Sommaire de la Vérification du Systèmes, applications et produits de traitement de données de la sécurité (SAP) à l’ACDI

Le rapport de vérification est diffusé dix-huit mois environ après la fin de la vérification ou la phase de contrôle. Le moment choisi pour diffuser le rapport répond au double objectif suivant :

• Le processus d'établissement du rapport est simplifié puisqu'il se résume à la publication d'un seul rapport sur la sécurité du SAP qui aborde uniquement les constatations les plus pertinentes des vérifications réalisées sur le développement du SAP, sur une période prolongée. On se sert de cette pratique généralement reconnue dans l'ensemble du secteur pour vérifier de grands projets de développement de systèmes en trois phases distinctes, à savoir : une vérification de pré-mise en œuvre avant que ne débutent les travaux de conception du système, une vérification de mise en œuvre ou vérification du système en développement (SED), ainsi qu'une vérification de suivi (laquelle s'effectue en général dans les 6 à 12 mois suivant le déploiement du système). La DGER a appliqué cette norme, en conséquence de quoi on a procédé à un examen SED complet de la sécurité du SAP au début de 1999, à un examen SED de la sécurité du module RH-SAP avant sa mise en œuvre par étapes, qui a débuté en octobre 2000, et à la vérification de suivi en juin 2001. Toutefois, l'intégration des solutions itératives et de développement du SAP aux constatations du vérificateur a engendré une chaîne complexe d'éléments du plan d'action qui ont donné lieu à un chevauchement fréquent et à une certaine redondance.
• Les plans d'action périmés sont éliminés. Plusieurs constatations et mesures correctives des vérifications de sécurité antérieures du SAP ont été surpassées par des modifications apportées à la fonctionnalité du système, par l'attribution de nouvelles responsabilités et par l'adoption de nouveaux processus de contrôle issus de la nature progressive et intégrée du développement du SAP.

Le présent rapport rend compte des constatations du vérificateur datant de juillet 2001. Toutefois, la direction soutient que le statut actuel des 12 plans d'action est le suivant : neuf sont achevés, un attend d'être officiellement approuvés et deux sont en cours de mise en œuvre.

Comme les plans d'action ont été achevés sur une période de deux ans et qu'ils renferment la mise en œuvre d'une politique relative à la sécurité et aux pratiques connexes, une vérification de suivi de la sécurité du SAP est prévue pour l'exercice 2004-2005.

Une vérification de suivi de la sécurité du logiciel SAP R/3 (Systèmes, applications et produits de traitement de données) du Système d'information de l'ACDI (SIA) a été effectuée en juillet 2001, conformément au plan de vérification interne 2001-2002. La vérification visait à établir si un cadre pertinent et efficace régissant la sécurité d'accès avait été conçu, mis en œuvre et mis à jour. La vérification portait sur la sécurité logique ou logicielle des éléments et modules actifs du système SAP du SIA.

La vérification de la sécurité du SAP ciblait la sécurité logique et, plus précisément, l'attribution aux utilisateurs de l'Agence de groupes d'activité/profils d'accès au système. Cette évaluation des groupes d'activité/profils d'accès au système avait pour but de s'assurer que les privilèges d'accès accordés aux utilisateurs correspondaient aux fonctions assignées à ces derniers dans leur travail quotidien.

L'activité de vérification englobait l'examen des politiques et procédures appuyant la fonction de sécurité, la conception et l'attribution de groupes d'activité reliés à la sécurité du SAP R/3, ainsi que des contrôles choisis. Les politiques et procédures appuyant la fonction de sécurité et la conception et l'attribution de groupes d'activité liés à la sécurité du SAP R/3 fournissent le cadre nécessaire à la conception, à la mise à jour et au contrôle de groupes d'activité, ainsi qu'à l'octroi de droits d'accès à des utilisateurs finaux. Un examen de la documentation relative aux politiques et procédures de contrôle de la sécurité, de la documentation de conception, des stratégies de configuration, des interprétations de la Loi sur la protection des renseignements personnels et des interprétations d'autres dispositions statutaires portant sur la protection des renseignements personnels a également été effectué. Enfin, l'approche en matière de sécurité adoptée par l'ACDI à l'égard du SAP a été comparée aux meilleures pratiques généralement reconnues dans le secteur.

Voici un résumé des constatations clés :

Sécurité d'accès logique - La vérification a révélé qu'aucun cadre de contrôle adéquat des processus touchant la sécurité et la mise à jour du SAP n'avait été mis en place. Même si l'accès a en général été accordé aux utilisateurs du SIA en fonction de leurs besoins opérationnels et qu'il a toujours été accordé conformément à des groupes d'activité documentés, plusieurs exceptions d'importance notable persistent, lesquelles touchent l'intégrité des processus de sécurité existants. Par exemple, une matrice officielle de répartition des tâches devrait être approuvée et évaluée en regard des profils du SAP, et seul le Groupe de la sécurité et des autorisations SAP devrait pouvoir créer, modifier et supprimer des comptes d'utilisateurs du SAP. La direction a déclaré avoir pris des mesures à ce sujet et sur d'autres enjeux liés à la sécurité d'accès logique.

Risque lié à l'utilisateur - Un cadre de contrôle adéquat est en place pour atténuer le risque inhérent aux activités des utilisateurs finaux dans le système SAP. Toutefois, il est recommandé de mener d'autres études pour consolider le cadre de contrôle existant. Par exemple, seuls les employés de l'ACDI autorisés devraient pouvoir approuver les demandes d'accès au système SAP. La direction a déclaré avoir pris des mesures pour éliminer ce risque et d'autres risques liés à l'utilisateur.

Contrôle de la sécurité et établissement de rapports - Nous avons constaté que le cadre de contrôle visant à surveiller et à communiquer les risques associés à la sécurité de manière continue ne satisfaisait pas les besoins en matière de sécurité et de gestion. Les travaux visant à renforcer ce secteur de contrôle devraient inclure un processus de suivi pour : (définir, documenter, approuver et communiquer) afin de surveiller et communiquer de manière continue les incidents et les risques en matière de sécurité. La direction a déclaré avoir pris des mesures en ce sens.

Politiques et procédures officielles sur la sécurité d'accès - Une politique relative à la sécurité du SIA a été élaborée sous forme de projet de document au moment de la vérification; toutefois, il n'était pas prévu de faire approuver cette politique par la direction ni de la distribuer aux intervenants clés. Des politiques et procédures officielles sur la sécurité du SIA contribueront à faire en sorte que l'accès soit autorisé de façon uniforme dans toute l'Agence et que toutes les responsabilités d'autorisation d'accès soient clairement définies et attribuées aux personnes compétentes. La direction a déclaré avoir pris des mesures pour mettre en place des politiques et procédures de sécurité.

Pour conclure, si on veut que le SIA soit protégé de manière efficace contre tout accès non autorisé ou opération involontaire, sa sécurité doit être planifiée, gérée et contrôlée de façon rigoureuse. Même si certains éléments du cadre de sécurité étaient déjà en place en juillet 2001 et même si des efforts ont été déployés pour résoudre les problèmes de sécurité issus de cette vérification et d'autres examens de sécurité antérieurs, il faut poursuivre les travaux dans plusieurs secteurs touchant la sécurité du SAP, soit les politiques, la planification, le contrôle et l'établissement de rapports. Un certain nombre de recommandations ont été formulées pour résoudre les problèmes de la sécurité d'accès dans ces secteurs.

Dans toutes les instances pertinentes, la direction a pris ou est en train de prendre les mesures qui s'imposaient à la suite des recommandations formulées dans le rapport de vérification.

---

Format PDF

Note : Si vous ne pouvez accéder au format de rechange, veuillez visiter la page d'Aide.

Sommaire de la Vérification du Systèmes, applications et produits de traitement de données de la sécurité (SAP) à l'ACDI (202.6 Ko, 25 pages)