Gouvernement du Canada. Profil des services de technologie de l information (TI)

GC Enterprise Architecture Domains Gouvernement du Canada Profil des services de technologie de l information (TI) Direction du dirigeant principal de l information Division de l harmonisation et de l interopérabilité Juin 2008

Personnes-ressources Gary Doucet Architecte en chef, gouvernement du Canada Directeur exécutif, Division de l harmonisation et de l interopérabilité Direction du dirigeant principal de l information, Secrétariat du Conseil du Trésor du Canada Téléphone : 613-941-0250 Richard Bryson Directeur principal, Division de l harmonisation et de l interopérabilité Direction du dirigeant principal de l information, Secrétariat du Conseil du Trésor du Canada Téléphone : 613-952-0117 Charles E. (Chuck) Henry Directeur principal et agent en chef de la technologie Division de la technologie de l information Direction du dirigeant principal de l information, Secrétariat du Conseil du Trésor du Canada Téléphone : 613-946-5029 Peter De Souza Directeur, Stratégies technologiques Division de la technologie de l information Direction du dirigeant principal de l information, Secrétariat du Conseil du Trésor du Canada Téléphone : 613-941-5196 juin 2008 Page 1

Table des matières Avant-propos...3 Remerciements...5 1.0 Introduction...6 1.1 OBJET DU DOCUMENT...6 1.2 APPROCHE...7 1.3 CONTEXTE PROFIL DES SERVICES INTERNES DU GC...8 1.4 SERVICES DE TI DU GC EN BREF...10 1.5 CADRE DES PROGRAMMES DES SERVICES DE TI DU GC SURVOL...11 2.0 Profil des services de TI du GC...12 2.1 SERVICES D INFORMATIQUE RÉPARTIE...12 2.2 SERVICES D ÉLABORATION ET DE MAINTENANCE DES APPLICATIONS/BASES DE DONNÉES...13 2.3 SERVICES D INFORMATISATION DE LA PRODUCTION ET DES OPÉRATIONS...14 2.4 SERVICES DE TÉLÉCOMMUNICATIONS (DONNÉES ET VOIX)...15 2.5 SERVICES DE SÉCURITÉ DE LA TI...16 3.0 Profil du cadre des programmes des services de TI du GC...19 3.1 PROCÉDÉS DE PRESTATION DES SERVICES DE TI...20 3.2 PROCÉDÉS DE SOUTIEN DES SERVICES DE TI...21 3.3 PROCÉDÉS DE GESTION DES PROGRAMMES DES SERVICES DE TI...21 3.4 MODÈLE DE RAPPORTS SUR LES COÛTS DES SERVICES DE TI DU GC...22 Annexe...25 DOCUMENTS DE RÉFÉRENCE EXAMINÉS...25 juin 2008 Page 2

Avant-propos Habituellement désignés sous le nom de «services généraux», les services internes du gouvernement du Canada (GC) permettent aux programmes publics et à d autres services internes de fonctionner avec plus d efficacité et d efficience. Chaque année, le gouvernement du Canada (GC) dépense environ 4,95 milliards de dollars en services internes de technologie de l information (TI) 1. Les services de TI du GC et leurs capacités connexes sont fournis par des organismes fournisseurs de services de TI du GC, qui ont reçu des mandats redditionnels relatifs aux programmes de TI afin de traiter des besoins reconnus des groupes d utilisateurs cibles admissibles au moyen des procédés appropriés de gestion et de prestation des services. Comme le soulignait le rapport Stratégies pour l amélioration de la TI et de sa gestion, Examen des services de technologie de l information 2 «au fil des ans, les ministères ont chacun mis au point leur propre façon d organiser les services de TI et leur propre nomenclature pour les décrire». Les écarts qui en résultent font en sorte qu il est pratiquement impossible de planifier, de budgéter, de mesurer, de signaler et de communiquer les descriptions des services de TI d une manière uniforme à l échelle du gouvernement et de ses communautés d intérêt en TI. Pour régler le problème, le rapport recommande au SCT de diriger l élaboration d une «architecture technique pangouvernementale harmonisée avec l architecture intégrée du GC» et propose une série de mesures ultérieures, notamment : préparer un catalogue des services de TI (qui s appelle maintenant le profil), mettre la dernière main à la nomenclature commune, élaborer des architectures de catégories gouvernementales (opérations, information, solution et technologie) et élaborer des indicateurs de rendement clés (IRC) pangouvernementaux pour les services de TI. À l appui de ces objectifs, le Profil des services de TI du GC présenté décrit : les ensembles les plus usuels de services de TI du GC pour cinq groupes principaux de services de TI, un cadre commun des programmes des services de TI du GC, composé d un modèle de procédés communs servant à la planification, à l acquisition, à la prestation, à l appui et à l évaluation des services communs de TI du GC, ainsi qu un modèle commun de coûts proposé pour les services de TI du GC. Le Profil des services de TI du GC présenté se fonde sur une connaissance et une analyse approfondies de la TI à l échelle des communautés de pratique de la TI du GC ainsi que sur de solides pratiques exemplaires de l industrie pour les programmes et services de TI. Par ailleurs, il concorde avec les concepts et modèles offerts par le Modèle de référence stratégique des gouvernements canadiens 3 (MRSGC). À titre de ligne directrice du SCT pour le GC, le Profil des services de TI du GC fournit une vue intégrée et un point de référence pour les programmes de TI du GC qui appuient l élaboration de descriptions uniformes des services de TI, de catalogues plus détaillés des services de TI des fournisseurs de services de TI (au besoin) ainsi que le fondement d une planification, d une conception et de communications communes des services de TI du GC à l échelle du gouvernement. Dans le cadre de la mission de la Direction du dirigeant principal de l information (DDPI) du SCT, la Division de l harmonisation et de l interopérabilité (DHI) publie le Profil des services internes du GC, dans le cadre de son rôle de direction de l élaboration, de la publication et de l utilisation des modèles de référence, des profils, des lignes directrices, des outils et des pratiques exemplaires en matière d architecture. 1 (Comptes publics 2003-2004) 2 Rapport du Comité d examen des dépenses Stratégies pour l amélioration de la TI et de sa gestion, Examen des services de technologie de l information (DDPI du Secrétariat du Conseil du Trésor, mars 2005) 3 Programme de transformation opérationnelle, Sommaire (Secrétariat du Conseil du Trésor, septembre 2004) juin 2008 Page 3

Définitions Lignes directrices du SCT. Une ligne directrice du SCT fournit une orientation, des conseils ou des explications aux gestionnaires ou aux spécialistes des secteurs fonctionnels. L orientation se fonde sur de solides pratiques de gestion que les fonctionnaires doivent prendre en compte dans l exercice de leurs fonctions. Un document fournissant une orientation, des conseils ou des explications aux gestionnaires ou aux spécialistes des secteurs fonctionnels. Profil. À titre de ligne directrice du SCT pour l architecture intégrée, un profil fournit des conseils, une orientation et des explications en matière de pratiques exemplaires pour un domaine donné du GC, il offre des modèles de pratiques exemplaires pour le domaine du GC qui peuvent se transformer en une norme du SCT (c est-à-dire un modèle de référence), il représente la connaissance approfondie de la communauté de pratique du GC pour le domaine, connaissance qui s inspire habituellement de solides pratiques exemplaires de l industrie. juin 2008 Page 4

Remerciements Équipe de base : DDPI, DHI, Secrétariat du Conseil du Trésor DDPI, DTI, Secrétariat du Conseil du Trésor Richard Bryson (auteur principal) James MacPhee Wes McGregor Peter De Souza (auteur V1.2 mise à jour) Bob Wilkinson Comités/groupes de travail/membres du GT du CGI : Agriculture et Agroalimentaire Canada Agence des services frontaliers du Canada Agence du revenu du Canada Centre de la sécurité des télécommunications Service correctionnel du Canada Industrie Canada Défense nationale Travaux publics et Services gouvernementaux Canada Gendarmerie royale du Canada Service Canada Développement social Canada Secrétariat du Conseil du Trésor Stuart Campbell Anne Craig Jean Jones Robert Davison Peter Kusovac Sue Greaves Joe Waddington Christianne Poirier Mike Sayyeau Gino Lechasseur Jeff Peters Alison Armstrong Jenny Steel Ron Broughton Paul Gallant Dan Bernier Sheila Morris Charles Kaszap Jirka Danek Gale Blank Bill Skinner Robert Stewart Paul Teeple Johanne Roberge Brian Graham Chris Brennan Paul Schulte Terri Henderson Robert E. Cloutier Charles E. (Chuck) Henry Richard Bryson Peter De Souza Tom Scott Wayne Job Conseillers : DDPI, DHI, Secrétariat du Conseil du Trésor DDPI, DTI, Secrétariat du Conseil du Trésor DGSI, Travaux publics et Services gouvernementaux Canada META Group Inc. (aujourd hui Gartner Inc.) Chartwell Inc. Bill Brierley Ken Dagg Ken Nguyen Marc Gervais Tom Cockwell Dave Wallace John Bruder Peter Dyck juin 2008 Page 5

1.0 Introduction 1.1 Objet du document Habituellement désignés sous le nom de «services généraux», les services internes du gouvernement du Canada (GC) permettent aux programmes publics et à d autres services internes de fonctionner avec plus d efficacité et d efficience. Le Profil des services internes du GC présente une perspective et un point de référence pangouvernementaux pour les services internes du GC en appui à une approche pangouvernementale commune de la planification, de la conception, de la budgétisation des services internes du GC ainsi que des communications et de l établissement de rapports sur ceux-ci. 4 Le Profil des services de TI du GC présenté décrit : un contexte gouvernemental pour les services de TI concordant avec le Profil des services internes du GC; les ensembles les plus usuels de services de TI du GC pour cinq groupes principaux de services de TI; un cadre commun des programmes des services de TI du GC, composé d un modèle de procédés communs servant à la planification, à l acquisition, à la prestation, à l appui et à l évaluation des services communs de TI du GC; un modèle commun de coûts proposé pour les services de TI du GC. Les ensembles les plus usuels de services de TI du GC sont présentés pour cinq groupes principaux de services de TI : informatique répartie, élaboration et maintenance des applications/bases de données, informatisation de la production et des opérations, réseau de télécommunications données et voix et sécurité de la TI. Un modèle de procédés communs pour les services de TI est utilisé pour planifier, acquérir, bâtir, fournir, soutenir et évaluer les services de TI du GC. Dans sa forme actuelle, la structure de ce modèle des procédés de TI ressemble à l ensemble des programmes fournisseurs du MRSGC et se compose des trois groupes de procédés suivants : les procédés de gestion des programmes, les procédés de prestation des services et les procédés de soutien des services. En outre, un modèle commun de coûts pour les services de TI du GC est présenté et offre un gabarit pour la planification et la budgétisation des coûts directs et indirects des programmes de TI du GC. À titre de ligne directrice du SCT pour le GC, le Profil des services de TI du GC fournit une vue intégrée et un point de référence pour les programmes de TI du GC qui appuient l élaboration de descriptions uniformes des services de TI, de catalogues plus détaillés des services de TI pour les fournisseurs de services de TI (au besoin) ainsi que le fondement d une planification, d une conception et de communications communes des services de TI du GC à l échelle du gouvernement. Au fil des ans, le profil présenté est appelé à se transformer en un modèle de référence normalisé des secteurs de programme pour les services de TI, les services internes du GC et le MRSGC. De plus, le Profil des services de TI du GC peut contribuer à soutenir la réalisation de plusieurs autres recommandations clés du CED visant les programmes de TI du GC en fournissant un cadre d élaboration de catalogues des services de TI plus détaillés et normalisés, en prévoyant la conception d indicateurs de rendement clés (IRC) stratégiques pour les programmes de TI ainsi qu en favorisant un modèle de référence commun de la TI du GC. 4 Profil des services internes du GC (ébauche finale, DDPI, DHI, Secrétariat du Conseil du Trésor, juin 2008) juin 2008 Page 6

1.2 Approche Le Profil des services de TI du GC est le fruit de la collaboration entre la Division de la technologie de l information (DTI) et la Division de l harmonisation et de l interopérabilité (DHI) de la DDPI. Le Profil des services de TI du GC présenté se fonde sur une connaissance et une analyse approfondies de la TI à l échelle de la communauté de pratique de la TI du GC ainsi que sur de solides pratiques exemplaires de l industrie pour les programmes et services de TI, et il s harmonise avec les concepts et les modèles offerts par le Modèle de référence stratégique des gouvernements canadiens 5 (MRSGC). L ébauche initiale du Profil a été dérivée d une analyse et d un résumé de plusieurs études clés du GC et d une recension des écrits sur les pratiques exemplaires pertinentes, énumérées ci-après. Le procédé d élaboration d un cadre décrivant les services de TI a commencé par l examen horizontal de l infrastructure commune et de la prestation des services (ICPS) ayant fait l objet d un rapport en décembre 2003. Les résultats d une évaluation globale de la technologie de l information (EGTI) faisant intervenir de nombreux ministères ont complété les résultats de l étude de l ICPS et fourni une série provisoire de définitions normalisées des services de TI fondées sur les pratiques exemplaires mondiales ayant fait l objet de recherches par des experts de l industrie, le Groupe Gartner Inc. L étude pangouvernementale du CED a perfectionné les descriptions des études de l ICPS et de l EGTI aux fins du sondage pangouvernemental et du rapport sur les services de TI, en prenant appui sur de vastes consultations pangouvernementales faisant intervenir notamment des ministères, des organismes et le Conseil des DPI. Le Profil des services de TI présentée est dérivée d une analyse des études de l ICPS, de l EGTI et du CED, de l analyse de rentabilisation des services de TI d entreprise (TPSGC, 2004) et d une recension d écrits choisis des pratiques exemplaires pertinentes sur les services de TI. L ébauche du Profil des services de TI a été présentée pour approbation aux analystes de l industrie de la TI de META Group Consulting Inc. (qui fait maintenant partie de Gartner Inc.). La version mise à jour (V 1.2, juin 2008) intègre les résultats obtenus par trois ministères «phares» choisis, qui avaient été engagés pour valider la description des services de TI dans un contexte opérationnel réel. L objectif de cet engagement était de déterminer le caractère adéquat, la pertinence et l intégralité des services et d en arriver à une catégorisation holistique des services de TI pouvant être utilisée dans l ensemble du gouvernement aux fins de l établissement de rapports communs sur les dépenses. Le Conseil de gestion de la GI-TI (CGI) du GC a mis sur pied un groupe de travail (GT) qui a fourni des commentaires et conseils précieux sur divers aspects des services de TI dans le cadre de l élaboration du Profil des services de TI du GC, version 1.0 (voir les remerciements pour le GT du CGI). De plus, un sommaire de haut niveau du Profil des services de TI du GC a été présenté au Conseil des DPI du GC pour fins de communication et de commentaires généraux. Après avoir obtenu l aval et les directives du CGI, il faut, pour faire avancer le dossier du Profil des services de TI du GC, susciter la participation de la collectivité de la TI du GC dans son ensemble et exécuter notamment les tâches de mise en œuvre qui suivent : vastes communications pour susciter le soutien de «l effectif de réserve» aux changements, ateliers, mises à l essai ainsi que conseils en matière de mise en œuvre et concordance avec les autres mécanismes de planification et de budgétisation du GC, comme l architecture des activités de programmes (AAP) du GC. 5 Programme de transformation opérationnelle, Sommaire (Secrétariat du Conseil du Trésor, septembre 2004) juin 2008 Page 7

1.3 Contexte Profil des services internes du GC Habituellement désignés sous le nom de «services généraux», les services internes du gouvernement du Canada (GC) permettent aux programmes publics et à d autres services internes de fonctionner avec plus d efficacité et d efficience. Le Profil des services internes du GC présente une perspective et un point de référence pangouvernementaux pour les services internes du GC en appui à une approche pangouvernementale commune de la planification, de la conception et de la budgétisation des services internes du GC ainsi que des communications et de l établissement de rapports sur ceux-ci. 6 Programmes du GC Services internes Gestion et surveillance Communications Services juridiques Gestion des ressources humaines Gestion financière Gestion de l information Technologie de l information Voyages et autres Biens immobiliers Matériel Acquisition Figure 1 Profil (provisoire) des services internes du GC Le Profil des services internes du GC fournit un cadre qui peut appuyer l élaboration de modèles de conception plus détaillés pour les services/initiatives internes du GC, la conception d indicateurs de rendement clés (IRC) stratégiques et la promotion d un modèle de référence commun pour les services internes du GC. Le Profil des services internes du GC décrit les services internes dans les 11 principales catégories de services internes suivantes : Services de gestion et de surveillance Services de communication Services juridiques Services de gestion des ressources humaines Services de gestion financière Services de gestion de l information Services de technologie de l information Services de voyage et autres services administratifs Services immobiliers Services du matériel Services des acquisitions 6 Profil des services internes du GC (ébauche finale, DDPI, DHI, SCT juin 2008) juin 2008 Page 8

Le Profil des services internes du GC continuera d évoluer au fil des ans grâce à l augmentation des connaissances des communautés d intérêt, à l adoption de pratiques exemplaires et aux progrès réalisés dans la modernisation des services internes et les initiatives de services gouvernementaux partagés. juin 2008 Page 9

1.4 Services de TI du GC en bref Le Profil des services de TI du GC, illustré au tableau 1, décrit les ensembles les plus usuels de services de TI du GC pour cinq groupes principaux de services de TI : informatique répartie, élaboration et maintenance des applications/bases de données, informatisation de la production et des opérations, télécommunications (données et voix) et sécurité de la TI. Groupes de services de TI du GC Informatique répartie Services de TI du GC Services liés aux postes de travail Progiciels de bureau et de bureautique Services de groupes de travail coopératifs Services de courriel et d annuaires Services ministériels du GC/applications propres à un programme Services de fichiers/d impression Services d accès à distance Élaboration et maintenance des applications/bases de données Services d élaboration et de maintenance des applications Services d élaboration et de maintenance des bases de données Services de mise en place Services d intégration Services de mise au point et de mise à l essai Services de certification / diffusion Informatisation de la production et des opérations Télécommunications (données et voix) Services d informatique utilitaires Services spécialisés d hébergement et de gestion des applications Services de gestion des installations Services d infrastructure de réseaux de données Services de réseau à l intérieur des centres de données et entre eux Services de réseau vocal Services de centres d appels Sécurité de la TI Services de protection de l environnement de la TI Services d identification, d authentification et d autorisation Services de communications sécurisées Services de défense du périmètre, de détection, d intervention, de reprise et de vérification Tableau 1 Profil sommaire des services de TI du GC Les ensembles communs de services de TI du GC de chaque grand groupe de services de TI du GC sont décrits à la section 2.0 juin 2008 Page 10

1.5 Cadre des programmes des services de TI du GC survol Les services de TI du GC sont planifiés, acquis, bâtis, fournis, soutenus et évalués selon un modèle de procédés communs pour les services de TI. Dans sa forme actuelle, la structure de ce modèle des procédés de TI ressemble à l ensemble des programmes fournisseurs du MRSGC et se compose des trois groupes de procédés suivants : les procédés de gestion des programmes 7 ; les procédés de prestation des services 8 ; les procédés de soutien des services. Figure 2 Modèle de procédés pour le cadre des programmes des services de TI du GC Les procédés communs de la TI du GC composant le cadre des programmes des services de TI du GC indiqué ci-dessus ainsi que des renseignements additionnels et un modèle proposé de coûts de la TI sont décrits à la section 3.4. 7 Les procédés de gestion du programme sont deux du COBIT 8 Les procédés de prestation des services, de soutien des services et de sécurité des services sont ceux de la BITI juin 2008 Page 11

2.0 Profil des services de TI du GC 2.1 Services d informatique répartie Les services d informatique répartie (SIR) englobent la fourniture et le soutien qui permettent aux utilisateurs d avoir un accès local et à distance à des applications individuelles, des applications de groupe de travail, des applications propres à un programme de SIR et des applications ministérielles de SIR, la fourniture et le soutien de postes de travail et de fonctions de réseau local (RL, matériel ou virtuel), y compris des services de fichiers/d impression et d annuaires. Services de poste de travail : fourniture et soutien de capacités sous-jacentes, dont le matériel de poste de travail local (tout dispositif d interface normalisé), pour accéder aux applications de SIR et les utiliser et servir d interface avec tous les autres services et applications autorisés. Les composantes comprennent le matériel des postes de travail (ordinateur de bureau, ordinateur portatif, dispositif de client léger, assistant numérique personnel (ANP côté données)); les activités de fourniture/soutien (dont l approvisionnement, l installation et la configuration, l exploitation, la protection et la mise hors service); le système d exploitation, le navigateur Internet et les portails ministériels. Progiciels de bureau et de bureautique : fourniture et soutien technique d applications progicielles de bureau et de bureautique et d utilitaires normalisés locaux/de RL (matériel ou virtuel). Les composantes comprennent les progiciels de bureau/normalisés (traitement de texte, présentation, tableur, etc.), les applications de gestion de dossiers et de documents (p. ex. le SGDDI), les activités de fourniture et de soutien (dont l approvisionnement, l installation et la configuration, l exploitation, la protection et la mise hors service) et les utilitaires normalisés locaux/de RL comme les antivirus, les utilitaires de sécurité, les outils de manipulation des données et les utilitaires d impression clients. Services de groupe de travail coopératifs : fourniture et soutien technique d applications de groupe de travail coopératives. Les composantes comprennent les outils coopératifs de groupes de travail (p. ex. ordonnancement de groupe, applications de base de données de groupe, forums électroniques et/ou espaces de travail de communautés d intérêt, wikis autorisés, blogues et autres utilitaires électroniques de collaboration. Services de courriel et d annuaires : soutien de fonctions de courriel, y compris la transmission, la messagerie instantanée et l ordonnancement, et de services d annuaires. Les composantes comprennent les serveurs de courrier, y compris toutes les activités telles que l approvisionnement, la configuration et la protection, et le service d annuaires à accès logique qui fournit la série de capacités à l appui des privilèges d identité ou fondés sur le groupe aux utilisateurs qui doivent avoir accès aux systèmes d informatique répartie, aux données et/ou aux imprimantes. Services ministériels du GC/applications propres à un programme : fourniture de la série de capacités assurant le fonctionnement et le soutien d applications propres à un programme et ministérielles qui permettent les activités de prestation des services, d administration, de gestion, de gestion de l information et de prise de décisions dans un environnement d informatique répartie. Les fonctions comprennent des «composantes communes» qui sont des procédés opérationnels automatisés (tels que la vérification de carte de crédit, le changement d adresse, etc.). Les composantes englobent les applications d informatique répartie propres à un programme, les applications ministérielles d informatique répartie et les composantes communes d informatique répartie. juin 2008 Page 12

Services de fichiers/d impression : fourniture de la série de capacités à l appui de l accès par les utilisateurs et les groupes au stockage, à l extraction et à la protection des documents de bureau (comme le traitement de texte, les tableurs, les présentations, etc.), aux fichiers de données de SIR et aux dossiers partagés des groupes de travail et fourniture de services d impression «côté serveur». Les composantes comprennent les serveurs de partage/gestion de fichiers et les services d impression côté serveur. Services d accès à distance : fourniture de la série de capacités à l appui des utilisateurs finals à distance ayant complètement accès aux composantes du service d informatique répartie de bureau, aux applications et aux données normalisées grâce à un accès à distance protégé, à un accès par réseau commuté ou à un accès par service sans fil. Les composantes comprennent les logiciels et le matériel d accès à distance et les logiciels de communication. 2.2 Services d élaboration et de maintenance des applications/bases de données Les services d élaboration et de maintenance des applications/bases de données comprennent l élaboration, la mise en place, l intégration et la maintenance des services ministériels d élaboration d applications de TI et de gestion de bases de données. Ces services englobent tous les services liés à l élaboration, la mise à l essai, l intégration, la mise en service, le déploiement, l entretien, la diffusion et la gestion des systèmes de gestion des applications de TI et de bases de données. Dans ce contexte, une application est une forme automatisée de procédés opérationnels qui peuvent être une application sur mesure, une application adaptée (d un progiciel) ou une application améliorée (maintenance). Une base de données est une forme automatisée d applications et de procédés opérationnels de soutien des données/de l information. Les composantes des applications et des bases de données répondent aux besoins de traitement propres à un programme, inter-programmes et à l échelle de l entreprise. Services d élaboration et de maintenance des applications : fourniture d une nouvelle fonctionnalité (codage sur mesure), d une fonctionnalité adaptée (adaptation d un progiciel) ou d une capacité accrue (maintenance d une application en place) en réponse aux besoins opérationnels, suivant une méthode structurée d élaboration (de maintenance) de systèmes et conformément aux exigences des politiques, des lois ou des exigences liées à la prestation des services. Les services comprennent aussi l élaboration de fonctionnalités pour intégrer ou relier les applications/composantes internes ou externes. Les activités de maintenance se rapportent aux interruptions et réparations, à la correction et à l amélioration des systèmes d exploitation/d analyse de l incidence des applications. Les composantes englobent les activités de planification, de définition, de conception/spécification/vérification, d acquisition (s il y a lieu), de programmation (s il y a lieu), d intégration (s il y a lieu), de documentation et de présentation de rapports et de gestion. Services d élaboration et de maintenance des bases de données : élaboration, installation, gestion, surveillance et soutien de systèmes de gestion de bases de données, y compris les architectures de bases de données pour les systèmes d information, les modèles de données, les plates-formes de diffusion, les systèmes et les procédures régissant la collecte de données, l administration des données, la sauvegarde et la reprise et l accès aux données et la sécurité des données. De plus, ces services comprennent la définition de modèles et d architectures de données intégrés, la sélection, l application et la mise en service d outils de gestion de bases de données, les nouveaux usages de la technologie de bases de données, les interrelations entre le matériel/les logiciels/les données et les utilisateurs et les règles relatives à la qualité, à la confidentialité, à la sécurité des données et à l accès à celles-ci. juin 2008 Page 13

Services de mise en place : soutien à la mise en service et à la mise en place d applications/de bases de données nouvelles, adaptées ou améliorées et de toute technologie de déploiement à l appui. La mise en place se fonde sur des procédés normalisés de l Information Technology Infrastructure Library (ITIL). Les activités de mise en place se rapportent à la promotion d applications/de bases de données «diffusées» dans le milieu de production et à tous les procédés liés à la mise en service. Les composantes comprennent l acquisition du matériel et des logiciels, la configuration et le réglage, la mise en scène, l installation et la formation du groupe client/utilisateur. Services d intégration : soutien à la mise en place et à la gestion de services qui lient les applications/bases de données (sur mesure ou de série) les unes aux autres ou avec la technologie de l information établie ou prévue et utilisant des interfaces normalisées de programmation d applications (API). Les services d intégration se rapportent à l intégration sur le plan technique (c.-à-d. à l échelon du flux des travaux, des procédés opérationnels, en fonction des besoins opérationnels ou techniques). Les composantes comprennent les protocoles d interface normalisés, les intergiciels et les protocoles d adaptateur/interface normalisés. Services de mise au point et de mise à l essai : appui à un mécanisme consolidé et géré pour des services de base de laboratoires d ingénierie s acquittant de l élaboration et des essais de configuration des nouveaux produits logiciels et matériels ou s occupant de dépannage et de correction des produits logiciels ou matériels en place destinés à l environnement de l informatisation de la production et des opérations. Les composantes englobent tous les types de mises à l essai : fonctionnalité, stress, intégration des systèmes, essai d interfonctionnement, essai pour les utilisateurs et essai d acceptation, assurance de la qualité (analyse des incidences dans un contexte de mise à l essai) et état de préparation à la production et aux opérations. Services de certification/diffusion : appui à l environnement de mise à l essai post-élaboration et pré-production qui veille à ce que les applications/bases de données nouvelles ou améliorées en voie de mise en place dans l environnement de production soient certifiés conformes à toutes les normes et ne nuiront pas à l infrastructure d applications et de technologie de production en place dans l état de leur version de diffusion. Les services de certification et de diffusion se fondent sur les procédés normalisés de l Information Technology Infrastructure Library (ITIL). Les composantes comprennent la certification, l assurance de la qualité (de l analyse des incidences à la production) et la diffusion à l environnement de la production et des opérations. 2.3 Services d informatisation de la production et des opérations Les services d informatisation de la production et des opérations comprennent la prestation, le soutien technique et la certification liés à l hébergement des opérations quotidiennes de l entreprise et de ses applications de production et des environnements informatisés de bases de données, y compris les environnements d applications Web, quel que soit l endroit où ils résident dans le centre de données virtualisé ou l unité opérationnelle (dans une salle de serveur). Ce groupe de services comprend la mise en œuvre des plans de reprise des activités et de reprise après sinistre élaborés par les services de sécurité. Services d informatique utilitaires : fourniture du soutien et des capacités permettant de déployer des services techniques, des procédures et des options de soutien personnalisées d approvisionnement reproductibles dans une infrastructure technologique très disponible, extensible, fiable, sûre et gérable. Ils fournissent en outre la série de capacités à l appui des activités propres à un programme qui ne demandent pas d infrastructure technologique, de services techniques et de systèmes d applications administratives particuliers. Les composantes comprennent le matériel et les systèmes logiciels d exploitation du centre de données ou de la salle du serveur, les opérations d infrastructure, y compris la certification du nouveau matériel, la gestion de l entreposage et des serveurs propres à des systèmes de bases de données et d applications, les répertoires pour les juin 2008 Page 14

applications, le service de dénomination des données et d autres utilisations, la configuration des données et des applications (production), l entreposage centralisé, la sauvegarde et la reprise, y compris la reprise des activités et la reprise après sinistre (en tant qu activité), la distribution/mise à niveau des logiciels (activités de maintenance courantes par opposition aux activités requises), les mises à niveau/extensions du matériel du centre de données ou de la salle du serveur, les services centralisés d impression et de distribution, l analyse de l établissement de la taille et de l extensibilité de la technologie dans le cadre des services d informatique utilitaires, les installations, déplacements, ajouts et modifications des systèmes dans le centre de données ou la salle du serveur, la surveillance, les rajustements, le contrôle et le système de gestion du rendement, l administration des comptes d utilisateurs, l inventaire des biens, la gestion des licences et les environnements techniques à l appui de la recherche et des essais. Services spécialisés d hébergement et de gestion des applications : fourniture du soutien et des capacités liés à l exploitation et à la gestion de l environnement technique particulier ou spécialisé qui peut faire appel à du matériel informatique spécialisé et qui ne fait pas partie des services informatiques «utilitaires». Les composantes englobent le matériel informatique spécialisé. Services de gestion des installations : fourniture de l appui et des capacités liés à la gestion de bout en bout des complexes physiques et des installations informatiques et aux services de gestion des installations dans un centre de données ou une salle de serveur. Les composantes englobent les systèmes de chauffage, de ventilation et de refroidissement, les contrôles environnementaux, l alimentation continue en électricité, les moteurs diesel, l électricité conditionnée, la distribution de l électricité, la sécurité physique, le câblage, le rayonnement de l équipement, etc. 2.4 Services de télécommunications (données et voix) Les services de télécommunications comprennent la transmission de données et de la voix au sein et dans l ensemble de l entreprise. Les services de réseaux de données comprennent la fourniture et le soutien permanent de réseaux de communications et de données électroniques à plates-formes multiples et à protocoles multiples, ce qui comprend tous les logiciels de même que le câblage, les commutateurs, les concentrateurs, les routeurs et toutes les autres pièces de matériel requises pour soutenir les communications de données entre les appareils informatiques. Les services de communication de la voix englobent la prestation à l échelle mondiale des services locaux et interurbains, de même que les services de transmission par télécopieur, de boîtes vocales, de conférences vidéos, les services protégés de transmission de la voix et autres services connexes, qui comprennent tous les environnements logiciels et matériels des entreprises de télécommunications. Nota : Ce groupe de services est très axé sur la convergence des réseaux d audio-messagerie et de données. Services d infrastructure de réseaux de données : fourniture de l appui et des capacités pour tout le trafic des réseaux de données entre les nœuds du réseau (origine interne et externe de la transmission). Ils offrent un soutien à la connectivité de l accès de la clientèle lorsque les collectivités d utilisateurs sont branchées à l infrastructure de réseau de données. Les services comprennent les activités opérationnelles de gestion et de réseau pour l infrastructure de réseau de données. Les composantes englobent les unités CSU/DSU, les circuits privés, les relais de trames, les connexions Internet spécialisées, les connexions Internet publiques à large bande, les RPV privés et publics sur Internet, les satellites, les micro-ondes et l accès commuté. Services de réseau à l intérieur des centres de données et entre eux : fourniture de l appui et des capacités liés à la transposition de l interconnectivité des éléments de réseau entre les installations de transmission et les installations informatiques. Les services comprennent les multiplexeurs, les commutateurs, les ponts, les routeurs, les convertisseurs de protocoles et les passerelles de RPV. juin 2008 Page 15

Services de réseau vocal : fourniture de l appui et des capacités liés aux composantes du réseau interurbain, inter-campus et privé (c est-à-dire celui qui est géré à l interne à l échelle d une installation intégrée) et du réseau virtuel (c est-à-dire le service externe géré par le fournisseur) tout en fournissant la série de capacités à l appui des logiciels et du matériel d un réseau vocal virtuel, d un réseau de transmission sécurisée de la voix et d un réseau vocal privé. Ces services comprennent les activités opérationnelles de gestion et de réseau pour l infrastructure de réseau vocal. Les composantes englobent le réseau téléphonique commuté public (RTCP), les vidéoconférences de point à point, les lignes d accès spécialisées, les réseaux privés virtuels (SDN, V-Net, RPV), les autocommutateurs privés (PBX) ou en tandem, les services vocaux sur tous les appareils d accès du côté client et de poche (comme les téléphones cellulaires, les assistants numériques personnels, les kiosques, les Blackberries, etc.). Services de centres d appels : fourniture des capacités et de la technologie qui permettent aux intéressés externes (citoyens, autres administrations, entreprises, etc.) et internes de communiquer par divers supports et voies de communication avec un agent de service ou un système de libreservice automatisé du gouvernement. Ces services comprennent les activités opérationnelles de gestion et de réseau pour l infrastructure des centres d appels. Les composantes comprennent la réponse vocale interactive (RVI), les autocommutateurs privés (PBX), le distributeur d appels automatisé (DAA), le service Centrex, les numéros sans frais d interurbain, les téléphones et le matériel connexe et les systèmes de gestion et de surveillance des centres d appels. 2.5 Services de sécurité de la TI Les services de sécurité de la TI s intéressent à l'application des «mesures de sauvegarde visant à préserver la confidentialité, l intégrité, la disponibilité, l utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique». (Politique du gouvernement sur la sécurité, Norme de gestion de la sécurité des TI) Services de protection de l environnement de la TI : fourniture de la série de capacités qui appuient les mesures de sécurité physique qui réduisent le risque d accès non autorisé à l information, aux actifs de la TI et aux installations. Ils comprennent la protection et la disposition de supports de TI délicats dans des contenants appropriés qui résistent au feu, au dommage environnemental et aux dangers imprévus (pour l entreposage sur place et hors site), de même que l utilisation de la protection TEMPEST pour faire en sorte que les émanations de signaux émis ne contiennent pas de renseignements compromettants. Les services de protection de l environnement de la TI supposent en outre l identification du personnel assurée par la série de capacités à l appui de l établissement de la confiance dans les employés et d autres personnes, qui ont besoin d avoir accès aux installations, systèmes et réseaux du gouvernement, ce qui comprend les exigences en matière de sécurité aux fins des vérifications de sécurité du personnel. Les composantes englobent les lecteurs de cartes des emplacements physiques et la protection et la disposition de supports de TI délicats dans des contenants appropriés qui résistent au feu, au dommage environnemental et aux dangers imprévus (pour l entreposage sur place et hors site). Services d identification, d authentification et d autorisation : fourniture de la série de capacités à l appui de l obtention des renseignements concernant les parties qui tentent d entrer en communication avec un système ou une application à des fins de sécurité et de validation de celles-ci. Les mécanismes de contrôle des privilèges et de l accès et leur gestion sont fournis pour soutenir l octroi des capacités aux utilisateurs ou aux groupes d utilisateurs d un ordinateur, d une application ou d un réseau ainsi que le soutien de la confirmation de l autorisation d accès à un système, une application ou un réseau informatique. juin 2008 Page 16

Le service se compose habituellement de la gestion de l accès, de l authentification, de l administration déléguée, des services d annuaires, des identifiés fiables, de la gestion des mots de passe, de l approvisionnement, de la gestion des privilèges, du libre-service et de l authentification unique. Dans la pratique, il peut mettre à profit l infrastructure à clé publique, qui désigne un système de certificats numériques, d autorités de certification et d autres autorités d enregistrement qui vérifie et authentifie la validité de chaque partie intervenant dans une transaction électronique. Sont également compris les services de non-répudiation qui fournissent la série de capacités qui empêchent une personne ou une entité de nier avoir exécuté une certaine mesure liée à des données en rendant disponibles les fichiers historiques des mesures liées à une transaction. Les composantes comprennent la technologie de gestion de l accès et les logiciels de soutien à l appui (ce qui comprend les cartes à puce, les lecteurs biométriques, les numéros d identification des utilisateurs/mots de passe, etc.), les logiciels d authentification (identités fiables et pseudonymes) et de gestion des mots de passe (possibilité de mettre à profit une ICP, ce qui inclurait des activités de gestion de soutien à l ICP), l approvisionnement, la gestion des privilèges, l administration déléguée et les services d annuaires de sécurité. Services de communications sécurisées : fourniture de la série de capacités permettant de sécuriser les communications en fonction des exigences relatives à la sensibilité (confidentialité, intégrité et disponibilité) de l information. Des mécanismes cryptographiques comme le chiffrement sont utilisés pour protéger la confidentialité des communications de la voix et des données. La protection cryptographique fait également intervenir le recours aux signatures numériques pour fournir une série de capacités qui vérifient l authenticité des données et empêchent la modification, la suppression, la création et la reproduction non autorisées. Les services de conseils, d orientation et techniques en matière de sécurité cryptographique sont fournis pour veiller à ce que les renseignements délicats et classifiés reçoivent le niveau de protection qui convient. Les communications sécurisées exigent le recours à une infrastructure de gestion des clés fiable et robuste. Les services de gestion des clés comme l exploitation du Système canadien de gestion électronique des clés classifié (SCGECC) et de l Infrastructure à clé publique du GC sont fournis pour assurer une source fiable de matériel cryptographique. Soutien aux communications sécurisées en fonction des exigences relatives à la sensibilité (confidentialité, intégrité et disponibilité) de l information. Les composantes comprennent les mécanismes cryptographiques comme le chiffrement utilisé pour protéger la confidentialité des communications de la voix et des données, la protection cryptographique, qui peut également faire intervenir le recours aux signatures numériques pour fournir une série de capacités qui vérifient l authenticité des données et empêchent la modification, la suppression, la création et la reproduction non autorisées et les services de conseils, d orientation et techniques fournis pour veiller à ce que les renseignements délicats et classifiés reçoivent le niveau de protection qui convient. Services de défense du périmètre, de détection, d intervention, de reprise et de vérification : fourniture de la série de capacités qui appuient les services de sécurité du réseau aux limites de ce dernier, ce qui comprend les pare-feu, les systèmes de détection des intrusions, les passerelles antivirus ou antivandales, les filtres de contenus, les passerelles antipourriels, les logiciels de détection de code malicieux et un endroit sûr pour les services de sécurité des applications (DMZ). La série de capacités à l appui de la détection de l accès non autorisé à des systèmes informatiques s inscrit également dans ce service, qui fournit les capacités à l appui de la surveillance, de l analyse, du mappage des lecteurs réseaux et de la collecte d alarmes, d événements ou d incidents. Les services d intervention en cas d incident fournissent la série de capacités qui appuient les mesures efficaces d intervention en cas d incident ou d attaque en atténuant l effet de ces incidents sur les systèmes et les réseaux et en signalant les incidents à tous les niveaux d autorité de l entreprise. La présentation de rapports sur les incidents fournit la série de capacités qui appuient la transmission juin 2008 Page 17

des particularités de l incident, ce qui comprend l impact et les mesures d intervention. La saisie et l analyse des pistes de vérification fournissent la série de capacités qui appuient l identification et la surveillance ainsi que l analyse postérieure à l incident dans une application ou un système. Sont également fournis les services de protection de l infrastructure d information qui comprennent les activités typiquement associées aux évaluations de la vulnérabilité du réseau, à l analyse des agents, outils, techniques ou tendances techniques en matière de menaces, au soutien de l analyse des incidents et à la formation et à la sensibilisation ainsi que les activités liées à la politique de sécurité de la TI, à la vérification de la sécurité, à la planification de la reprise après sinistre/reprise des activités, aux évaluations de la vulnérabilité des réseaux et les activités d isolation. Les composantes englobent les pare-feu, les systèmes de détection des intrusions, les passerelles antivirus ou antivandales, les filtres de contenus, les passerelles antipourriels, les logiciels de détection de codes malicieux, un endroit sûr pour les services de sécurité des applications (DMZ), la surveillance, l analyse, le mappage des lecteurs réseaux et la collecte d alarmes, d événements ou d incidents et la saisie et l analyse des pistes de vérification, qui fournissent la série de capacités à l appui de l identification et de la surveillance et à l appui de l analyse postérieure à l incident dans une application ou un système. Services élargis et comprenant les services décrits dans la politique du SCT Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l information (GSTI), avril 2004, partie III Mesures de protection techniques et opérationnelles, sections 16, 17 et 18. juin 2008 Page 18

3.0 Profil du cadre des programmes des services de TI du GC Survol Les Services de TI du GC indiqués ci-dessus sont ceux que voient les clients de la TI. Ils sont planifiés, acquis, construits, livrés, soutenus et évalués en fonction d un modèle de procédés communs pour les services de TI. Comme le montre la figure 3, la structure de ce modèle de procédés pour la TI ressemble à tous les programmes fournisseurs du MRSGC et se compose de trois groupes de procédés : les procédés de gestion de programme gèrent l orientation, l acquisition et l investissement ainsi que le rendement global du programme; les procédés de prestation des services fournissent les procédés de planification, d approvisionnement, de prestation et de désaffectation des services fournis par le programme; les procédés de soutien des services fournissent les procédés de soutien communs à tous les services fournis par le programme. Figure 3 Modèle de procédés pour le cadre des programmes des services de TI du GC En ce qui a trait aux services de la TI, cette structure de programme se prête à l utilisation des pratiques exemplaires internationales généralement reconnues qui sont offertes par les Objectifs de contrôle de l information et des technologies connexes (COBIT) et la Bibliothèque de l infrastructure de la TI (BITI) aux fins de la gestion des services. juin 2008 Page 19