. Même si la DDPI savait que le vieillissement des systèmes de TI représentait un problème, le rapport a révélé qu'elle n'avait pas établi d'orientation stratégique ni formulé de plan visant à s'attaquer à ces problèmes d'un point de vue pangouvernemental.

En réaction à ces constatations, la DDPI a pris l'engagement de fournir deux produits livrables :

  • Une évaluation de l'état de vieillissement des systèmes de TI qui constituent un risque important pour le gouvernement.
  • Un plan qui établit l'orientation stratégique afin de permettre au gouvernement d'atténuer les risques cernés à l'étape de l'évaluation.

Le présent rapport s'attaque au premier produit livrable de la réponse du Secrétariat à la vérification de la vérificatrice générale, mettant en relief les constatations d'une évaluation menée auprès de 98 ministères2 entre juillet et décembre 2010.

Pour l'évaluation, la DDPI a demandé que ces 98 organismes fournissent un inventaire de leurs systèmes (y compris une détermination de ceux qui sont jugés indispensables), procèdent à des évaluations des risques par rapport à ces systèmes, et fassent rapport de leurs plans visant à s'attaquer aux risques cernés. En tout, 66 ministères ont remis leurs inventaires, 50 ont mené des évaluations des risques et 48 ministères ont fait rapport au sujet de leurs résultats et de leurs plans, ce qui a fourni à la DDPI assez de données pour établir une représentation assez juste de l'état global de nos systèmes de TI dans l'ensemble du gouvernement du Canada.

Les inventaires ministériels ont révélé ce qui suit :

  • Il existe plus de 16 000 systèmes distincts appuyant l'exécution des mandats ministériels, dont 2 100 qui sont réputés indispensables. Un bon nombre de ces systèmes indispensables sont considérés comme étant à risque en raison de leur vieillissement.
  • 130 de ces systèmes vieillissants considérés comme étant à risque élevé appuient directement la prestation de services aux entreprises ou aux particuliers canadiens.

Des systèmes indispensables à risque élevé sont tenus à jour dans 24 des ministères répertoriés. Les plans d'investissement et les ressources visant à moderniser les actifs de TI dans ces organismes peuvent être résumés comme suit :

  • 11 ministères ont déclaré qu'un financement de 1 278 685 110 $ avait été confirmé relativement à la plupart des systèmes indispensables à risque élevé;
  • 7 ministères ont déclaré qu'ils avaient besoin d'un financement de 102 186 000 $ pour un petit sous-ensemble mais n'ont pas précisé si le financement avait été confirmé;
  • 10 ministères n'ont pas mentionné les coûts ou les fonds requis pour les autres systèmes indispensables à risque élevé figurant dans leur inventaire.

Même si l'évaluation de la DDPI n'a pas été menée avec la même rigueur qu'une vérification, les constatations appuient les conclusions de la vérificatrice générale et suggèrent que ses observations peuvent être appliquées à l'ensemble du gouvernement du Canada, en particulier :

  • la plupart des entités fédérales n'ont pas évalué de façon officielle et systématique les risques liés au vieillissement de leurs actifs de TI;
  • l'absence de plans d'action, de sources et d'options de financement confirmés pour certains systèmes indispensables à risque élevé suggèrent que la haute direction pourrait ne pas pouvoir évaluer pleinement les risques résultant du vieillissement des systèmes de TI;
  • les ministères n'ont pas de plans d'investissement pluriannuels financés qui concilient à la fois les investissements obligatoires et discrétionnaires pour appuyer les actifs de TI existants et pour réagir aux besoins opérationnels changeants;
  • la pratique de gestion de portefeuille panministérielle doit être adoptée ou renforcée dans la majorité des entités fédérales.

Même si bon nombre des systèmes à risque sont propres à un programme et ne peuvent être examinés que par les organismes responsables de leur prestation, l'inventaire confirme qu'un grand nombre d'organismes ont effectué des investissements semblables dans des actifs de TI afin de satisfaire à des besoins communs. Si peu de ces systèmes communs ont été mis au jour comme des systèmes indispensables posant un risque élevé, un certain nombre d'entre eux présentent des risques moyens. Il s'agit d'une bonne occasion pour les ministères de collaborer stratégiquement et de tirer profit des investissements existants et prévus en se penchant tout particulièrement sur le regroupement des nombreux systèmes qui satisfont au même besoin opérationnel. Cette stratégie permettra aux ministères de réaffecter des fonds aux systèmes qui leur sont propres.

En outre, les réponses des entités fédérales révèlent que la durabilité de la TI n'est pas incorporée aux exigences des processus ministériels de gestion des investissements. Lorsque les ministères décident d'investir dans la TI, ils ne sont pas entièrement conscients des engagements financiers et des projets qui devront être réalisés à l'avenir pour appuyer la valeur de l'investissement initial. Cette situation s'est même produite dans des organismes à haut rendement, comme à l'Agence du revenu du Canada qui a demandé des fonds supplémentaires provenant du cadre financier pour son programme correctif échelonné sur 10 ans. Cela montre à quel point il peut être difficile d'assurer la durabilité à très long terme même après des années de planification minutieuse et d'investissements.

La Politique de planification des investissements —Actifs et services acquis instaurée en 2009 exige que les administrateurs généraux veillent à ce que leurs plans d'investissement tiennent compte des coûts du cycle de vie des actifs et services acquis à partir de leurs niveaux de référence. Pour les systèmes de TI, cela exigera une orientation additionnelle en TI, un soutien stratégique et des orientations de la DDPI, afin de permettre aux ministères d'harmoniser leurs plans et stratégies de TI avec la prochaine stratégie de modernisation de la TI de l'ensemble du gouvernement du Canada.

Enfin, l'information recueillie aux fins de la rédaction du présent rapport, avec les consultations ciblées et un examen des instruments stratégiques de TI existants, éclairera la prochaine composante de la réponse du Conseil du Trésor du Canada au rapport de la vérificatrice générale sur le vieillissement de la TI.

2.0 Introduction

2.1 Vérification du Bureau du vérificateur général

Le gouvernement du Canada compte énormément sur les systèmes de TI, non seulement pour fournir ses programmes et services à la population canadienne, mais aussi pour s'administrer. À l'instar de tout autre bien, les systèmes, l'infrastructure et le matériel de TI ont une durée de vie limitée et doivent être renouvelés ou remplacés au fil des ans afin de s'assurer qu'ils continuent de faire fonctionner efficacement le programme ou le service qu'ils appuient.

La durée de vie d'un bien informatique varie et ne se mesure pas exclusivement en nombre d'années.  Des changements radicaux dans la façon dont le gouvernement doit mener ses activités, les changements technologiques et les coûts changeants des intrants peuvent à eux seuls ou ensemble provoquer le vieillissement ou la détérioration des systèmes de TI.

Au nombre des problèmes pouvant être causés par le vieillissement des systèmes de TI, mentionnons le risque et les conséquences d'une panne totale ou partielle des systèmes, le risque et l'incidence d'obtenir des résultats erronés, le coût et les répercussions de l'inflexibilité et l'effet des coûts d'entretien croissants.

Dans le chapitre 1 du rapport du Bureau du vérificateur général au Parlement du printemps 2010, la vérificatrice générale s'est penchée sur la question de savoir si cinq entités3 fédérales avaient adéquatement examiné et géré les risques liés aux systèmes de TI vieillissants et si la Direction du dirigeant principal de l'information (DDPI) du Secrétariat du Conseil du Trésor du Canada avait fourni des orientations ou assumé son rôle de chef de file dans l'élaboration de solutions d'ensemble pour gérer les risques connexes.

Voici en gros les cinq préoccupations de la vérificatrice générale :

  • il faut raffermir les pratiques de gestion des ministères relativement à l'évaluation, au suivi et au traitement des risques liés au vieillissement de la TI;
  • les ministères ont besoin de stratégies pluriannuelles financées pour composer avec les risques actuels et ultérieurs liés au vieillissement de la TI;
  • la DDPI doit rehausser sa compréhension du risque à l'échelle du gouvernement du Canada en ce qui a trait au vieillissement de la TI, et concevoir des stratégies opportunes pour le gouvernement du Canada dans l'ensemble;
  • il existe un besoin pour une orientation stratégique relativement aux investissements en TI et à la gestion du risque au sein du gouvernement du Canada;
  • les ministères sont dépourvus de la capacité d'acquérir les fonds nécessaires pour régler eux-mêmes les risques auxquels ils s'exposent en ce qui concerne le vieillissement de la TI.

La vérificatrice a formulé des recommandations précises pour quatre des cinq entités ministérielles ainsi que pour le Secrétariat (tableau 1). Toutes les entités ont accepté les recommandations.

Le rapport ne présentait pas de recommandations se rapportant à l'Agence du revenu du Canada (ARC) puisque, tel que rapporté  dans le rapport de la vérificatrice générale de décembre 2008 sur La gestion des investissements dans les TI, l'ARC avait déjà commencé à apporter des améliorations à ses pratiques de gestion des investissements de TI. Elle a depuis terminé son inventaire des applications de TI (y compris une évaluation de leur durabilité et du risque connexe) et l'élaboration de son plan d'investissement stratégique. Ces mesures ont donné lieu à la création du programme correctif de 10 ans mentionné par la vérificatrice générale dans son chapitre sur le vieillissement de la TI.

Le tableau 1 résume les recommandations issues du rapport du printemps 2010 de la vérificatrice générale.

Tableau 1. Recommandations sur la gestion des investissements dans les TI tirées du Printemps  2010 - Rapport de la vérificatrice générale du Canada
Gestion des risques
  • (Chaque ministère) devrait adopter une approche axée sur la gestion de portefeuille pour l'ensemble du ministère afin de veiller à cibler les investissements dans les TI actuels et prévus qui favorisent le plus l'atteinte des objectifs opérationnels, avec un niveau de risque acceptable et à un coût raisonnable.
  • (Chaque ministère) devrait élaborer un plan d'investissement pluriannuel dans les TI qui assure un bon équilibre entre les investissements obligatoires, de maintien et discrétionnaires requis pour appuyer les systèmes en place et améliorer la prestation des services.
Surveillance des risques
  • (Chaque ministère) devrait élaborer un plan d'action pour chaque risque important lié au vieillissement des systèmes de TI. Le plan devrait comprendre les stratégies précises, les activités clés, les produits à livrer et les échéances nécessaires pour gérer ces risques. Ces entités devraient soumettre des rapports périodiques de leurs progrès à la haute direction.
Stratégie de financement
  • (Chaque ministère) devrait préparer une stratégie de financement appropriée. Cette stratégie devrait présenter des options d'investissement ou des scénarios qui tiennent compte des sources de financement les plus probables au cours de la période de planification quinquennale.
Détermination et gestion des risques par le Secrétariat du Conseil du Trésor du Canada
  • La Direction du dirigeant principal de l'information (DDPI) du Secrétariat du Conseil du Trésor du Canada devrait assumer son rôle de chef de file en recueillant et en analysant l'information pertinente permettant d'évaluer l'état des systèmes de TI vieillissants à l'échelle du gouvernement. La DDPI devrait préparer un rapport faisant état de son évaluation et des estimations de coûts connexes pour l'ensemble du gouvernement. Elle devrait également, en consultation avec les administrateurs généraux, dresser un plan définissant les orientations stratégiques pour les TI au gouvernement en vue d'atténuer, de façon durable, les risques liés aux systèmes de TI vieillissants.

2.2 Plan d'action du Secrétariat du Conseil du Trésor du Canada

En réponse aux constatations de la vérificatrice générale, la DDPI s'est engagée à travailler avec les ministères pour mettre au point les deux produits livrables suivants :

  • Une évaluation de l'état de vieillissement des systèmes de TI qui constituent un risque important pour le gouvernement.
  • Un plan qui établit l'orientation stratégique afin de permettre au gouvernement d'atténuer les risques cernés à l'étape de l'évaluation.

Le présent rapport représente le premier produit livrable et repose sur l'analyse des renseignements fournis par les ministères.

2.3 Méthodologie du Secrétariat du Conseil du Trésor du Canada

Afin de produire l'évaluation présentée dans le premier produit livrable, entre juillet et décembre 2010, la DDPI a demandé à 98 ministères4 de :

  • fournir un inventaire de leurs systèmes de TI classés en fonction des 19 objectifs opérationnels préétablis;
  • effectuer des évaluations des risques liés à leurs systèmes de TI qui jouent un rôle très important dans la réalisation de leur mandat (pas seulement les systèmes indispensables5);
  • réaliser des évaluations des risques liés aux composantes de l'infrastructure de TI;
  • inviter les membres de la haute direction à participer à une discussion sur les évaluations des risques par rapport au profil de risque ministériel;
  • intégrer au plan d'investissement ministériel les décisions prises pour atténuer les risques, le cas échéant;
  • fournir à la DDPI un rapport présentant les résultats de ces activités.

2.3.1 Principes de la méthodologie

Cette méthodologie avait été conçue pour :

  • présenter la pratique de la gestion du portefeuille des applications  aux organismes qui ne l'avaient pas encore adoptée;
  • fournir aux ministères qui n'en avaient pas quelques outils d'évaluation des risques;
  • encourager les membres de la haute direction des ministères à discuter des risques liés au vieillissement de la TI ayant une incidence sur la prestation des programmes et services importants pour la mise en œuvre du mandat de l'organisation.
Gestion du portefeuille des applications

Le processus de gestion du portefeuille des applications sert à comprendre l'inventaire de systèmes (applications)6 d'une organisation classés selon la fonction opérationnelle qu'ils appuient et à évaluer la valeur de ces applications ainsi que leurs risques. La gestion du portefeuille des applications permet ainsi de déterminer les cas de double emploi (plusieurs applications affectées à la même fonction opérationnelle), s'il existe des lacunes et, selon les résultats de l'évaluation de la valeur et des risques, de savoir à quel endroit il faut investir les ressources.

Puisqu'il existe une multitude de méthodes pour mettre en œuvre la gestion du portefeuille des applications, le gouvernement du Canada a jugé qu'il n'était pas nécessaire d'adopter une méthode unique qui serait utilisée par tous les ministères. Même si certains ministères, incluant l'ARC, avaient mis en œuvre une version de la gestion du portefeuille des applications, d'autres n'avaient rien mis en place.

À la lumière des importants travaux menés par l'ARC, la DDPI a appliqué sa méthode et, orientée par les intrants et les observations obtenues des entités et des autres ministères par suite de la vérification de 2010, elle l'a adaptée afin de tenir compte des différentes façons dont elle est comprise et appliquée dans l'ensemble du gouvernement du Canada. Cette adaptation a mis l'accent sur l'aspect crucial de la classification des systèmes en une seule et même série de fonctions ou d'objectifs opérationnels afin d'assurer la cohérence des rapports provenant de tous les ministères.

Les 19 objectifs opérationnels prédéfinis servant à comprendre l'adaptation du Secrétariat de la gestion du portefeuille des applications étaient fondés sur le Modèle de référence stratégique des gouvernements canadiens, mais ont été modifiés afin qu'ils soient plus faciles à comprendre par les ministères.

Évaluations des risques

Puisque certains ministères utilisaient déjà un certain nombre d'outils d'évaluation des risques, la DDPI leur a permis de continuer de le faire, et elle a mis l'accent sur l'élaboration d'un outil informatisé pour ceux qui n'avaient pas déjà d'outil en place.

La recherche sur les outils d'évaluation des risques a révélé trois perspectives de base par lesquelles un système peut être examiné :

  • la perspective opérationnelle;
  • la perspective du fonctionnement et de l'entretien;
  • perspective de l'harmonisation avec l'architecture.

En élaborant une série de questions pour chacune de ces trois perspectives, le Secrétariat a réussi à établir une méthodologie normalisée7 pour aider les organisations à révéler l'information nécessaire pour évaluer avec justesse les risques de leurs applications.

Mobilisation de la haute direction

Nous avions demandé aux ministères de s'assurer que les membres de la haute direction discutent des systèmes indispensables jugés à risque élevé suite à leur évaluation afin que ces systèmes soient ajoutés à leur profil de risque et à leur plan d'investissement ministériels.

Les ministères avaient aussi été invités à remettre à la DDPI un rapport présentant les résultats de leur inventaire et de leur classification, leurs évaluations des risques et les décisions liées au plan ministériel de gestion des risques et au plan ministériel d'investissement.

La DDPI avait demandé que ces rapports soient signés par le dirigeant principal de l'information (DPI) et le dirigeant principal des finances (DPF). La signature du DPF a été exigée en guise d'indicateur supplétif selon lequel les membres de la haute direction du ministère avaient discuté des risques relevés, des plans d'action et des stratégies de financement. Les DPF n'avaient pas à certifier les données financières figurant dans les rapports.8

Tableau 2. Sommaire des principales constatations
Besoins d'évaluation Non. de ministères Principales constatations
Inventaire 66 16 000 systèmes (dont 12 000 ou 75 %, sont des systèmes administratifs)
Évaluation des risques 50 4 300 systèmes assortis d'évaluations des risques
Systèmes indispensables 47 2 100 systèmes classés comme étant indispensables
À risque en raison de leur vieillissement 24 553 systèmes en tout désignés comme étant à risque (élevé, moyen, faible et non défini)
Plans d'investissement 24 24 ministères ont déclaré tous les systèmes indispensables à risque élevé, relativement auxquels un financement de 1 278 685 110 $ avaient été confirmé, tandis qu'une somme de 102 186 000 $ est jugée nécessaire, mais n'a pas été nécessairement confirmée :9
  • 11 ministères ont déclaré qu'un financement avait été confirmé relativement aux systèmes indispensables à risque élevé;
  • 7 ministères ont indiqué que des fonds étaient requis pour des systèmes indispensables à risque élevé;
  • 10 ministères n'ont pas mentionné les coûts ou les fonds requis pour les systèmes indispensables à risque élevé figurant dans leur inventaire.
Sommaires des constatations et plans 48 (rapports présentés) 34 ont été signés par les DPF

3.0 Évaluation

3.1 Inventaire

Soixante six des 98 ministères invités ont fourni des inventaires. Un seul des agents du Parlement invités, le Bureau du vérificateur général, a remis un inventaire.

Tous les grands et la plupart des ministères de taille moyenne, répertoriés aux fins du Cadre de responsabilisation de gestion (CRG), ont remis un inventaire.

Un inventaire de plus de 16 000 systèmes de tailles, de risques et de degrés de complexité divers a donc été établi pour l'ensemble des 19 objectifs opérationnels. Même si cet exercice ne doit pas être considéré comme un inventaire absolu des systèmes utilisés au sein du gouvernement du Canada, l'évaluation aura permis de répertorier la plupart des systèmes importants.

À titre de renseignements d'inventaire, pour la plupart des systèmes, les ministères n'ont fourni que le nom du système et l'objectif opérationnel auquel il est affecté. Il y avait peu de temps pour analyser en détail tous les systèmes énumérés pour chacun des objectifs opérationnels, puisque c'est à la prochaine étape que l'accent sera mis sur cet aspect.

Une liste des systèmes par objectif opérationnel se trouve à l'annexe A.

3.1.1 Observations

Les ministères investissent séparément pour s'attaquer aux besoins opérationnels dans l'ensemble du gouvernement du Canada

Même s'ils ne sont pas nécessairement désignés comme étant à risque élevé, des ministères achètent, élaborent et mettent en œuvre des solutions uniques d'opérations administratives, comme les objectifs opérationnels de la gestion des ressources humaines (RH)) et de la gestion financière, plutôt que de profiter d'une solution commune pour l'ensemble de l'organisation. Par exemple, un sous-ensemble de 54 ministères interrogés ont révélé que près de 800 systèmes ont été mis en œuvre en matière de gestion des RH et qu'environ 500 systèmes différents sont liés à la gestion financière.

Même si plusieurs des systèmes des RH pourraient être classés comme des « systèmes de base », près de 700 d'entre eux ont été mis au point et adaptés distinctement pour fournir des services spécialisés en RH, comme la gestion du rendement, la gestion des congés, l'établissement des horaires de travail par quarts et la gestion des relations de travail.

Dans le domaine des systèmes financiers, il existe un mélange d'« administration financière ministérielle de base » et de systèmes financiers de secteurs d'activité, comme le travail de caisse (sous diverses formes).

Systèmes administratifs

Environ 12 000 des 16 000 systèmes déclarés touchent des fonctions administratives, ce qui pourrait suggérer que dans l'ensemble, le total des dépenses en TI affectées aux systèmes pourrait être rééquilibré entre l'exécution des programmes et l'administration. Pour les systèmes de secteurs d'activité, il a été signalé que dans certains cas, quelques ministères représentaient la totalité des systèmes répertoriés au titre de quelques objectifs opérationnels. Par exemple, cinq ministères représentent à eux seuls les quelque 200 systèmes qui ont été associés à l'objectif opérationnel du déplacement de gens. De même, huit ministères ont répertorié plus de 250 systèmes liés à l'objectif opérationnel de la prestation de soins de santé.

3.2 Évaluations des risques

Des 66 ministères ayant fourni de l'information sur leur inventaire, 50 ont indiqué qu'ils avaient effectué au total plus de 4 300 évaluations des risques. Certains ministères ont déclaré qu'ils avaient évalué les risques se rapportant à l'ensemble de leur inventaire; d'autres ont axé leur évaluation sur les systèmes indispensables. Ensemble, quarante-sept ministères ont relevé plus de 2 100 systèmes indispensables et ont déterminé que 553 d'entre eux posaient des risques en raison du vieillissement.

3.2.1 Systèmes indispensables à risque élevé

La totalité des systèmes indispensables ayant été répertoriés comme constituant un risque élevé en raison du vieillissement sont importants en raison des fonctions qu'ils permettent d'effectuer aux fins de la prestation de services aux Canadiens. Les quatre principaux objectifs opérationnels étaient les suivants :

  • Conformité aux lois et règlements, appuyé par la majorité des systèmes;
  • Fournir des fonds, appuyé par 18 systèmes;
  • Sécurité des Canadiens, appuyé par 15 systèmes;
  • Gestion financière, appuyé par 11 systèmes, dont 2 systèmes de gestion financière de base et les autres considérés comme étant propres à une activité.

3.2.2 Systèmes indispensables à risque moyen

Parmi les systèmes ayant été répertoriés comme présentant un risque moyen par 18 organismes, les quatre principaux objectifs opérationnels étaient les suivants :

  • Conformité aux lois et règlements, appuyé par la majorité des systèmes;
  • Fournir des fonds, appuyé par 37 systèmes;
  • Sécurité des Canadiens, appuyé par 15 systèmes;
  • Conclusions, appuyé par 12 systèmes.

3.2.3 Autres risques

Il a été établi que 80 systèmes comportaient un risque faible.

Cinquante-quatre autres systèmes ont été répertoriés comme étant à risque, mais les ministères n'ont pas indiqué le niveau de risque ni fourni de calendrier d'exécution d'une évaluation des risques.

Quelques ministères ont déclaré qu'aucun de leurs systèmes indispensables n'était à risque.

3.3 Gestion des risques, plans d'action et plans d'investissement ministériels

Les plans d'investissement visant à moderniser les actifs de TI dans les 24 ministères déclarant un total de 228 systèmes indispensables à risque élevé peuvent être résumés comme suit :

  • 11 ministères ont déclaré qu'un financement de 1 278 685 110 $ avait été confirmé relativement aux systèmes indispensables à risque élevé. De ce montant, l'ARC recevra 655 750 000 $ et la Défense nationale obtiendra 515 547 000 $;
  • 7 ministères ont indiqué que les fonds requis pour les systèmes indispensables à risque élevé s'établissaient à 102 186 000 $, mais n'ont pas précisé si le financement avait été confirmé;
  • 10 ministères n'ont pas mentionné les coûts ou les fonds requis pour les systèmes indispensables à risque élevé figurant dans leur inventaire.

Comme le mentionnait le rapport de la vérificatrice générale, l'ARC a mis en place un Programme de durabilité des applications complet incorporé à un plan d'investissement de 10 ans. Ensemble, les niveaux de référence et les fonds provenant du cadre financier font en sorte que l'ARC dispose d'environ 655 millions de dollars à investir sur dix ans.

Ressources humaines et Développement des compétences Canada (RHDCC) a établi que le vieillissement de la TI constitue l'un de ses cinq principaux risques opérationnels, une situation qui préoccupe le conseil de gestion du ministère. En réponse à la recommandation 1.7110 formulée dans le rapport de la vérificatrice générale, RHDCC aura achevé son plan d'investissement dans la TI pour 2012-2015 et sa stratégie de financement connexe en octobre 2011. Le Conseil de gestion du ministère a déjà approuvé cinq projets clés visant à renouveler et à moderniser l'infrastructure vieillissante du ministère.

3.4 Sommaire des constatations et plans ministériels

Les ministères avaient été invités à remettre un rapport présentant les résultats de leur inventaire et de leur classification, leurs évaluations des risques, ainsi que les décisions liées au plan ministériel de gestion des risques et au plan ministériel d'investissement.

Il avait été demandé que ces rapports soient signés par le DPI et le DPF en guise d'indicateur supplétif selon lequel les membres de la haute direction du ministère avaient discuté des risques relevés, des plans d'action et des stratégies de financement. Les DPF n'avaient pas à certifier les données financières figurant dans les rapports.

Sur les 66 ministères ayant remis leur inventaire, 48 ont produit un rapport sous une forme ou une autre, dont 34 avaient été signés par les DPF ministériels.

4.0 Constatations

Par suite de cette évaluation, la DDPI a constaté ce qui suit :

  • De nombreux ministères prennent des mesures pour gérer leurs portefeuilles d'applications de TI et les risques qui y sont associés. Par exemple, après avoir convenu de fusionner les services de TI de la Commission des libérations conditionnelles du Canada et ceux du Service correctionnel Canada, ce dernier a établi un objectif de réduction de ses systèmes de 50 % et l'a atteint le 31 mars 2010.
  • Bon nombre de DPI ont entamé l'élaboration de programmes d'architecture ou renforcent leurs programmes afin d'en réduire la complexité et les coûts ainsi que de mieux répondre aux besoins opérationnels.
  • Certains ministères avaient déjà une bonne connaissance de leur inventaire avant que la DDPI leur demande de le fournir, mais pour de nombreux ministères, il s'agissait de la première fois qu'ils dressaient l'inventaire de leurs systèmes et pour la majorité des organisations, ce fut l'occasion de classer leurs systèmes en fonction des objectifs opérationnels qu'ils appuyaient.
  • Avant que la DDPI demande aux ministères de participer à l'évaluation pangouvernementale, la plupart d'entre eux ne disposaient pas de processus ou d'outils leur permettant d'évaluer systématiquement les risques liés à leurs principaux systèmes pour le profil de risque global des ministères. Pour de nombreux organismes, il était manifeste que le processus d'adoption dans l'ensemble du ministère d'une approche permettant de comprendre le risque lié au vieillissement de la TI n'était pas bien développé.
  • Des 98 ministères qui devaient fournir des renseignements, ce sont les petits ministères (selon la classification utilisée pour le CRG) qui accusent le taux de réponse le plus faible. Les risques liés au vieillissement de la TI dans ce groupe nécessitent une évaluation plus approfondie.
  • Dans l'ensemble, la qualité des rapports déposés variait; certains étaient très bien faits et présentaient les résultats d'une solide compréhension et d'un examen approfondi, tandis que d'autres étaient incomplets et témoignaient d'un manque de compréhension de la valeur et de l'importance de bien évaluer et gérer les risques associés au vieillissement de la TI, ou n'avaient pas encore mis en œuvre de processus montrant qu'ils l'avaient fait.

4.1 Difficultés en matière de durabilité

Le défi pour les ministères consiste à adopter des pratiques durables permanentes, y compris à établir des plans d'investissement et des sources de financement. De tels plans empêchent les ministères d'atteindre des points critiques, comme nous le constatons aujourd'hui à l'ARC et à RHDCC où des plans de mesures correctives échelonnés jusqu'à concurrence de dix ans sont requis. À l'inverse, des organismes plus récents, comme l'Agence canadienne d'inspection des aliments, ont l'occasion d'intégrer la durabilité à leurs processus dès maintenant afin de se préparer au renouvellement éventuel de leurs actifs de TI.

Dans le cas de certains ministères, le défi de la durabilité est plus grand et complexe en raison de la nature en changement constant de leurs priorités et des activités qu'ils mènent. Cela s'applique à l'Agence des services frontaliers du Canada, à RHDCC (assurance emploi et Régime de pensions du Canada), à l'ARC (impôt et prestations), ainsi qu'à Santé Canada et à l'Agence canadienne d'inspection des aliments (santé et salubrité des aliments).

L'ARC était la plus avancée, et elle était déjà bien consciente des difficultés en matière de durabilité de ses systèmes de TI. L'ARC avait créé le Programme de durabilité des applications, qui est mentionné dans le rapport de la vérificatrice générale du printemps de 2010. 11

5.0 Conclusions générales

Même si l'évaluation de la DDPI n'a pas été menée avec la même rigueur qu'une vérification, les constatations appuient les conclusions de la vérificatrice générale et suggèrent que ses observations peuvent être appliquées à l'ensemble du gouvernement du Canada, en particulier :

  • la plupart des entités fédérales n'ont pas évalué de façon officielle et systématique les risques liés au vieillissement de leurs actifs de TI;
  • l'absence de plans d'action, de sources et d'options de financement confirmés pour certains systèmes indispensables à risque élevé suggèrent que la haute direction pourrait ne pas pouvoir évaluer pleinement les risques résultant du vieillissement des systèmes de TI;
  • les ministères n'ont pas de plans d'investissement pluriannuels financés qui concilient à la fois les investissements obligatoires et discrétionnaires pour appuyer les actifs de TI existants et pour réagir aux besoins opérationnels changeants;
  • la pratique de gestion de portefeuille panministérielle doit être adoptée ou renforcée dans la majorité des entités fédérales.

L'inventaire fourni par les ministères, même s'il était simple, confirme ce que nous savions déjà : un grand nombre d'organismes ont investi dans des actifs de TI pour répondre à des besoins identiques ou similaires. Si peu de ces systèmes communs ont été mis au jour comme des systèmes indispensables posant un risque élevé, un certain nombre d'entre eux présentent des risques moyens. Il s'agit d'une bonne occasion pour les ministères de collaborer stratégiquement et de tirer profit des investissements existants et prévus en se penchant tout particulièrement sur le regroupement des nombreux systèmes qui satisfont au même besoin opérationnel.

6.0 Prochaines étapes

Pour s'attaquer au deuxième produit livrable de la réponse du Secrétariat à la vérification de la vérificatrice générale, la prochaine étape, pour la DDPI, consiste à établir une orientation stratégique pangouvernementale en matière de TI aux fins du renouvellement, de la gestion continue et du soutien des systèmes de TI au gouvernement du Canada dans la prochaine décennie. La stratégie de modernisation, qui sera déposée au printemps de 2012, concilie les besoins qu'ont les ministères de financer le renouvellement de leurs systèmes de TI indispensables vieillissants et le besoin additionnel d'appuyer et de renouveler les systèmes administratifs de TI.

Tel qu'indiqué plus tôt dans le présent rapport, jusqu'à 75 % de tous les systèmes sont affectés à ces systèmes administratifs, alors que seulement 25 % d'entre eux sont propres à un ministère. En outre, tous les systèmes indispensables à risque élevé répertoriés par les ministères sont propres à un ministère – c'est-à-dire qu'ils ne font pas partie des opérations administratives. Compte tenu des pressions actuellement exercées sur les budgets ministériels en raison de l'examen en suspens, les ministères ne pourraient financer le renouvellement à la fois de leurs portefeuilles de systèmes administratifs et de leurs systèmes ministériels. Le vaste portefeuille d'applications de TI diverses et vieillissantes du gouvernement du Canada, jumelé aux pressions budgétaires croissantes, a constitué le catalyseur d'une nouvelle stratégie de TI qui équilibre ces pressions concurrentielles tout en atténuant le risque associé au vieillissement de la TI, et qui atténuera l'incidence du financement du renouvellement des systèmes de TI dans l'ensemble du gouvernement du Canada.

6.1 Perspective pangouvernementale de la planification des investissements

Les occasions de tirer profit des investissements existants ou prévus sont déjà évidentes, tout particulièrement dans les domaines des RH et des finances. D'autres possibilités ont été proposées dans le cadre des discussions tenues avec les différents ministères qui doivent relever le même défi opérationnel (comme les subventions et contributions ou des solutions liées à la gestion des cas pour les petits ministères).

La stratégie de modernisation de la TI exige la normalisation et le regroupement des systèmes administratifs de TI dans l'ensemble du gouvernement du Canada, comme principal moyen de libérer des ressources ministérielles de TI de façon à pouvoir les réaffecter au renouvellement de systèmes ministériels indispensables vieillissants, conformément aux plans ministériels. Ce plan, qui constitue la stratégie de modernisation de la TI du gouvernement du Canada, a été élaboré dans le dernier exercice et il a été éclairé par le résultat des travaux sur le vieillissement de la TI, les travaux menés sur la transition des services d'infrastructure de la TI vers Services partagés Canada, et par les travaux effectués par la DDPI avec les équipes spéciales ministérielles au sujet des portefeuilles d'applications le printemps et l'été derniers. Outre le dépôt de la Stratégie de modernisation de la TI du gouvernement du Canada, la DDPI mettra à jour, dans le prochain exercice, sa série de politiques afin d'assortir cette stratégie des instruments de politique nécessaires et des orientations à l'appui. Ces instruments aideront les ministères :

  • à s'attaquer au renouvellement et à la mise à jour continue des systèmes indispensables de TI, notamment à faire évoluer leurs processus de gestion du portefeuille des applications, de manière à inclure des évaluations systématiques annuelles des risques et l'optimisation de leurs pratiques de gestion de la TI;
  • à faire connaître leurs constatations de sorte qu'elles soient dûment prises en compte par la haute direction dans le cadre de la détermination des processus de gestion des risques organisationnels et de l'élaboration des plans d'investissement dans la TI;
  • à migrer vers une série de systèmes administratifs modernisés et renouvelés, opérés suivant un modèle de prestation par regroupements dans le cadre duquel les plus grands ministères prennent la tête des regroupements, et les autres deviennent des participants;
  • à planifier, surveiller et gérer de nouvelles mises en œuvre de systèmes suivant un cadre plus défini de normes et d'architecture de la gestion de l'information et de la TI, et à améliorer le processus décisionnel pour les nouveaux investissements dans la TI en veillant à ce que les futurs coûts du renouvellement continu soient inclus dans les analyses de rentabilisation.

Annexe A : Résumé des objectifs opérationnels

Voici une ventilation de l’inventaire des systèmes du gouvernement du Canada classés par les ministères dans l’un des 19 objectifs opérationnels préétablis. Les objectifs opérationnels sont décrits à l’annexe D.

Objectif opérationnel Total Nombre de ministères
* Si l’objectif opérationnel de près de 20 % de tous les systèmes déclarés pour les besoins de l’inventaire n’a pas été défini, nous sommes persuadés que les ministères ont déclaré et classé leurs plus importants systèmes.
Services d’approvisionnement 135 18
Services de communications 613 43
Gestion financière 502 53
Prestation de soins de santé 255 8
Gestion des ressources humaines 776 54
Services de gestion de l’information 3 039 58
Services de technologie de l’information 2 372 49
Justice 9 4
Services juridiques 42 16
Conformité aux lois et règlements 1 098 41
Services de gestion et de surveillance 729 37
Services de gestion du matériel 426 21
Sécurité nationale et défense 367 11
Déplacement de gens 195 5
Fournir des fonds 335 19
Biens immobiliers 255 24
Sécurité des Canadiens 776 16
Science et recherche 812 17
Déplacements et autres services administratifs 240 27
Non défini* 3 189 13
Total 16 165 s.o.

Annexe B : Aperçu de l'inventaire

Figure 1. Nombre total d’applications selon l’objectif opérationnel
Figure 1. Nombre total d’applications selon l’objectif opérationnel. Version textuelle ci-dessous:
Figure 1. Nombre total d’applications selon l’objectif opérationnel - Version textuelle
Objectif opérationnel Total Nombre de ministà¨res
Services d’approvisionnement (135) 135 18
Services de communications (613) 613 43
Gestion financià¨re (502) 502 53
Prestation de soins de santé (255) 255 8
Gestion des resources humaines (776) 776 54
Services de gestion de l’information (3039) 3 039 58
Services de technologie de l’information (2372) 2 372 49
Justice (9) 9 4
Services juridiques (42) 42 16
Conformité aux lois et rà¨glements (1098) 1 098 41
Services de gestion et de surveillance (729) 729 37
Services de gestion du materiel (426) 426 21
Déplacement de gens (367) 367 5
Sécurité nationale et défense (195) 195 11
Fournir des fonds (335) 335 19
Biens immobiliers (255) 255 24
Sécurité des Canadiens (776) 776 16
Science et recherché (812) 812 17
Déplacements et autres services administratifs (240) 240 27
NON Dà‰FINI (3189) 3189 13
Total 16165 354
Figure 2. Financement des applications indispensables à risque élevé : [Image Caption]
Figure 2. Financement des applications indispensables à risque élevé. Version textuelle ci-dessous:
Figure 2. Financement des applications indispensables à risque élevé - Version textuelle
à‰tat du financement Exercices précédents 2011-12 2012-13 2013-14 2014-15 Aprà¨s 2014-15 Année non determinée Total
Confirmé 66 586 097 $ 106 048 013 $ 146 627 000 $ 177 823 000 $ 197 920 000 $ 516 381 000 $ 67 300 000 $ 1 278 685 110 $
Non déterminé / Non réservé 0 $ 11 588 000 $ 4 685 000 $ 3 327 000 $ 3 010 000 $ 2 930 000 $ 76 646 000 $ 102 186 000 $
Total 1 380 871 110 $

Annexe C : Outil d'évaluation du Secrétariat du Conseil du Trésor du Canada

Les ministères devaient évaluer l’état de leurs systèmes de TI en répondant aux questions suivantes :

Évaluation du risque opérationnel
Fonctions opérationnelles
  1. Dans quelle mesure l’application ou le système réussit-il à appuyer la prestation du programme opérationnel?
Qualité des données
  1. Quelle est la qualité des données ou des résultats produits par l’application ou le système?
Respect des échéances
  1. L’application ou le système produit-il les résultats dans les délais exigés pour mener les opérations?
Fiabilité
  1. Dans quelle mesure l’application ou le système est-il fiable?
Changements opérationnels
  1. Dans quelle mesure l’application ou le système peut-il s’adapter aux améliorations découlant de changements fonctionnels?
Plan de continuité des affaires
  1. L’organisme serait-il prêt à réagir en cas de panne catastrophique de cette application ou de ce système?
Harmonisation opérationnelle stratégique
  1. Dans quelle mesure l’application ou le système sera-t-il capable de satisfaire aux besoins opérationnels stratégiques du ministère ou du gouvernement du Canada dans l’avenir?

Évaluation du risque lié à l’entretien et au fonctionnement
Disponibilité
  1. Quel est le niveau de soutien requis pour respecter les engagements en matière de disponibilité?
Réactivité
  1. Quel est le niveau de soutien requis pour respecter les engagements à répondre?
Bris ou réparation
  1. Est-ce que les engagements en matière de durée moyenne de réparation (DMR) sont respectés?
Changements opérationnels
  1. À quel point est-il difficile d’intégrer les changements opérationnels?
Coûts associés à la maintenance technique et au soutien
  1. Quelle est la tendance de vos coûts de maintenance au cours des cinq dernières années (ou plus)?
Accessibilité aux compétences techniques
  1. Dans quelle mesure a-t-on accès aux compétences pour appuyer l’application ou le système?
Ressources contractuelles
  1. Dans quelle mesure cette application ou ce système dépend-il de ressources contractuelles?

Évaluation du risque lié à l’architecture
Viabilité de la technologie
  1. Dans quelle mesure les principaux produits technologiques utilisés dans cette application sont-ils à jour?
Harmonisation avec le gouvernement du Canada
  1. Dans quelle mesure cette application s’harmonise-t-elle avec les orientations stratégiques et les normes du gouvernement du Canada?
Architecture des applications
  1. Dans quelle mesure l’application ou le système s’harmonise-t-il avec l’architecture des données du ministère?
Architecture des données
  1. Dans quelle mesure l’application ou le système s’harmonise-t-il avec l’architecture des données du ministère?
Harmonisation avec la technologie
  1. Dans quelle mesure l’application ou le système s’harmonise-t-il avec l’architecture de la technologie?
Architecture de sécurité
  1. Dans quelle mesure l’application ou le système s’harmonise-t-il avec l’architecture de sécurité du ministère?

Annexe D : Description des objectifs opérationnels

Objectif opérationnel Description
Services d'approvisionnement Systèmes ou applications qui facilitent l'acquisition de produits et de services d'une façon transparente et équitable
Services de communications Systèmes ou applications qui facilitent les communications avec les Canadiens et au sein des ministères
Gestion financière Systèmes ou applications qui facilitent la gérance des ressources financières du gouvernement
Prestation de soins de santé Systèmes ou applications qui facilitent la prestation des soins de santé et le suivi de la gestion de ces soins
Gestion des ressources humaines Systèmes ou applications qui facilitent la gérance des ressources humaines du gouvernement
Services de gestion de l'information Systèmes ou applications qui facilitent la gérance de l'information du gouvernement
Services de technologie de l'information Systèmes ou applications qui facilitent la mise en place des ressources d'information du gouvernement
Justice Systèmes ou applications destinés à rendre justice aux Canadiens
Services juridiques Systèmes ou applications qui facilitent la prestation de services juridiques aux différents champs de programmes
Conformité aux lois et règlements Systèmes ou applications qui surveillent la conformité aux lois et règlements pour faire respecter les lois canadiennes
Services de gestion et de surveillance Systèmes ou applications qui facilitent la gestion ou la surveillance des programmes gouvernementaux
Services de gestion du matériel Systèmes ou applications qui facilitent l'affectation et la gérance des ressources et des biens du gouvernement
Déplacement de gens Systèmes ou applications destinés à assurer un suivi des déplacements de visiteurs et des Canadiens
Sécurité nationale et défense Systèmes ou applications destinés à protéger les Canadiens contre des attaques terroristes ou des menaces externes
Fournir des fonds Systèmes ou applications qui servent à verser les fonds publics aux Canadiens
Biens immobiliers Systèmes ou applications qui facilitent la gérance et l'administration des biens immobiliers du gouvernement
Sécurité des Canadiens Systèmes ou applications destinés à prévenir et à protéger les Canadiens
Science et recherche Systèmes ou applications destinés à faire progresser la science et la recherche
Déplacements et autres services administratifs Systèmes ou applications qui aident les fonctionnaires à exécuter les programmes et à fournir les services

Détails de la page

Date de modification :