Examen du projet de nuage de Transports Canada

De : Transports Canada

Rapport de vérification interne décrivant les résultats de l’examen du projet de nuage de TC

Sur cette page

Énoncé de conformité

Cet examen est conforme à la Politique sur l’audit interne du gouvernement du Canada et aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors’, comme le confirment les résultats d'une évaluation externe du programme d'assurance et d'amélioration de la qualité de l’audit interne.

Contexte

  • Le plan d'audit axé sur les risques 2020-2021 de l'Audit interne (AI) comprenait un examen de la sécurité de l’information dans le nuage afin de fournir à TC une assurance en temps réel sur l'état actuel de la gouvernance, des opérations et de la sécurité des données alors que le ministère migre vers l'environnement de l’informatique en nuage.
  • En raison de divers retards dans le projet de nuage, l'AI n'a pas été en mesure d'examiner les éléments de sécurité de l'information de la migration vers le nuage, et a plutôt concentré ses efforts initiaux sur la réalisation d'une évaluation de l'état actuel du projet de nuage, en tirant parti de l'évaluation de référence de la maturité de l'environnement de nuage de TC effectuée par Microsoft.
  • Le gouvernement du Canada (GC) a lancé en 2016 une stratégie de « l’informatique en nuage d’abord » faisant du nuage l'option privilégiée pour la fourniture de services de gestion de l'information/technologies de l'information (GI/TI). Le projet de modernisation des TI de TC a été lancé dans le but de fournir un environnement d'infrastructure moderne pour les applications de TC dans le nuage.
  • Le projet de nuage de TC comprend :
    • la mise en place d'une fondation pour le nuage (constituée des composants techniques devant être mis en place avant la migration des applications vers le nuage) ;
    • la planification et l'exécution d'un projet de migration des charges de travail (MCT); et
    • la mise en œuvre d'un programme de gestion des catastrophes (PGC) après sinistre (actuellement entièrement externalisé).
  • Un centre d'excellence de Transport Canada pour le nuage a été mis en place pour mener à bien le projet.
  • Environ 370 applications professionnelles actuellement hébergées au centre de données Macdonald-Cartier étaient censées migrer vers le nuage à l'origine d'ici 2023, maintenant repoussé à 2025 - la fermeture prévue du centre de données.
  • TC a autofinancé le projet de nuage de 2017-2018 à 2019-2020. Le Secrétariat du Conseil du Trésor (SCT) a commencé à fournir un financement pour le nuage en 2020-2021 et financera le projet de nuage pour les deux prochaines années fiscales (2021-2022 et 2022-2023).
  • Diverses raisons expliquent le retard du projet d'informatique en nuage :
    • le retard de la livraison de Project d’activation et de défense du nuage sécurisé (ADNS) par les Services partagés Canada (SPC);
    • les ressources ont été concentrées sur les applications liées à l'intervention COVID-19, car elles ont été considérées comme prioritaires pour la migration; et
    • le manque de ressources techniques qualifiées pour l'informatique en nuage et le départ de certains employés techniques qualifiés.
  • Avec ce retard du projet de nuage de TC, le ministère a l'occasion de faire le point pour mieux comprendre les principaux risques / facteurs qui ont un impact sur la réussite de la mise en œuvre du projet.
  • L‘AI a effectué un examen initial et a souligné la nécessité pour TC de déterminer la meilleure façon de faire avancer le projet de nuage dans l'environnement actuel, compte tenu des inconnues et des incertitudes entourant ses partenaires, ses compétences, ses coûts et ses délais. L‘examen met en évidence les possibilités d'améliorer la mise en œuvre du projet de nuage du ministère.
  • L‘AI a tenu des discussions avec de multiples parties prenantes internes (la Direction des services numériques (DSN), Ressources Humaines (RH), Finances) et externes à TC (SCT, Statistique Canada, les Services partagés Canada (SPC), Agriculture et Agroalimentaire Canada (AAC), Emploi et Développement social Canada (EDSC), Microsoft) afin d'identifier les facteurs de risque, les meilleures pratiques et les leçons apprises qui pourraient profiter au projet de nuage de TC.
  • Ce qui suit est un aperçu des parties prenantes du projet de nuage et des fonctions essentielles à la mise en œuvre réussie du projet de nuage ainsi qu'un résumé de nos conclusions qui décrivent l'état actuel et les possibilités d'amélioration pour chacun des domaines suivants :
    • Modèle d'exploitation du nuage du SPC
    • Rôles et responsabilités
    • Stratégie de recrutement et de dotation en personnel
    • Rétention des ressources du projet de nuage
    • Gestion financière du projet

Parties prenantes du nuage de TC

Pour que l'aventure du nuage soit réussie, les parties prenantes internes et externes doivent être impliquées.

Ce diagramme démontre la nécessité d'impliquer les parties prenantes internes et externes dans le voyage du nuage de TC. La partie principale du diagramme montre les 4 directions et branches de TC qui relèvent du sous-ministre adjoint de la Transformation/du Directeur général du numérique et du Directeur général de l'information. Le Centre d'excellence du nuage de TC est composé de 3 techniciens et de 2 gestionnaires au moment de l'examen. Il relève de la direction de la gestion des services informatiques qui est positionnée au sein de la direction des services numériques. L'équipe de développement d'applications de TC (DevOps) travaille au sein du Centre de solutions qui dépend également de la Direction des services numériques. Leur rôle est essentiel dans le parcours du nuage de TC. Les trois autres directions impliquées dans le trajet vers le nuage de TC sont la Direction de la transformation et des résultats, la Direction de l'innovation des services et la Direction des données et de l'analyse avancée. La gestion du portefeuille d'applications, qui relève de la direction de l'architecture d'entreprise, est également un élément clé de l'aventure du nuage et relève de la direction de la transformation et des résultats. Le diagramme comporte également une boîte représentant les services d'entreprise de TC (ressources humaines et finances), qui sont des parties prenantes internes supplémentaires requises pour le voyage du nuage de TC. Une autre case représente les parties prenantes externes : Services partagés Canada, le Secrétariat du Conseil du Trésor, Centre de la sécurité des télécommunications et d'autres ministères. Enfin, il y a une boîte intitulée Partenaires qui comprend Microsoft et Amazon.

Fonctions essentielles au projet de nuage

À ce jour, certaines des organisations de services numériques principalement responsables des fonctions énumérées ci-dessous ont eu une implication limitée dans le projet de nuage Ces fonctions sont essentielles à la réussite du projet de nuage.

Au centre du diagramme, il y a une boîte avec le projet de nuage représenté avec les différents composants (Fondation, migration de la charge de travail et reprise après sinistre). Autour de la boîte se trouvent diverses fonctions essentielles au projet de nuage. Il s'agit notamment de : La sécurité informatique, l'architecture du nuage, la gouvernance d'entreprise, DevOps, la stratégie et le plan, l'engagement des Ressources Humaines et des finances et le portefeuille de solutions.

Défis liés au projet de nuage

  • Incertitude autour du modèle d'exploitation du nuage de SPC
  • Les rôles et responsabilités en matière de migration de la charge de travail manquent de clarté.
  • Absence d'une stratégie efficace de recrutement et d'affectation du personnel
  • Il est difficile de retenir les ressources au sein du projet de nuage
  • Faible gestion financière du projet de nuage
Défis liés au projet de nuage
Domaine Statut actuel Les occasions d'amélioration
Le modèle opérationnel de l’infonuagique (MOI)de SPC
  • Des délais, des options de service et des coûts incertains pour le service géré par SPC.
  • TC ne dispose pas des ressources, des compétences et des connaissances nécessaires pour gérer le projet MOI.
  • Exploiter les informations sur le nuage et le soutien du comité SPC au niveau de la DG pour mieux comprendre les offres, les calendriers et les mises à jour de MOI.
  • Tirer parti du soutien et des conseils du Comité du modèle de financement du nuage du GC pour améliorer les options de financement du nuage de TC pour le MOI.
Rôles et responsabilités
  • L'absence d'une stratégie de nuage a TC pour définir clairement les rôles et les responsabilités de toutes les parties.
  • Le projet nuage est censé se consacrer à la migration des applications vers le nuage; cependant, il a assumé toutes les autres responsabilités liées au nuage (gestion du portefeuille d'applications, travail de base, réseau/pare-feu, sécurité, infrastructure, opérations, architecture).
  • Manque d'adhésion et de gouvernance - Le nuage n'est pas une priorité alors qu'il est à la base de toute transformation numérique et de toute innovation. Il existe de nombreuses priorités concurrentes.
  • Analyse et rationalisation incomplètes du portefeuille d'applications à migrer vers le nuage.
  • Élaborer une stratégie relative au nuage afin de définir clairement les rôles et les possibilités des diverses parties prenantes de la DSN (architecture d'entreprise (AE), solutions, sécurité et programmes).
  • Reconstruire l'organigramme - préciser les postes, les rapports hiérarchiques, les rôles et les responsabilités.
  • Obtenir le soutien de la haute direction pour établir le projet de nuage comme une priorité.
  • L'AE et les programmes doivent achever l'analyse, la rationalisation et la hiérarchisation des applications qui passent au nuage.
Stratégie de recrutement et de dotation en personnel
  • Il n'existe pas de financement permanent pour l'embauche d‘employés à temps plein (ETP). Les fonds d'investissement sont utilisés pour embaucher du personnel occasionnel et temporaire. On fait souvent appel à des consultants pour les travaux techniques avancés.
  • L'embauche de ressources de la DSN pour le nuage n'est pas une priorité; les 3 autres directions sont prioritaires par rapport au nuage.
  • La stratégie des RH du DSN, qui soulignait la nécessité de disposer de 15 postes dotés (sur la base des chiffres de l'analyse de rentabilité de Gartner/Microsoft), n'a pas été réalisée. Nombre de postes actuellement pourvus: 3 ressources techniques sur 6 et 2 gestionnaires.
  • Les processus de recrutement flexibles pour les ressources spécialisées dans le nuage (postes non annoncés, unilingues) ne sont pas utilisés.
  • Incorporer les leçons tirées des parcours de nuage des autres ministères et organismes gouvernementaux (AMOGs) ou de la façon dont ils ont construit/recruté leurs équipes de nuage.
  • Formuler une stratégie de recrutement flexible avec les RH.
  • Si les processus compétitifs sont une exigence pour certains postes, explorer les processus simplifiés et flexibles qui pourraient accélérer l'embauche (en alignement avec les exigences d'embauche internes/externes).
Rétention du personnel
  • Il est difficile de conserver des ETP qualifiés dans le domaine du nuage sans financement permanent. L'équipe nuage de TC compte sur l'embauche et la formation d'étudiants pour avoir une équipe stable.
  • 4 des 6 employés techniques du nuage au sein de MCT sont partis au cours des derniers mois.
  • Le personnel a été stressé de devoir assumer des rôles avancés dans le nuage avec des connaissances ou un temps d'apprentissage limités. ("syndrome de l'imposteur")
  • Absence de progression de carrière claire au sein de DSN - et aucune utilisation des promotions internes non annoncées disponibles pour retenir le personnel qualifié.
  • Envisager l'adoption d'un plan/d’une stratégie d'apprentissage et explorer les options pour allouer du temps aux employés pour apprendre.
  • Envisager la création d'un programme de développement du nuage pour aider les employés débutants à rester et à s'épanouir à TC.
  • Mener des entretiens de départ pour comprendre les raisons du départ afin de développer une stratégie de rétention plus efficace.
Gestion financière
  • Absence de planification et de suivi financiers efficaces - un excédent important avant la fin de l'année a nécessité un grand nombre de recodages et de créditeurs à la fin de l'exercice (CAFEs).
  • Pas de plan clair sur la façon de combler l'écart entre les besoins financiers du projet de nuage et le financement disponible.
  • Affectation des postes du nuage en fonction de l'accessibilité financière par rapport aux besoins réels - c'est-à-dire pas de financement permanent pour les ETP.
  • Améliorer les pratiques actuelles de gestion financière en travaillant de manière proactive avec les finances de DSN et le Conseiller en gestion financière.
  • Examiner la situation financière - quelles sont les dépenses prioritaires (par exemple, le nuage Amazon (AWS)?).
  • Explorer les mécanismes de financement du nuage (présentations au Conseil du Trésor, résultats de l'exercice de financement du nuage du GC).
  • Déterminer les besoins fondamentaux en ressources (le personnel des postes clés du nuage), allouer un financement salarial suffisant.

Résumé des occasions d’amélioration et plan d’action de la direction

Le tableau suivant résume les occasions d'amélioration relevées dans le cadre de l'examen et le plan de la direction pour y répondre.

Point Occasion d’amélioration Plan d’action de la direction Date de réalisation (pour chaque action) Bureau de première responsabilité
1

Tirer parti de l'information sur le nuage et du soutien du Comité des services partagés du Canada (SSC) au niveau du directeur général pour mieux comprendre les offres, les calendriers et les mises à jour du modèle d'exploitation du nuage.

Tirer parti du soutien et des conseils du Comité du modèle de financement du nuage du GC pour améliorer les options de financement du nuage.

 Travailler avec le dirigeant principal du numérique, le responsable de compte client de SPC et leurs équipes respectives pour comprendre pleinement les offres de SPC en ce qui a trait aux services d'informatique en nuage, notamment en convenant des rôles et des responsabilités, des modèles de financement et des échéances Septembre 2021 Services numériques
2 Élaborer une stratégie relative aux services d'informatique en nuage afin de définir clairement les rôles et les possibilités des divers intervenants de la DGSN (architecture d'entreprise (EA), solutions, sécurité et programmes). L'équipe a commencé à élaborer une stratégie pour de multiples nuages. Septembre 2021 Services numériques
Travailler avec le Bureau des services numériques et de la transformation (BSNT), les Services généraux et les partenaires commerciaux pour développer une stratégie pour l'informatique en nuage qui inclut les rôles et responsabilités internes, les mécanismes de recouvrement des coûts et des objectifs commerciaux bien définis. Juillet 2021
Refondre l'organigramme - préciser les postes, les rapports hiérarchiques, les rôles et les responsabilités. Mettre en place une organisation transitoire pour assurer la migration des charges de travail et les activités dans le nuage jusqu'à ce que celui-ci soit pleinement opérationnel et que la migration des charges de travail soit terminée. Fournir des rôles et des responsabilités clairs aux membres de l'équipe, à la direction du Bureau et aux intervenants commerciaux. Juillet 2021
Obtenir le soutien de la haute direction pour faire du projet de nuage une priorité. En collaboration avec le directeur financier (CFO) et le Comité de gestion exécutif (CGX) de Transports Canada, obtenir la pleine adhésion des cadres supérieurs de TC en ce qui concerne l'informatique en nuage et le projet de migration des charges de travail. La stratégie relative à l'informatique en nuage sera élaborée en premier lieu et soutenue par des mesures appropriées de gestion du changement. Septembre 2021
Les responsables des programmes doivent procéder à l'analyse, à la rationalisation et à la priorisation des applications qui seront transférées dans le nuage. Le centre d'excellence de TC travaillera avec l'équipe de Gestion du portefeuille d'applications, le centre de solutions, le bureau de planification de la continuité des activités et les partenaires commerciaux pour définir l'état final de chaque application dans le nuage et établir une liste de priorités en fonction de la pertinence de ces applications dans le cadre de la mission (telle que définie par le bureau de planification de la continuité des activités). Août 2021
3 Intégrer les leçons tirées des expériences des autres ministères et organismes gouvernementaux en matière d'informatique en nuage ou de la façon dont ils ont constitué ou recruté leurs équipes chargées de l'informatique en nuage. En s'appuyant sur les enseignements tirés des OGDA, le Centre d’excellence en infonuagique de TC (CEITC) commencera à renforcer les capacités et à recruter des employés pour l'équipe des services d'informatique en nuage. Des rôles et des responsabilités spécifiques seront attribués aux membres, afin de s'assurer que l'équipe dispose des bonnes aptitudes et compétences pour remplir son mandat. Septembre 2021 Services numérique
Choisir un modèle de financement interne pour fournir les services d'informatique en nuage, afin de disposer d'un financement permanent suffisant pour embaucher et conserver du personnel qualifié. Juillet 2021
Formuler une stratégie de recrutement flexible avec les RH. Travailler avec les conseillers en RH pour résoudre les problèmes immédiats de dotation en personnel, identifier un modèle de financement et adapter les priorités en matière de dotation en personnel aux priorités de l'organisation. Août 2021
Si les processus concurrentiels sont une exigence pour certains postes, songer à des processus simplifiés et flexibles qui pourraient accélérer le recrutement (en accord avec les exigences de recrutement internes/externes). Demander au directeur des services numériques l'autorisation d'utiliser des processus plus souples pour pourvoir les postes de l'équipe chargée des services informatiques en nuage, notamment le poste technique CS-03/CS-04. Août 2021
4 Songer à adopter un plan/stratégie d'apprentissage et envisager des options pour accorder du temps aux employés pour qu'ils suivent de la formation. Obtenir des fonds de formation suffisants de la part de TC (y compris de l'enveloppe prévue pour le projet de MCT, s'il y a lieu) afin de fournir au personnel une formation adéquate. Août 2021 Services numériques
Revoir les attentes en matière de travail, afin de permettre à l'équipe de bénéficier de 14 heures de formation par mois. Juillet 2021
Envisager de créer un programme de développement des services informatiques en nuage pour aider les jeunes employés à demeurer au sein de TC et à s'y épanouir. Effectuer une analyse de l'environnement parmi les autres ministères et organismes gouvernementaux afin de reproduire/ajuster les programmes déjà en place. À développer de concert avec un programme de perfectionnement pour le BSNT. Septembre 2021 Services numériques
Réaliser des entretiens de départ pour comprendre les raisons du départ des employés et élaborer une stratégie de rétention plus efficace. Réaliser des entretiens de départ dans le cadre des procédures de départ pour tout le personnel du Centre d’excellence en infonuagique de TC (CEITC). Terminé : avril 2021 Services numériques
5

Améliorer les pratiques actuelles de gestion financière en travaillant de manière proactive avec les Services financiers de la DGSN et le conseiller en gestion financière.

Examiner la situation financière - quelles sont les dépenses prioritaires (p. ex. le travail d'Amazon Web Services (AWS)).

Explorer les mécanismes de financement des services informatiques en nuage (présentations au Conseil du Trésor, résultats de l'exercice de financement des services informatiques en nuage du GC).

Déterminer les besoins fondamentaux en ressources (c.-à-d. le personnel des postes clés du nuage), prévoir un financement salarial suffisant.

 Travailler avec le dirigeant principal du numérique, le responsable de compte client de SPC et leurs équipes respectives pour comprendre pleinement les offres de SPC en ce qui a trait aux services d'informatique en nuage, notamment en convenant des rôles et des responsabilités, des modèles de financement et des échéances. Septembre 2021 Services numériques
Améliorer les pratiques de gestion financière, notamment en séparant les dépenses de fonctionnement et d'investissement, en gérant les dépenses et en se conformant au cadre de gestion de projet (CGP) de TC pour réduire les risques. Juillet 2021

Signaler un problème avec cette page

Date de modification :