PACP Rapport du Comité

INTRODUCTION

              Le gouvernement fédéral dépend dans une large mesure des systèmes de technologie de l’information (TI) pour gérer ses activités et fournir des programmes et services essentiels aux Canadiens. Selon les chiffres de 2005, ses ministères et organismes consacrent environ cinq milliards de dollars par année à la TI. Un bon nombre des systèmes sont vieillissants, ce qui veut dire non seulement qu’ils prennent de l’âge, mais aussi qu’ils deviennent de plus en plus coûteux à exploiter et qu’ils peuvent présenter des risques, par exemple en étant difficiles à adapter aux nouveaux besoins opérationnels. Ces systèmes fonctionnent, mais beaucoup d’entre eux risquent de tomber en panne, ce qui pourrait nuire sérieusement à la capacité du gouvernement d’exercer ses activités et de servir les Canadiens. Pensons par exemple au Système normalisé des paiements, qui produit les chèques de la Sécurité de la vieillesse, du Régime de pensions du Canada et du régime d’assurance-emploi. Il faudra un gros travail de planification et des sommes substantielles pour renouveler et moderniser les systèmes vieillissants, car la conception et l’implantation de nouveaux systèmes peuvent s’étaler sur plusieurs années. Il importe donc que le gouvernement gère bien ses systèmes de TI vieillissants pour éviter que le risque ne devienne réalité.

Dans une vérification dont rend compte son rapport du printemps 2010, le Bureau du vérificateur général (BVG) a voulu déterminer si cinq des organisations fédérales qui dépensent le plus en matière de TI – l’Agence du revenu du Canada (ARC), Travaux publics et Services gouvernementaux Canada (TPSGC), Ressources humaines et Développement des compétences Canada (RHDCC), la Gendarmerie royale du Canada (GRC) et Citoyenneté et Immigration Canada (CIC) – avaient cerné et géré adéquatement les risques liés au vieillissement des systèmes de TI^[1]. Les vérificateurs ont aussi examiné trois grands systèmes qui fournissent des services essentiels aux Canadiens – le régime d’assurance-emploi, le système d’administration des déclarations de revenus et de prestations et le Système normalisé des paiements – pour voir si les organisations responsables avaient cerné et géré les risques. Enfin, ils ont voulu vérifier si le Secrétariat du Conseil du Trésor du Canada (Secrétariat), et en particulier sa Direction du dirigeant principal de l’information (DDPI), avait établi que les systèmes vieillissants représentent une priorité pour l’ensemble du gouvernement et dans quelle mesure il avait contribué, par ses orientations ou son leadership, à la recherche de solutions pangouvernementales.

            Soucieux des risques posés par le vieillissement des systèmes de TI, le Comité a rencontré des représentants du BVG et des organisations visées par la vérification le 1^er juin 2010^[2] : pour le BVG, Sheila Fraser, vérificatrice générale, et Nancy Cheng, vérificatrice générale adjointe; pour le Secrétariat, Michelle d'Auray, secrétaire du Conseil du Trésor, et Corinne Charette, dirigeante principale de l’information. Il a également rencontré les dirigeants principaux de l’information des différentes organisations examinées : Gini Bethell, RHDCC; Maurice Chénier, TPSGC; Borys Koba, CIC; Peter Poulin, ARC; Joe Buckle, GRC.

RAPPORT D’ÉTAPE

            Les vérificateurs ont constaté que les cinq organisations examinées considéraient le vieillissement des systèmes de TI comme un risque important, plus précisément :

• Le profil de risque de l’ARC indique que la capacité des applications et de l’infrastructure à continuer de fonctionner et de répondre aux exigences opérationnelles constitue un risque important pour l’organisation^[3].
• Dans son profil de risque, TPSGC signale que la capacité de l’infrastructure de gestion de l’information et de TI à répondre aux besoins constitue le quatrième risque en importance pour le ministère et que certains systèmes, comme ceux de rémunération et de pensions, risquent de s’effondrer prochainement, tout en reconnaissant que le ministère a lancé de nouveaux projets pour moderniser les systèmes de rémunération et de pensions. TPSGC mentionne aussi que des systèmes désuets font baisser la productivité, empêchent de répondre aux besoins organisationnels et augmentent le temps et les coûts nécessaires à la recherche d’informations^[4].
• RHDCC constate que le manque de financement stable pour le renouvellement de l’infrastructure de TI constitue un risque important et que cette infrastructure risque fortement de ne pas pouvoir assurer l’exécution des programmes de base, comme l’assurance-emploi^[5].
• Selon CIC, la désuétude, la redondance et la complexité de son infrastructure et de ses systèmes traditionnels présentent un risque pour la sécurité et les activités du ministère^[6].
• La GRC ne compte pas les systèmes de TI vieillissants parmi ses cinq principaux risques,  mais le manque de fonds pour remplacer ces systèmes en fait partie^[7].

            Les vérificateurs ont donné des exemples précis de risques pour les systèmes de TI. Dans un cas, un centre de données était situé dans un immeuble dont le système de chauffage et de ventilation n’était plus entretenu par le fabricant. Si le système de conditionnement d’air tombait en panne, les ordinateurs ne pourraient plus fonctionner^[8]. Un autre centre de données se trouvait dans un complexe vieux de 40 ans qui n’avait pas été conçu pour abriter un centre informatique et ne pourrait donc pas répondre aux besoins à long terme de l’organisation^[9]. Dans un autre cas, le système de TI a été rédigé dans un langage de programmation qui n’était plus enseigné, et les employés qui le connaissaient prenaient leur retraite^[10].

            À l’audience, certains des dirigeants principaux de l’information (DPI) ont soutenu que leurs systèmes étaient opérationnels. La DPI de RHDCC a dit : « [J]e tiens à vous assurer que les Canadiens n’ont rien à craindre. Les paiements aux Canadiens n’ont jamais été compromis par une défaillance de la TI associée à une infrastructure vieillissante^[11]. » Le DPI de TPSGC a indiqué qu’« il est important de remarquer qu’aucun de nos systèmes essentiels n’a jamais subi ou provoqué une défaillance fonctionnelle^[12] ». Selon le DPI de CIC, « [les systèmes en place] continuent de fonctionner à un niveau de disponibilité très élevé, et de faire l'objet de mise à niveau en fonction des besoins opérationnels changeants^[13] ». Or, la vérificatrice générale a déclaré dans son exposé préliminaire : « Un bon nombre de ces systèmes donnent des signes de vieillissement, et plusieurs d'entre eux risquent de tomber en panne. Même si ces systèmes fonctionnent encore, une défaillance pourrait avoir de graves conséquences. Dans le pire des scénarios, certains programmes et services publics ne pourraient plus être fournis à la population canadienne^[14]. »

            Le Comité veut que d’autres mesures soient prises pour remédier au vieillissement des systèmes de TI. Les organisations ont toutes indiqué que le vieillissement des systèmes de TI représentait un risque important. Certains de ces systèmes remplissent des fonctions essentielles, de sorte que leur défaillance pourrait avoir de sérieuses conséquences. Déterminer qu’un système présente des risques ne veut pas dire que le système est en panne, mais plutôt qu’il existe une possibilité qu’il tombe en panne ou ne réponde pas aux futurs besoins opérationnels. Comme les organisations elles-mêmes ont établi que les systèmes présentaient un risque important, elles doivent prendre les mesures qui s’imposent pour bien gérer ces risques en temps opportun et éviter ainsi que les problèmes dus au vieillissement ne s’aggravent.

            Les vérificateurs ont constaté que les organisations examinées avaient pris certaines mesures pour réduire les risques, mais qu’il restait des améliorations à apporter. CIC, RHDCC et TPSGC n’avaient pas de plan d’investissement ministériel axé sur le portefeuille pour gérer les risques liés au vieillissement de leurs systèmes de TI^[15]. Ce plan a son importance, car il sert à prioriser les projets. La surveillance des activités d’atténuation et de gestion des risques par CIC, RHDCC, TPSGC et la GRC était incomplète^[16]. Qui plus est, CIC et TPSGC n’avaient pas de plan d’investissement pluriannuel. L’ARC, RHDCC et la GRC, quant à eux, avaient un plan d’investissement, mais qui n’indiquait pas de sources de financement suffisantes pour mener à bien les initiatives jugées nécessaires^[17].

            Toutes les organisations examinées ont accepté les recommandations du BVG et établi un plan d’action pour y donner suite (à l’exception de l’ARC, qui n’a fait l’objet d’aucune recommandation du BVG). La vérificatrice générale a dit au Comité que son bureau avait examiné les plans d’action de TPSGC et de RHDCC et qu’« [u]ne mise en œuvre intégrale de ces plans devrait permettre de régler les questions que nous avons soulevées dans notre rapport^[18] ». Pour savoir si les organisations sont en bonne voie de mettre en œuvre leur plan d’action, le Comité recommande :

RECOMMANDATION 1

Que Travaux publics et Services gouvernementaux Canada, Ressources humaines et Développement des compétences Canada, Citoyenneté et Immigration Canada et la Gendarmerie royale du Canada présentent au Comité des comptes publics, au plus tard le 30 avril 2011, un rapport sur les progrès dans la mise en œuvre des recommandations formulées par le Bureau du vérificateur général au chapitre 1 de son rapport du printemps 2010.

FINANCEMENT ET ANALYSES DE RENTABILISATION

            La majorité des DPI interrogés par le BVG ont affirmé que le principal obstacle à la modernisation de leurs systèmes de TI vieillissants était le manque de fonds^[19]. Trois des organisations examinées – ARC, RHDCC et la GRC – ont établi un plan d’investissement pluriannuel, qui fait état de leurs priorités et des investissements prévus dans le domaine de la TI pour les années à venir. Chacune d’elles, cependant, constate un gros décalage entre les montants nécessaires aux opérations et aux priorités futures et les fonds disponibles. Le manque à gagner est de 830 millions de dollars à l’ARC, de 523,4 millions de dollars à RHDCC et de 620 millions de dollars à la GRC, pour un total cumulatif d’environ 2 milliards de dollars. Ce chiffre ne vise ni CIC ni TPSGC, qui n’ont pas établi de plan d’investissement pluriannuel, ni les nombreuses autres organisations gouvernementales qui n’ont pas été examinées.

            L’ARC est la seule organisation examinée à avoir soumis une proposition complète de financement à long terme. Sans fonds additionnels, 19 grands projets d’investissement seront interrompus après 2018^[20]. Le BVG a recommandé que la GRC et RHDCC établissent une stratégie de financement appropriée^[21]. Les deux organisations ont indiqué dans leur plan d’action qu’elles donneraient suite à cette recommandation.

            Il est certain que la modernisation des systèmes de TI vieillissants pourrait entraîner d’énormes coûts et qu’il sera difficile d’obtenir des fonds en période de restrictions budgétaires. Néanmoins, les organisations doivent fixer leurs priorités et planifier leurs investissements, et c’est pourquoi le BVG leur a recommandé de se doter d’une stratégie de financement.

            Le Comité estime que les organisations doivent aussi effectuer des analyses pour déterminer si les fonds sont dépensés judicieusement. Lorsqu’elles décident des systèmes à entretenir ou à mettre à niveau, elles doivent absolument faire des analyses de rentabilisation pertinentes qui comprennent un examen approfondi des options possibles. Comme l’a indiqué la vérificatrice générale : « Il y a peut-être des façons plus efficaces et efficientes de faire le même travail ou de produire les mêmes résultats. C'est beaucoup plus que simplement remplacer un système par un autre système équivalent. Il faut revoir les façons de procéder. Étant donné qu'on parle ici d'une dépense de plusieurs milli[ard]s de dollars, je pense que c'est une bonne occasion de prendre le temps de faire les choses comme il faut^[22]. » Cependant, dans sa vérification des grands projets de TI réalisée en 2006, le BVG a constaté que cinq des sept projets examinés avaient reçu le feu vert même si leur analyse de rentabilisation était incomplète ou dépassée ou contenait des renseignements non justifiables^[23].

            Au cours de l’audience, le Comité a demandé que chaque organisation lui remette un tableau des projets d’investissement prévus et lui indique si une analyse de rentabilisation avait été faite pour ces projets. Après l’audience, CIC lui a présenté un tableau, mais pas les autres organisations. Compte tenu des sommes considérables à investir dans la modernisation des systèmes de TI vieillissants et de l’importance des analyses de rentabilisation pour la prise de décisions judicieuses, le Comité recommande :

RECOMMANDATION 2

Que Travaux publics et Services gouvernementaux Canada, Ressources humaines et Développement des compétences Canada, l’Agence du revenu du Canada et la Gendarmerie royale du Canada présentent au Comité des comptes publics, au plus tard le 30 avril 2011, un tableau faisant état des projets d’investissement prévus dans les systèmes de technologie de l’information et indiquant si des analyses de rentabilisation ont été effectuées pour ces projets.

ORIENTATIONS PANGOUVERNEMENTALES

            Il incombe au Secrétariat du Conseil du Trésor d’établir les grandes orientations stratégiques en matière de TI pour l’ensemble de l’administration gouvernementale par l’intermédiaire de sa Direction du dirigeant principal de l’information (DDPI) et de concert avec les administrateurs généraux des ministères. Selon la Politique du Conseil du Trésor sur la gestion des technologies de l’information, le Secrétariat est chargé :

d'établir les grandes orientations stratégiques en matière de gestion des TI, en consultation avec les administrateurs généraux, de déterminer les domaines pouvant engendrer d'importants avantages à l'échelle du gouvernement ou qui sont importants pour le gouvernement, et de diriger des initiatives menant à des solutions à l'échelle du gouvernement ainsi que la mise en œuvre de directives pangouvernementales, avec les organismes compétents de services communs ou partagés qui sont importants pour le gouvernement^[24].

Le BVG s’attendait donc à ce que la DDPI ait évalué si le vieillissement de systèmes de TI essentiels présentait des risques importants à l’échelle de l’administration gouvernementale.

            Les vérificateurs ont constaté que la DDPI avait pris certaines initiatives ayant un lien indirect avec le vieillissement des systèmes de TI et avait fait des exposés sur les tendances en matière de TI^[25]. Elle n’avait toutefois pas établi officiellement d’orientations stratégiques depuis 1999. Elle n’avait pas non plus systématiquement recueilli et analysé d’informations afin d’évaluer la nature, l’étendue et les répercussions des risques associés au vieillissement des systèmes à l’échelle de l’administration. Autrement dit, il n’existe pas de plan d’ensemble qui définisse les orientations stratégiques, les priorités et les besoins en ressources du gouvernement pour contrer ces risques.

            Le BVG a recommandé que la DDPI produise un rapport sur l’état du vieillissement des systèmes de TI pour l’ensemble de l’administration gouvernementale, y compris les coûts estimatifs, et dresse un plan énonçant les orientations stratégiques que le gouvernement devrait adopter en vue d’atténuer les risques^[26]. À l’audience, la secrétaire du Conseil du Trésor a fait observer que le rapport de vérification avait amené le Secrétariat à constater qu’il n’avait pas examiné dans une perspective pangouvernementale les risques posés par le vieillissement des systèmes de TI et à décider qu’il s’occuperait de recueillir et d’analyser l’information pertinente pour avril 2011 afin d’évaluer l’état des systèmes de TI essentiels à la mission des ministères et les investissements nécessaires à la réduction des risques^[27]. En avril 2012, le Secrétariat donnera aux ministères des lignes directrices et des orientations sur l’établissement des priorités en matière d’investissement.

            En vertu de la Politique sur la gestion des technologies de l’information, il est important pour le Secrétariat d’exercer les fonctions suivantes : établir les grandes orientations pour l’ensemble de l’administration gouvernementale en matière de TI, déterminer les domaines qui offrent des avantages à l’échelle de l’administration et diriger des initiatives menant à des solutions pangouvernementales. Étant donné les coûts importants que suppose l’entretien ou le remplacement de systèmes vieillissants, comme indiqué plus haut, le moment serait tout indiqué pour établir une stratégie pangouvernementale qui ferait ressortir les gains d’efficacité ou les économies pouvant découler d’une approche concertée de la TI.

            Les représentants du Secrétariat ont mentionné certaines activités qu’ils ont entreprises en ce sens. Selon la secrétaire, son organisation aide les ministères à déterminer les plates-formes et les systèmes communs dont le regroupement contribuerait à réduire les chevauchements et les dédoublements^[28]. Les applications propres à certains programmes continueront d’exister, mais le Secrétariat espère alléger le fardeau que représentent les investissements dans de nouvelles infrastructures lorsque celles-ci sont très similaires^[29]. Par exemple, il travaille en ce moment avec TPSGC à élaborer une stratégie pour les centres de données qui permettra d’atténuer les risques associés à cette infrastructure fondamentale dans toute l’administration^[30]. Ces activités, toutefois, ne semblent pas faire partie intégrante d’un plan pangouvernemental assorti d’objectifs, de cibles et d’échéances.

            En janvier 2010, le gouvernement du Royaume-Uni a publié sa stratégie sur la TI, qui vise à rendre les systèmes de TI plus efficaces, plus économiques et plus écologiques en misant sur une infrastructure, des normes et des capacités communes^[31]. Le Comité est d’avis que le Secrétariat pourrait faire plus pour définir la façon dont la DDPI collaborera avec les ministères afin de dégager des solutions de TI. Le Comité recommande :

RECOMMANDATION 3

Que le Secrétariat du Conseil du Trésor du Canada intègre une stratégie dans les orientations d’avril 2012 destinées aux ministères sur les systèmes vieillissants de technologie de l’information. Cette stratégie devrait être assortie d’objectifs et de priorités sur la façon dont la Direction du dirigeant principal de l’information collaborera avec les ministères pour élaborer une approche concertée de la technologie de l’information.

CONCLUSION

            Les organisations examinées ont dit au Comité qu’à ce jour leurs systèmes de TI vieillissants n’avaient pas connu de défaillances. Cependant, il ressortait de leurs propres analyses que ces systèmes présentaient des risques élevés et, surtout, que les répercussions d’une défaillance pourraient être sérieuses. Il ne sera pas facile de moderniser les systèmes vieillissants car, comme l’a dit un témoin, cela s’apparente au « ravitaillement d’un avion en vol^[32] ». En outre, ce travail de modernisation coûtera cher. La GRC, l’ARC et RHDCC prévoient, à eux seuls, un manque à gagner d’environ 2 milliards de dollars.

Compte tenu des risques et des sommes en jeu, il est essentiel que les ministères préparent et gèrent correctement l’entretien ou la mise à niveau de leurs systèmes de TI vieillissants. Le Comité estime que les ministères devraient faire des analyses de rentabilisation détaillées pour déterminer les systèmes à entretenir ou à mettre à niveau et que le Secrétariat devrait définir plus clairement comment il compte réaliser des gains d’efficacité et des économies grâce aux solutions de TI coordonnées. Si des systèmes vieillissants viennent à tomber en panne, le Comité voudra avoir l’assurance que les ministères, aidés par les lignes directrices et les orientations du Secrétariat, auront fait des efforts suffisants pour gérer les risques.