Services partagés Canada : Comité permanent de la procédure et des affaires de la Chambre – 10 juin 2022
Navigation pour document « Comité permanent de la procédure et des affaires de la Chambre : 10 juin 2022 »
Sur cette page
- Aperçu de la cybersécurité
- Retour au travail
- Impartition de services de technologie d’information par le gouvernement
- Réponse au Rapport de la Comité des parlementaires sur la sécurité nationale
- Contrat de gestion des services de technologie de l’information
- Services partagés Canada : Approvisionnement des produits Cisco
- Rapport du Comité permanent des comptes publics sur l’approvisionnement complexe de technologie de l’information
Aperçu de la cybersécurité
Réponse suggérée
- Services partagés Canada (SPC) travaille sans relâche pour conserver des réseaux sûrs, sécuritaires et accessibles pour les Canadiens
- La cybersécurité est une responsabilité partagée entre SPC, le Centre de la sécurité des télécommunications (CST), le Secrétariat du Conseil du Trésor du Canada (SCT) ainsi que chaque ministères. SPC est une partie intégrante du groupe de cybersécurité tripartite
- SPC appuie la conception, l’exécution et la gestion efficace des initiatives de sécurité prioritaires touchant les systèmes du gouvernement et les opérations gouvernementales
- Lorsqu’un événement lié à la cybersécurité survient au sein de son infrastructure de réseau, SPC et ses partenaires coordonnent avec les ministères et organismes prise en charge par SPC pour déterminer les causes profondes, limiter l’impact et entreprendre le rétablissement. Cela est également vrai pour composantes dans le nuage gérés par SPC
- SPC travaille continuellement pour accroître la cybersécurité des biens numériques du gouvernement du Canada en préparant pour tous types d’incidents cybernétiques et pour répondre aux menaces
Si l’on insiste sur le budget de 2022 :
- la Stratégie nationale de cybersécurité, annoncée en 2018, vise à protéger les Canadiens contre l’évolution des menaces à la cybersécurité qui ciblent les Canadiens, les entreprises canadiennes et nos infrastructures essentielles
- à mesure que les Canadiens deviennent de plus en plus dépendants des systèmes numériques, les conséquences potentielles des cyberincidents continuent d’augmenter, et le Canada doit être prêt
- c’est pourquoi le budget de 2022 propose de fournir 875,2 millions de dollars sur 5 ans, à compter de 2022 à 2023, et 238,2 millions de dollars en cours pour des mesures supplémentaires visant à faire face à l’évolution rapide du paysage des cybermenaces
- cela comprend 178,7 millions de dollars sur 5 ans alloués à SPC et à CST, à compter de 2022 à 2023, et 39,5 millions de dollars en cours, afin d’accroître la protection de la cybersécurité pour les petits organismes ministériels et les sociétés d’État
Si l’on insiste sur la responsabilité de SPC vs. celle de la CST:
- bien que la plupart des systèmes de sécurité servant à protéger le gouvernement sont conçus et gérés par SPC, le Centre canadien de cybersécurité (Centre de cybersécurité) utilise aussi un éventail de solutions complémentaires qui lui sont propres pour complémenter systèmes de sécurité gérés par SPC
- alors que SPC fournit une infrastructure de sécurité des technologies de l'information (TI), le Cyber Centre surveille les systèmes et les réseaux gouvernementaux à la recherche d’activités malveillantes, et dirige la réponse opérationnelle du gouvernement aux événements de cybersécurité
Éléments de données clés
- Services partagés Canada a pour mandat de gérer les services d’infrastructure de TI liés au courriel, aux centres de données et aux télécommunications pour 43 autres organisations fédérales
- Selon son rapport annuel 2020 à 2021, le Centre de la sécurité des télécommunications bloque régulièrement entre 2 et 7 milliards d’actions malveillantes chaque jour
Historique
Aperçu
Le gouvernement du Canada (GC) travaille continuellement à améliorer la cybersécurité au Canada par la prévention des attaques au moyen de mesures de sécurité robustes, en cernant les cybermenaces et les vulnérabilités informatiques, et en étant prêt à répondre à toutes sortes de cyber incidents afin de mieux protéger le Canada et les Canadiens.
Le GC a amélioré sa capacité d’entreprise afin de détecter, défendre et répondre aux menaces cybernétiques; a centralisé les services de points d’accès à Internet; a lancé un programme d’architecture de sécurité de l’entreprise; a jeté les bases d’un programme de cybersécurité du GC et mis en œuvre un plan d'intervention en cas d'incident pangouvernementale.
Compte tenu de la nature transversale de la cybersécurité, un certain nombre d’autres ministères et organismes fédéraux jouent un rôle dans différents aspects de la cybersécurité, y compris : le SCT, le CST, la Sécurité publique Canada (SP), la Gendarmerie royale du Canada (GRC), le Service canadien du renseignement de sécurité (SCRS), et la Défense nationale.
Les ministères et organismes du GC jouent un rôle essentiel dans l’établissement de la gouvernance pour assurer la gestion intégrée des services de l’information, des données, de la sécurité et de la cybersécurité, au sein de leurs ministères.
Rôles et responsabilités
Les ministères et organismes fédéraux ont la responsabilité de veiller à la cybersécurité au sein de leur organisation.
Le SCT, SPC et le CST sont les principaux intervenants avec la responsabilité de veiller à ce que la cybersécurité du gouvernement est efficace et est en mesure de répondre à l’évolution des menaces.
Le SCT fournit une surveillance stratégique de gestion d’événements de cybersécurité pour assurer une coordination efficace des grands événements de sécurité et pour soutenir la prise de décisions du GC. Le Plan de gestion des événements de cybersécurité du GC fournit un cadre opérationnel qui décrit les intervenants et les mesures nécessaires pour s’assurer que les activités de cybersécurité soient traitées de façon uniforme, coordonnées et en temps opportun dans l’ensemble du gouvernement. Le dirigeant principal de l’information pour le GC, au SCT, établit la politique de sécurité de la technologie de l’information ainsi que d’autres pouvoirs délégués.
SPC fournit l’infrastructure de sécurité de la TI (dotation, conception, déploiement et fonctionnement). En collaboration avec le SCT et le CST, SPC fournit également la sécurité et la protection des renseignements personnels dans le cadre de l’établissement de nouveaux services.
Bien que la plupart des systèmes de sécurité servant à protéger le gouvernement sont conçus et gérés par SPC, le Centre canadien de cybersécurité (CCCS) utilise aussi un éventail de solutions complémentaires qui lui sont propres pour complémenter systèmes de sécurité gérés par SPC (par exemple, capteur, basés sur un hôte pour la surveillance et la protection des paramètres du GC).
Le CST abrite le CCCS, qui surveille les systèmes et réseaux du gouvernement pour les activités malveillantes et des cyberattaques, et dirige l’intervention opérationnelle du gouvernement en matière de cybersécurité. Le CCCS protège et défend les atouts cybernétiques précieux du pays et travaille côte à côte avec les secteurs privé et public, y compris les infrastructures essentielles du Canada, pour résoudre les problèmes de cybersécurité les plus complexes.
Sécurité publique Canada dirige la stratégie et la politique de cybersécurité nationale en, par exemple : coordonnant la réponse à d’importantes activités de cybersécurité nationale par le Centre des opérations du gouvernement, en étroite collaboration avec le SCT; et travaillant avec les gouvernements canadiens et internationaux, des associations, des universités et l’industrie pour continuellement faire avancer la cybersécurité à l’échelle nationale et internationale. Sécurité publique Canada est également responsable de l'élaboration d'une nouvelle politique concernant la façon dont le GC soutient les entités non gouvernementales ; l'ébauche de politique s'appelle actuellement Politique de coordination du gouvernement du Canada pour les incidents et événements de cybersécurité touchant les systèmes électroniques non-gouvernementaux du Canada. Le rôle de SPC en vertu de cette politique devra être défini.
La GRC est le principal ministère d’enquête pour tous les incidents de cybersécurité portant sur la cybercriminalité réelle ou soupçonnée sur l’infrastructure du GC d’origine non étatiques. Ils dirigent également l’enquête criminelle suite aux cas présumés d’incidents cybernétiques nationaux, et aident les partenaires nationaux et internationaux avec des conseils et des directives pour répondre aux menaces de cybercriminalité.
Le SCRS est le principal ministère chargé de faire enquête sur des menaces contre les infrastructures essentielles et de systèmes d’information posés par les acteurs de l’État étranger et les terroristes.
Le ministère de la Défense nationale / Forces armées canadiennes est le principal ministère responsable pour répondre aux menaces cybernétiques, vulnérabilités ou les incidents de sécurité contre ou sur des systèmes militaires.
Chaque ministère a des responsabilités en vertu de la politique sur les services du SCT et numérique pour des aspects précis de la cybersécurité, comme :
- l’intégration de la cybersécurité dans la gouvernance de service générale, de renseignements, de données et de la technologie de l’information
- désigner un représentant pour la cybersécurité qui est responsable de la gestion de cybersécurité du ministère; et
- assurer l’inclusion de la cybersécurité dans la planification ministérielle, en harmonie avec le plan approuvé par le dirigeant principal de l’information du Canada
Retour au travail
Messages clés
- Services partagés Canada continue de travailler avec ses partenaires pour mettre en œuvre les mises à niveau technologiques et de réseau nécessaires pour permettre aux employés du gouvernement de disposer d’outils de communication et de collaboration efficaces
- Pour permettre le travail virtuel, SPC a rapidement effectué d’importantes mises à niveau du réseau d’entreprise, de la sécurité Internet et du réseau à l’échelle du gouvernement, et a permis le déploiement dans toute l’entreprise de la plateforme de communication et de collaboration numériques rendue possible par Microsoft 365
- Aujourd’hui, le SPC procède à d’importantes mises à niveau des réseaux et des salles de réunion afin de permettre aux employés de collaborer avec leurs collègues à distance depuis leur lieu de travail et de prendre en charge les outils de vidéoconférence gourmands en bande passante
- Cela favorisera le retour au lieu de travail et permettra la mise en place d’une main-d’œuvre hybride, ainsi que la préparation de l’infrastructure et des plateformes de base qui moderniseront la prestation des programmes et des services aux Canadiens
- La vidéoconférence, principalement par le biais de Microsoft (MS teams), est devenue le principal canal de communication et de collaboration numérique, compte tenu de l’environnement de travail à domicile. Cette offre de service a été accélérée et mise en œuvre dans l’ensemble du GC, en réponse à la pandémie
Éléments de données clés
- Plus de 3 500 bâtiments sont reliés au réseau du gouvernement du Canada
- Avant la pandémie, il y avait en moyenne 20 000 connexions à distance simultanées. Pendant la pandémie, nous constatons en moyenne 240 000 connexions à distance simultanées durant la première année. Basé sur les 6 derniers mois, la moyenne de connexions à distance s’est stabilisée à environ 230 000
Contexte
Les technologies de vidéoconférence utilisent beaucoup de bande passante. Par conséquent, le maintien de la même expérience utilisateur que celle d’un utilisateur à domicile n’est pas pris en charge à l’intérieur des immeubles du gouvernement du Canada (GC) en raison des limites de l’infrastructure.
Il y a plus de 3 500 bâtiments connectés au réseau du GC. Par conséquent, SPC établit la priorité, avec les ministères partenaires, des sites les plus critiques qui ont besoin d’outils de communication et de collaboration numériques pour soutenir les Canadiens et les opérations gouvernementales. Cela permettra au GC d’accroître son efficacité à fournir ces outils aux employés et aux lieux de travail qui continueront à tirer parti de ces outils modernes à l’avenir.
Les améliorations apportées à l’ensemble du réseau du GC assurera une transition de retour au lieu de travail puisque les nouveaux outils qui ont été mises en œuvre au cours de la pandémie (principalement MS teams) exigent une plus grande largeur de bande et de mises à niveau de l’infrastructure (dans le cadre du budget 2021) afin d’assurer une bonne expérience pour l’utilisateur dans les immeubles du GC.
Le travail nécessaire à l’amélioration de l’expérience utilisateur pour une main-d’œuvre hybride repose sur SPC et ses partenaires pour ce qui est d’assurer l’efficacité informatique par le biais de tests et d’analyses proactifs des opérations, des appareils et des outils. SPC continue de travailler avec ses partenaires pour s’assurer que leurs exigences opérationnelles sont prises en compte.
Impartition de services de technologie d’information par le gouvernement
Messages clés
- SPC s’efforce d’assurer le fonctionnement de systèmes de technologie de l'information gouvernementaux sécurisés, modernes et fiables
- SPC reste concentré sur l’offre de solutions les plus sécurisées et les plus rentables à ses partenaires pour répondre aux besoins et aux attentes d'un gouvernement numérique
- SPC s'appuie sur l'expertise et la vaste expérience de son effectif en accédant à certaines technologies de pointe par l’entremise de contrats conformes aux pratiques exemplaires mondiales tout en offrant des fonctionnalités et un soutien exhaustifs aux utilisateurs
- Par exemple, l'approche du gouvernement en matière de services infonuagiques représente un changement fondamental dans la façon dont le GC fournit et consomme les services de gestion de l’information (GI)/TI. Les offres de services infonuagique du secteur privé permettent une plate-forme sécurisée à l'échelle de l'entreprise qui permet à une main-d'œuvre de travailler ensemble à distance, de n'importe où, en ne consommant que les services informatiques dont ils ont besoin quand ils en ont besoin
- Les services infonuagiques accroissent l’adaptation, la souplesse et la rentabilité des applications utilisées pour offrir des programmes et des services aux Canadiens
- Dans certaines situations, le ministère peut ne pas avoir les ressources ou les compétences nécessaires pour offrir certains services
- Voici des exemples de services que SPC ne serait pas en mesure de fournir sans le secteur privé :
- service d’appareils mobiles, qui offre 3 types de plans de services cellulaires et une large sélection d’appareils mobiles
- le réseau étendu du gouvernement du Canada, qui est un service de réseau entièrement géré qui interconnecte les emplacements des partenaires ou des clients au-delà des frontières métropolitaines, régionales, nationales ou internationales
Principaux points de données
N'est pas applicable.
Contexte
Le 17 janvier 2022, un rapport a été publié dans le Globe and Mail, indiquant que les dépenses du gouvernement fédéral pour les contrats en impartition au cours de l'exercice 2020 à 2021 ont augmenté de 40 % par rapport à l'exercice 2015 à 2016. Cette information provient des Comptes publics du Canada, déposés à la Chambre des communes le 14 décembre 2021.
Bien que ces récents rapports médiatiques ne mentionnent pas Services partagés Canada (SPC), des ministères, notamment SPC, ont été critiqués par le passé en ce qui concerne l'impartition des services de TI.
Exemples de contrats de services de technologie d’information
En 2019, Services partagés Canada (SPC), en consultation avec le Secrétariat du Conseil du Trésor du Canada et le Centre de la sécurité des télécommunications Canada (CSTC), a conclu l'Accord d'entreprise Microsoft pour le gouvernement du Canada comme base afin de remplacer un contrat pluriannuel pour un service de courriel entièrement géré par le fournisseur. Cela a permis la transition vers un service de courriel géré par le GC et hébergé sur des composantes infonuagiques, ce qui a permis au GC de mettre fin au service géré par le fournisseur en décembre 2021.
De plus, l'Accord Microsoft Enterprise a fourni un ensemble d'outils de collaboration numérique, incluant Microsoft (MS) Teams, approvisionné par un fournisseur de services infonuagiques (Software-as-a-Service), qui a été fondamental pour permettre au GC de réagir rapidement en se tournant vers un effectif mobile tout au long de la pandémie et de continuer à offrir des programmes et des services aux Canadiens.
L’initiative ressources humaines et paye de la prochaine génération (ProGen RH et paye) est un exemple de cas où le GC a stratégiquement choisi l’approvisionnement extérieur, ou impartition. Cette initiative fait partie de l'effort de modernisation du gouvernement, dans le cadre duquel les anciens systèmes de TI sont remplacés par des solutions numériques modernes. Pour la solution ProGen RH et paye, le GC a choisi d'explorer un modèle Software as a Service (SaaS), qui est configuré pour l'environnement du GC, mais n’est pas personnalisé par des changements fondamentaux au logiciel. Les outils SaaS sont fournis avec une configuration standard alignée sur les pratiques exemplaires internationales (y compris pour la gestion des ressources humaines (RH) et de la paye).
Par conséquent, en optant pour une solution SaaS disponible dans le commerce, le GC teste une solution de pointe à l'échelle mondiale, sans avoir à la personnaliser en profondeur. Dans le cas de ProGen RH et paye, le choix de l'impartition signifie que le GC a accès à un produit éprouvé jouissant d'une solide réputation internationale, qui alignera notre approche des RH et de la paye sur les pratiques exemplaires mondiales. Cela signifie également que le logiciel est rigoureusement testé et que les utilisateurs ont accès à un soutien exhaustif.
Réponse au Rapport de la Comité des parlementaires sur la sécurité nationale
Messages clés
- Services partagés Canada s'engage à protéger la confidentialité, l'intégrité et la disponibilité des services numériques offerts aux Canadiens, y compris les données et les technologies connexes, en fournissant une infrastructure et des services de TI fiables et sécurisés à ses organisations partenaires
- Bien que certains clients soient obligés de s'adresser au SPC pour obtenir des services dans le cadre des responsabilités du ministère, ce ne sont pas tous les organismes des petits ministères qui sont actuellement obligés d'utiliser les services du SPC
- Le SPC travaille en étroite collaboration avec le SCT et le CST pour évaluer la position actuelle en matière de sécurité des petits ministères et organismes afin de comprendre leurs besoins et d'étudier comment l'adoption de l'Internet d'entreprise pourrait réduire l'exposition aux réseaux gouvernementaux
En cas de pression sur les petits départements et agences :
- le rapport recommandait l'extension des services de sécurité du SPC à des entités qui ne relèvent pas actuellement du SPC comme un certain nombre de petits départements et agences
- les recommandations du rapport vont dans le sens des travaux que le SPC et ses partenaires gouvernementaux en matière de cybersécurité avaient déjà entrepris, et ne font que valider davantage le travail accompli à ce jour
- dans le Budget 2022, un financement de 178,7 millions de dollars sur 5 ans, à compter de 2022 à 2023, et de 39,5 millions de dollars par année suivante, a été annoncé pour SPC et le CST afin d’élargir la protection de la cybersécurité pour les petits ministères, les organismes et les sociétés d’État
- SPC reste concentrer sur l’approvisionnement des solutions les plus sures et les plus rentables à ses partenaires des solutions les plus sûres et les plus rentables pour répondre aux besoins et aux attentes d'un gouvernement numérique
Si on le presse sur le rôle du SPC en matière de cybersécurité :
- Services partagés Canada travaille avec diligence pour assurer la sécurité, la sûreté et l'accessibilité des réseaux pour les Canadiens
- la cybersécurité est une responsabilité partagée entre le SPC, le CST et le SCT. Le SPC fait partie intégrante de la tripartite de la cybersécurité
- le SPC soutient la conception, l'exécution et la gestion efficaces des initiatives prioritaires en matière de sécurité des TI qui touchent les systèmes gouvernementaux et les opérations à l'échelle du gouvernement
- lorsqu'un événement de cybersécurité se produit au sein de son infrastructure réseau, le SPC et ses partenaires se coordonnent pour déterminer les causes profondes, limiter l'impact et entreprendre la récupération. Ceci est également vrai pour les composants gérés par le SPC dans l’infonuagique
- le SPC travaille continuellement à l'amélioration de la cybersécurité des actifs numériques du gouvernement du Canada en se préparant à tous les types de cyberincidents et aux réponses aux menaces
Principaux points de données
N'est pas applicable.
Contexte
Le Secréterait du Comité des parlementaires sur la sécurité nationale et le renseignement (CPSNR) a été créé en vertu de la Loi sur le Comité des parlementaires pour la sécurité nationale et le renseignement, qui a reçu la sanction royale en juin 2017. Il ne s'agit pas d'un comité parlementaire, mais plutôt d'un comité de parlementaires, composé à la fois de députés et de sénateurs. Tous les membres détiennent une habilitation de sécurité de niveau top secret et sont tenus au secret de façon permanente en vertu de la Loi sur la sécurité de l'information.
En juillet 2020, l'honorable David McGuinty, président du CPSNR, a écrit au président du Secrétariat du Conseil du Trésor pour l'informer que le comité examinera le cadre et les activités du gouvernement du Canada pour défendre ses systèmes et réseaux contre les cyberattaques.
Le CPSNR a terminé son examen des activités du gouvernement du Canada visant à défendre ses systèmes et réseaux contre les cyberattaques. Cela comprenait l'examen des éléments suivants :
- cadre fédéral pour la cyberdéfense
- activités qui constituent une cyberdéfense
- autorités et structures de la gouvernance sous lesquelles elles sont conduites
Dans le rapport, déposé à la Chambre des communes le 14 février 2021, la recommandation 2 de l'annexe A préconisait l'utilisation des services Internet d'entreprise gérés par la SPC par tous les petits ministères et organismes (PMO), et se lisait comme suit :
« Dans la mesure du possible, le gouvernement étendra à toutes les organisations fédérales les services de cyberdéfense avancés, notamment le service internet pour entreprises de Services partagés Canada et les capteurs de cyberdéfense du Centre de la sécurité des télécommunications. »
Cinq PMO ont été choisis pour participer à des projets pilotes visant à améliorer la protection et la visibilité de la sécurité. Le Bureau du dirigeant principal de l'information du Secrétariat du Conseil du Trésor a continué d'étudier les mesures nécessaires pour appliquer ces mêmes politiques et directives en matière de cybersécurité et de sécurité des TI à toutes les entités fédérales, qui ne relèvent pas actuellement du Secrétariat du Conseil du Trésor.
Le SCT, le SPC et le CST continuent de travailler pour s'assurer que la cyberdéfense est appliquée de manière égale dans tous les ministères et organismes, dans la mesure du possible, y compris l'alignement entre le champ d'application de la Politique sur la sécurité du gouvernement et la Politique sur le service et le numérique.
Contrat de gestion des services de technologie de l’information
Messages principaux
- La sécurité des biens et de l’information gouvernementaux est une priorité absolue du gouvernement du Canada
- SPC investit dans des technologies qui encouragent une approche pangouvernementale (« d’entreprise ») en permettant aux organisations d’adopter peu à peu des systèmes de TI communs. Ce contrat fournit un unique outil de contrat de gestion des services de technologie d'information (GSTI) moderne qui sera accessible à tous les utilisateurs au sein du gouvernement du Canada
- L’outil en question permettra à SPC de gérer la prestation de bout en bout des services de TI à ses clients. Il comprend les processus et activités nécessaires pour fournir et soutenir les services de TI
- Il s’agit d’une application commerciale permettant de gérer les demandes de service de TI, comme les commandes de téléphone mobile, les incidents et les changements, comme les mises à niveau de système, au sein de SPC et entre SPC et ses ministères clients
- Le contrat, qui a été octroyé dans le cadre d’un processus d’appel d’offres ouvert, juste et concurrentiel, prévoyait une évaluation de sécurité complète effectuée par SPC de manière exceptionnelle pour permettre aux entrepreneurs d’exécuter du travail non classifié à l’extérieur du Canada jusqu’au 31 mai 2022 alors que des restrictions de voyage liées à la COVID-19 étaient en vigueur
- La valeur totale initiale du contrat (32,4 M$) a été publiée sur achatsetventes.gc.ca, et plusieurs entrées aux fins de divulgation proactive ont depuis été faites en lien avec des modifications subséquentes au contrat
- La demande de propositions originale, qui faisait partie du processus d’approvisionnement concurrentiel, était structurée de manière à pouvoir être élargie grâce à des modifications au fur et à mesure que les ministères adoptent l’outil. Quand les modifications seront appliquées, elles seront divulguées proactivement
Si l’on vous questionne sur la sécurité :
- nous avons expliqué les pratiques exemplaires de protection de l’information aux entrepreneurs : utiliser les blocs-notes fournis par le gouvernement, garder l’équipement en sécurité et le ranger lorsqu’il n’est pas utilisé et chiffrer toutes les informations électroniques, entre autres
- les entrepreneurs travaillant à l’extérieur du Canada étaient cantonnés au développement de l’environnement, sans avoir accès aux données de production
- on a également mis en œuvre des mesures de sécurité pour veiller à ce que les non-Canadiens non autorisés n’aient pas accès à l’information
Si l’on vous questionne sur la divulgation :
- SPC s’est engagé à suivre les lignes directrices du Conseil du Trésor sur la divulgation proactive des contrats et des modifications dépassant 10 000 $; cette divulgation doit être faite 30 jours après les 3 premiers trimestres de l’exercice ou 60 jours après le dernier
- une modification à hauteur de 20 M$ a été divulguée en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a déterminé que la divulgation n’a pas été faite comme prévu en raison d’une anomalie dans le transfert de données entre SPC et le système du gouvernement ouvert du SCT. Des discussions ont été tenues avec le SCT pour discuter des constatations et veiller à ce que ce problème technique soit réglé afin d’éviter des situations du genre à l’avenir
- on créera de nouvelles entrées de divulgation proactive à l’avenir, au fil des modifications du contrat
Si l’on vous questionne sur la GSTI :
- SPC a aussi rassemblé les licences existantes (et leurs composantes d’entretien) des autres ministères en une seule licence d’entreprise offerte gratuitement à tous les ministères
- de plus, les ministères peuvent accéder au contrat pour obtenir les services et le soutien dont ils ont besoin pour combler leurs propres besoins et adopter l’outil
Si l’on vous questionne sur la sous-traitance :
- SPC exploite et soutient le plus important réseau de TI au pays, tout en composant avec une demande pour ses services en croissance exponentielle
- SPC octroie des contrats pour le développement de systèmes d’infrastructure de TI ou achète des technologies offertes sur le marché pour permettre aux ministères de fournir des services numériques aux Canadiens à la vitesse et à l’échelle nécessaire
- SPC peut ainsi profiter des capacités et de l’agilité du secteur privé pour adopter rapidement des solutions novatrices à moindre coût pour les Canadiens
Contexte
Le 24 janvier 2022, SPC a répondu à une demande de renseignement des médias à propos du processus d’approvisionnement pour un outil de GSTI, qui donnait suite à des informations obtenues par une demande d’accès à l’information. BMC Software Canada inc. avait remporté le contrat pour cet approvisionnement.
Le 14 mars 2022, le Globe and Mail a publié un article sur le contrat qui critiquait le processus de divulgation proactive l’entourant, le fait qu’il a été octroyé à une entreprise américaine, les règles de sécurité pour travailler aux États-Unis et la sous-traitance plus généralement .
SPC investit dans des technologies qui encouragent une approche pangouvernementale (« d’entreprise ») en permettant aux organisations d’adopter peu à peu des systèmes de TI communs. Le contrat de SPC avec BMC reflète cette approche de la transformation des TI : il fournit un seul outil de GSTI moderne à l’ensemble du gouvernement du Canada.
La GSTI consiste, entre autres, à gérer la livraison et les opérations de TI pour les clients d’une organisation. À SPC, la solution de GSTI est configurée pour gérer les demandes de service, les changements et les incidents pour tous les services de SPC. La mise en œuvre de la solution permet à SPC de mieux fournir des services intégrés de qualité à ses ministères partenaires.
Le 4 février 2022, le député Kelly McAuley a mentionné le contrat à la Chambre des communes, s’attardant particulièrement au fait que le travail était exécuté à l’étranger et à la posture de cybersécurité globale du gouvernement.
SPC a effectué une évaluation de sécurité complète de manière exceptionnelle pour permettre aux entrepreneurs d’exécuter du travail non classifié à l’extérieur du Canada jusqu’au 31 mai 2022 alors que des restrictions de voyage liées à la COVID-19 étaient en vigueur pour les voyageurs non essentiels. Les risques de sécurité ont été rigoureusement évalués et des mesures d’atténuation solides ont été mises en place pour protéger les biens et l’information du gouvernement. On a également mis en œuvre des mesures de sécurité pour veiller à ce que les non-Canadiens non autorisés n’aient pas accès à l’information.
Une modification ayant ajouté 20 M$ au contrat a été divulguée proactivement en retard à cause de problèmes techniques, mais elle a depuis été publiée. On a réglé les problèmes techniques en ajoutant des processus manuels pour éviter des situations du genre à l’avenir.
En date du 24 janvier 2022, le contrat initial et toutes les modifications jusqu’à décembre 2021 ont été divulgués proactivement. Toute modification effectuée entre janvier et mars 2022 sera divulguée d’ici le 30 mai 2022 sur le site du gouvernement ouvert, conformément aux lignes directrices sur la divulgation proactive.
Services partagés Canada : Approvisionnement des produits Cisco
Messages clés
- Services partagés Canada a été créé en 2011 afin de fournir des solutions numériques intégrées et fiables aux fonctionnaires pour la prestation de services gouvernementaux aux Canadiens
- Un pourcentage important de l'infrastructure de réseau dont a hérité SPC en 2011 provenait d'un seul fournisseur : Cisco. Pour maintenir l'infrastructure existante, il est essentiel d'acquérir de l'équipement qui est compatible avec ce que nous avons déjà. Cela permet de garantir la continuité des services aux organisations fédérales qui fournissent des services importants aux Canadiens
- SPC a augmenté la diversification de son approvisionnement en composants de réseau et a fait de grands efforts pour engager les petites et moyennes entreprises. Afin de réduire sa dépendance à l'égard d'un seul fournisseur, SPC continuera à maximiser son utilisation des processus concurrentiels pour ouvrir la concurrence à une multitude de fournisseurs, acquérir des équipements équivalents et effectuer des achats directs auprès des fabricants d'équipements originaux au cas par cas
- Au cours de l'exercice 2021 à 2022, SPC a constaté une diminution de 38 % de l'acquisition des équipements de Cisco par rapport à l'exercice précédent
- À mesure que nous avançons dans la modernisation du réseau, SPC s'oriente vers des technologies génériques basées sur des normes lorsque cela est possible, qui offrent une compatibilité, et continuera à rechercher des solutions compétitives auprès des leaders de l'industrie
Si l'on insiste sur le recours à un fournisseur unique :
- il est parfois nécessaire pour SPC d'émettre un contrat non concurrentiel lorsque l'équipement doit être compatible avec l'infrastructure informatique existante, mais de tels contrats sont évités dans la mesure du possible
Éléments de donnés clés
- Au cours de l'exercice 2020 à 2021, 73 % des contrats financés et attribués (volume), soit 1 796 contrats, par le SPC sont allés aux petites et moyennes entreprises
- Le montant dépensé pour les produits Cisco a diminué au cours des 3 dernières années fiscales :
- 171,4 millions de dollars en 2019 à 2020
- 160 millions de dollars en 2020 à 2021
- 98,5 millions de dollars en 2021 à 2022
- Au cours de l'exercice 2021 à 2022, SPC a observé une croissance substantielle des contrats attribués à d'autres fabricants d'équipements originaux, par rapport à l'exercice précédent. Voici quelques exemples notables :
- Extreme Networks : 100 % (de 1,3 million de dollars à 2,7 millions de dollars)
- Fortinet : 178,9 % (de 3,8 millions de dollars à 10,7 millions de dollars)
- Juniper : 60 % (de 4,5 millions à 7,2 millions de dollars)
Historique
Le 15 février 2021, Services partagés Canada a publié le document La voie à suivre pour la modernisation du réseau sur Canada.ca afin de communiquer notre stratégie et de recueillir les commentaires des parties externes. Dans ce document, SPC a déclaré que nous équilibrerions les achats ouverts et concurrentiels afin de normaliser et de simplifier le réseau du gouvernement du Canada, ce qui réduirait le risque associé à l'entretien, à la mise à jour et à la construction de systèmes trop complexes.
Les activités d'approvisionnement entreprises où des produits Cisco ont été acquis sont conformes à cette stratégie. SPC continue de limiter les appels d'offres pour les produits Cisco dans des cas spécifiques, comme l'augmentation de l'empreinte dans les Centres de données d'entreprise (CDE) où une structure de réseau commune est maintenue. Cependant, des achats ouverts et concurrentiels sont également effectués pour de nombreuses catégories de réseaux, y compris les réseaux locaux (LAN) et les réseaux étendus (WAN).
Certains contrats ouverts et concurrentiels sont attribués à des revendeurs qui proposent des solutions Cisco, tandis que d'autres ne le sont pas.
À l'avenir, la Direction générale des services de réseaux et de sécurité (DGSRS) prévoit de mettre en concurrence les besoins des catégories suivantes :
- LAN
- sans fil d'entreprise (Wi-Fi)
- routage WAN provider et provider edge
- enclaves de réseaux de centres de données
De plus, le SPC a créé le Comité d'examen des exigences en matière d'infrastructure de réseau (NIRRC) afin d'améliorer la supervision de tous les achats dirigés en février 2021. Ce comité examine tous les besoins spécifiques à une marque de plus d'un million de dollars afin de s'assurer qu'ils sont conformes à la norme SPC 3.0, aux priorités ministérielles et à la voie à suivre pour la modernisation du réseau. À compter du 1er avril 2022, le NIRRC a été remplacé par la Commission d'examen de l'infrastructure des technologies de l'information (ITIRB) dont la portée a été élargie et qui comprend un examen technique des besoins de plus de 1 million de dollars pour 2 directions générales, les Services de réseau et de sécurité et les Services de centre de données.
Rapport du Comité permanent des comptes publics sur l’approvisionnement complexe de technologie de l’information
Messages clés
- Le rapport de la vérificatrice générale a conclu que Services partagés Canada, Services publics et Approvisionnement Canada (SPAC) et le Secrétariat du Conseil du Trésor ont « réalisé de bons progrès vers l’adoption de pratiques d’approvisionnement agiles en matière de systèmes informatiques d’envergure »
- Le gouvernement remercie la vérificatrice générale et les membres du Comité des comptes publics pour leur travail sur cette question
- Le gouvernement est d’accord avec toutes les recommandations figurant dans le rapport et les accepte, et il poursuit le travail d’amélioration de ses pratiques associées à l’approvisionnement de TI complexes
- À ce jour, des progrès notables ont été réalisés par chaque ministère pour répondre aux recommandations formulées dans le rapport. Sur les 8 recommandations, 3 ont déjà été réalisées
- Plus précisément, le gouvernement s’efforce d’améliorer :
- son approvisionnement agile de TI complexes
- ses mécanismes de gouvernance
- l’utilisation de l’analyse des données pour cerner les problèmes d’intégrité de l’approvisionnement
- le suivi des questions d’équité de l’approvisionnement
- Grâce au travail collectif de Services partagés Canada, de Services publics et Approvisionnement Canada et du Secrétariat du Conseil du Trésor du Canada, les améliorations apportées dans ces domaines aideront le gouvernement à suivre le rythme de l’évolution numérique et à se préparer aux changements en ce qui concerne les priorités et les activités ministérielles
Principaux points de données
- 3 recommandations ont déjà été réalisées :
- recommandation 3 : l’initiative ressources humaines et paye de prochaine génération a été officiellement transférée du SCT à SPC le 1er avril 2020. Le SCT maintient sa participation en tant que responsable de la politique de gestion des personnes, ainsi que dans la structure de gouvernance et la conception de l’avenir de ce système. Un cadre de gouvernance pour l’initiative a été approuvé en mai 2021 par le président de SPC et le dirigeant principal des ressources humaines
- recommandation 4 : SPC dispose d’un Cadre de gestion de projet ministériel, d’un Cadre de gouvernance de l’approvisionnement et d’un Cadre de gouvernance du projet des services de communication en milieu de travail. SPC continuera à les utiliser pour assurer une collaboration continue avec le ministère de la Défense nationale et une surveillance efficace pour le cycle de vie du projet, y compris le contrat
- recommandation 8 : SPC a mis à jour ses outils internes de gestion de l’information afin de s’assurer qu’ils tiennent compte des exigences d’équité appropriées pour l’approvisionnement agile de TI complexes, et les a présentés de nouveau à tous les agents d’approvisionnement internes entre août et décembre 2021. SPC a également mis en place un Conseil d’analyse opérationnelle et des données, un comité de gouvernance interne qui fournit une expertise en matière de gestion des données et d’analyse opérationnelle dans le cadre de sa supervision et de sa coordination des directions générales
- Le gouvernement s’engage à fournir des rapports d’étape finaux au Comité permanent des comptes publics (PACP) d’ici la fin du mois de juin 2023, plutôt que selon le calendrier prescrit, les responsables étant disponibles à tout moment si des renseignements supplémentaires sont requis. Cela permettra de donner une réponse plus substantielle et d’aborder pleinement tous les éléments livrables en suspens associés aux recommandations du comité
Contexte
Le 25 février 2021, les rapports de la vérificatrice générale du Canada (VG) de 2021 ont été déposés à la Chambre des communes.
Une vérification de gestion a été effectuée afin de déterminer si certains ministères fédéraux responsables de l’acquisition de 3 grandes initiatives en matière de TI étaient sur la bonne voie pour favoriser l’atteinte des résultats opérationnels et pour respecter l’engagement du gouvernement à l’égard de l’équité, de l’ouverture et de la transparence en matière d’approvisionnement.
Par la suite, le Comité permanent des comptes publics de la Chambre des communes a étudié le rapport et a appuyé les conclusions de la VG, plus précisément la conclusion selon laquelle, bien que la gestion de l’approvisionnement de TI complexes par le gouvernement du Canada se soit améliorée et que les leçons apprises aient été appliquées, des améliorations supplémentaires sont nécessaires.
Les administrateurs généraux de Services partagés Canada, du Secrétariat du Conseil du Trésor (SCT), de Services publics et Approvisionnement Canada (SPAC) et d’Emploi et Développement social Canada ont participé à l’audience du PACP le 27 mai 2021 pour discuter du rapport de la VG.
Le 21 juin 2021, le président a présenté le 24e rapport du PACP, « L’approvisionnement en solutions de technologies de l’information complexes », à la Chambre des communes, en mettant l’accent sur 3 ministères :
- SPC
- SCT
- SPAC
Conformément au Règlement 119, le PACP a demandé que le gouvernement du Canada dépose une réponse globale du gouvernement aux 8 recommandations du rapport.
Le Parlement ayant été dissous le 15 août 2021, aucune réponse de ce type n’a été déposée. Lors de la réunion du 3 février 2022, les membres du Comité du PACP ont adopté une motion visant à réadopter le même rapport, à le déposer à la Chambre, ce qui a eu lieu le 8 février 2022, et à demander une fois de plus une réponse complète du gouvernement.
Cette réponse du gouvernement a été déposée à la Chambre des communes le 31 mai 2022.
Navigation pour document « Comité permanent de la procédure et des affaires de la Chambre : 10 juin 2022 »
- Date de modification :