Bibliothèque et Archives Canada
Symbole du gouvernement du Canada

Liens de la barre de menu commune

Liens institutionnels

ARCHIVÉE - À notre sujet

Contenu archivé

Cette page Web archivée demeure en ligne à des fins de consultation, de recherche ou de tenue de documents. Elle ne sera pas modifiée ni mise à jour. Les pages Web qui sont archivées sur Internet ne sont pas assujetties aux normes applicables au Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez demander de recevoir cette page sous d'autres formats à la page Contactez-nous.

Évaluations et vérifications

Étude Préliminaire
D'Un Système En Voie D'Élaboration
Audit De L'Initiative Catalytique AMICAN

Version finale approuvée par le comité de vérification et d'évaluation
Juin 2007

Table Des Matières

Introduction

  • Contexte

    Bibliothèque et Archives Canada (BAC) est issu de la fusion de deux institutions : la Bibliothèque nationale du Canada et les Archives nationales du Canada. Cette nouvelle institution a pour mission de gérer et de promouvoir le patrimoine documentaire du Canada, sous toutes ses formes. Une équipe de transformation a été mise sur pied en 2003, avec pour mandat de surveiller et d'orienter le processus de fusion des deux anciennes institutions. On lui confia également la responsabilité d'élaborer une vision et une nouvelle structure organisationnelle pour BAC. Plusieurs groupes de travail ont été constitués pour seconder l'équipe dans cette tâche.

    Ces divers groupes de travail sur la transformation ont exprimé à maintes reprises, au cours du printemps et de l'automne 2003, la nécessité de concevoir un système qui regrouperait les informations contenues dans les bases de données existantes, afin de créer une interface publique intégrée, continue et adaptable. Un projet a donc été mis sur pied pour concevoir AMICAN, un système permettant de soutenir la gestion intellectuelle et matérielle des fonds et collections de BAC et d'en faciliter l'accès, un système basé sur l'actuelle architecture en technologie de l'information (TI) et sur les technologies en émergence. Ce projet agira aussi comme catalyseur pour la transformation et l'application de processus opérationnels clés, pour l'architecture de l'information, l'architecture en TI d'une manière générale, et pour l'ensemble des services à la clientèle de BAC.

    À l'origine, le coût du projet AMICAN était estimé à environ 4,5 M$; le projet devait se dérouler entre septembre 2004 et septembre 2007. Comme le projet AMICAN, le projet Infrastructure de conservation numérique, appelé maintenant Dépôt numérique fiable (DNF), a émergé du projet de transformation. Compte tenu de l'étroite relation entre ces deux projets (AMICAN et DNF), une structure de gouvernance commune a été adoptée et une seule demande de financement a été soumise au Conseil du trésor. Dans cette demande, les prévisions de coûts pour l'option 3 recommandée sont de 22,8 M$ provenant de sources externes, et de 6,9 M$ additionnels provenant des budgets internes de BAC, sur une période de quatre ans se terminant en 2010. Le projet AMICAN/DNF représente donc un investissement majeur, sur plusieurs années, exigeant du flair politique, une bonne planification, un solide financement et un engagement considérable de la part du personnel.

    AMICAN/DNF est aussi un projet d'envergure en technologie de l'information et, en tant que tel, comporte des risques importants. Le taux de réussite de tels projets est généralement très faible, comme en témoignent plusieurs études internes, ainsi que des audits réalisés par le Bureau du vérificateur général et le Secrétariat du Conseil du trésor. Par réussite, on entend que le projet a été terminé à l'intérieur du cadre budgétaire et des échéances prévues, et a répondu aux attentes initiales des utilisateurs. Parce que le projet AMICAN/DNF en est à différentes étapes d'élaboration et de mise en œuvre, une étude préliminaire a été prévue afin d'identifier les risques actuels et d'évaluer la probabilité de réussite du projet.

  • Objectif

    Cet audit avait pour objectif de réaliser une étude préliminaire du système en voie d'élaboration (SUD) de l'Initiative catalytique AMICAN à Bibliothèque et Archives Canada. L'étude devait porter principalement sur les risques, les mesures d'atténuation possibles et les probabilités de succès de l'ensemble du projet AMICAN.

  • Portée

    L'appel d'offres pour cet audit stipulait que l'étude devait porter sur « tous les aspects de l'Initiative catalytique AMICAN, incluant les processus de planification, l'organisation du projet, les mécanismes de contrôle du projet, notamment les comités, les processus de gestion du risque, les mécanismes de reddition de comptes, les contrôles financiers, la sécurité et la production de rapports  ». Aux fins de cet audit, l'examen de l'Initiative catalytique AMICAN devait inclure également les sous-projets directement reliés à ce qui est maintenant connu sous le nom de Groupe de projets AMICAN.

    Compte tenu de l'interdépendance de plus en plus étroite entre les projets AMICAN et DNF, il aurait été très difficile d'isoler complètement AMICAN pour en faire l'examen, comme semble l'indiquer l'énoncé initial de la portée de cet audit. Par conséquent, la portée de l'audit a été modifiée pour y inclure un examen de la structure de gouvernance, des processus de base et des risques du projet DNF.

Approche et Méthodologie

  • La méthodologie utilisée pour les audits de projets individuels est basée sur les processus COBIT, mais permet aussi de tenir compte du caractère habituellement unique de chaque projet. La méthode d'évaluation de risque des Systèmes en voie d'élaboration est conçue à partir des responsabilités normalement associées aux projets d'élaboration de logiciels et de systèmes de gestion; les cinq types de risque suivants ont donc été examinés : les risques associés à la gouvernance, les risques opérationnels, les risques associés au projet, les risques associés aux tests et les risques associés à l'infrastructure technologique.

  • Le Software Engineering Institute de l'Université Carnegie-Mellon a publié une série de mesures d'évaluation des risques majeurs pour les projets en technologie et pour les organisations en gestion de la technologie. Le Modèle d'évolution des capacités (CMM) identifie les éléments de Gestion de l'information/Technologie de l'information (GI/TI) nécessaires ou fortement recommandés pour atteindre un niveau d'évolution élevé et reconnu. La méthode COBIT propose de telles mesures. Tous ces éléments ont été combinés dans la méthode utilisée pour cet audit de la gestion de la GI/TI, et pour l'évaluation des risques et des probabilités de succès des Systèmes en voie d'élaboration. La structure d'évaluation est décrite à l'annexe B.

Résultats et Conclusions

  • Conclusions Générales

    Dans l'ensemble, le projet AMICAN/DNF jouit d'une solide structure de gouvernance, d'une gestion de risques et de mesures de contrôle appropriées, et d'une approche cohérente à la gestion de projet. Néanmoins, le projet représente un changement majeur pour l'institution et, en conséquence, un risque important. Compte tenu de l'évolution de l'institution et de l'intégration des deux anciens organismes, la plus grande inquiétude est de ne pas atteindre les objectifs du projet.

    La principale source de risques associés au projet AMICAN/DNF est le manque de financement stable; il en résulte des délais dans la réalisation du projet, des coûts plus élevés que nécessaire, des fluctuations et possiblement des lacunes dans le recrutement du personnel assigné au projet, une dépendance excessive aux consultants, une infrastructure inadéquate et l'absence d'une solide équipe d'entretien technique. Même si cela peut paraître évident, la question du financement est celle qui doit être réglée en priorité.

    Une bonne pratique organisationnelle, qui permettrait d'atténuer plusieurs des risques potentiels, consisterait à conclure des accords sur les niveaux de service (ANS) entre le fournisseur du service (la Direction de la technologie de l'information) et les bénéficiaires du service (les unités fonctionnelles). Il faudrait préparer un ANS spécifiant les objectifs à atteindre en matière de capacité, de fiabilité et de disponibilité, ainsi que de rétablissement du service, pour les modules du système à la veille d'être mis en production. À l'heure actuelle, il existe certains malentendus concernant les exigences de fiabilité et de disponibilité des modules AMICAN lorsqu'ils seront mis en production. Les questions reliées à la planification de la continuité des opérations de l'institution n'ont pas été examinées. Les objectifs en matière de capacité, de fiabilité et de disponibilité (en particulier de l'infrastructure), ne sont pas connus. De plus, sans les informations détaillées que l'on retrouve normalement dans un ANS, il est difficile de juger dans quelle mesure le nouveau système sera une réussite, après sa mise en production. Il sera donc difficile d'évaluer les bénéfices réalisés.

    La mise sur pied de plans de secours à BAC n'est pas clairement comprise par tous les intervenants. Alors que dans les unités fonctionnelles, on pensait qu'un centre de secours était prévu en cas de désastre, la Direction de la technologie de l'information nous a confirmé qu'à l'heure actuelle, un tel centre n'existe pas. Pendant un certain temps, il y a eu une assurance couvrant la récupération de l'infrastructure en cas de sinistre. Cette assurance a été annulée par le ministère des Travaux publics et Services gouvernementaux (TPSGC) il y a quelques années, le Conseil du Trésor ne considérant pas les systèmes de BAC comme essentiels à sa mission. Il est impératif que la direction de BAC s'intéresse de près aux risques associés à l'insuffisance de mesures de sauvegarde et de récupération. Plus précisément, BAC devrait élaborer des plans de récupération couvrant l'ensemble de ses opérations et services essentiels, et s'assurer que toutes les unités concernées soit informées des délais requis pour la reprise éventuelle des services.

  • Résumé des Conclusions

    Le modèle utilisé pour évaluer les risques est décrit à l'annexe B du présent rapport. Tel qu'indiqué précédemment, l'évaluation porte sur cinq domaines : la gouvernance, les opérations, le projet, les tests et la technologique. Le présent rapport est structuré en conséquence. Les risques associés à la gouvernance et à la technologie sont évalués pour les deux groupes de projets ensemble (AMICAN et DNF), alors que les risques opérationnels, les risques associés au projet et aux tests sont évalués pour chacun des groupes séparément.

    Risques associés à la gouvernance du projet AMICAN/DNF

    Dans l'ensemble, la structure de gouvernance et les processus du projet AMICAN/DNF sont bien organisés et conformes aux meilleures pratiques recommandées. Plusieurs comités ont été mis sur pied et sont opérationnels, bien que certains aient été ajoutés récemment. Cependant, le mode de fonctionnement des comités et leur façon d'influencer la portée et l'orientation du projet AMICAN/DNF ne sont pas encore tout à fait au point. De plus, les relations entre ces comités devraient être définies plus précisément. La gestion de la portée du projet fonctionne bien, mais la haute direction s'inquiète que des décisions à court terme soient prises sans tenir compte des objectifs à long terme.

    On ne s'est pas encore attaqué correctement au principal risque du projet : le financement. En effet, l'irrégularité du financement est clairement ce qui a causé le plus de problèmes dans ce projet. Celui-ci doit bénéficier d'un financement stable et d'une stratégie de financement sur plusieurs années, que la prochaine demande au Conseil du Trésor soit acceptée ou non. BAC doit assurer un financement stable au projet (que les fonds proviennent du Conseil du Trésor ou de l'interne) afin de permettre l'embauche de consultants durant tout le temps nécessaire.

    L'entière réalisation de tous les objectifs du projet AMICAN/DNF est essentielle pour répondre aux besoins actuels et futurs de l'institution. Cependant, la direction doit identifier les bénéfices déjà réalisés grâce au projet, afin de savoir dans quelle mesure celui-ci répond aux exigences spécifiques de l'institution. Il n'y a aucun mécanisme en place pour mesurer les bénéfices réalisés. Il n'y a pas d'étude ou de rapport qui décrive en détail les coûts des processus actuels, afin de pouvoir les comparer avec les coûts des processus après la mise en œuvre du projet. Ni le Comité d'examen du projet, ni le Comité directeur n'ont discuté des moyens de mesurer les bénéfices obtenus, bien que cela semble faire partie du mandat du Comité directeur.

    Risques associés à AMICAN

    Dans l'ensemble, les risques potentiels associés au groupe de sous-projets AMICAN ont été bien gérés. Les exigences fonctionnelles sont connues et les solutions bien comprises. La plupart des risques sont associés au recrutement du personnel et aux conséquences d'un financement irrégulier : ressources insuffisantes, dépendance excessive aux consultants, et difficulté à obtenir des ressources contractuelles. On ne semble pas avoir prévu de soutien technique adéquat pour l'entretien. Malgré qu'il existe une certaine gestion des risques, celle-ci pourrait être améliorée, si le Comité d'examen du projet (CEP) y accordait plus d'attention.

    L'assurance de la qualité, une composante du développement et de la livraison de logiciels et équipements informatiques, n'a pas été établie sans risque. Mentionnons en particulier les risques inhérents au manque d'espace pour utiliser une copie complète de la base de données de production; on note aussi l'absence d'Oracle RAC, une technologie qui sera utilisée lorsque le système sera en opération. Le problème de l'absence d'Oracle RAC à ce stade-ci a perdu un peu de son acuité en raison d'une récente décision de démarrer AMICAN sans Oracle RAC, lequel sera intégré plus tard. Il existe certains malentendus concernant les objectifs de fiabilité et de disponibilité des modules AMICAN lorsqu'ils seront mis en production. Les questions reliées à la planification de la continuité des opérations de l'institution n'ont pas été examinées. Les objectifs en matière de capacité, de fiabilité et de disponibilité (en particulier de l'infrastructure), ne sont pas connus. Il n'y a pas d'accords sur les niveaux de service, et les attentes de la haute direction n'ont pas été précisées clairement.

    Risques associés au DNF

    Dans l'ensemble, le groupe de sous-projets DNF est plus récent et constitue un risque plus élevé que le projet AMICAN. Le groupe DNF comprend quatre sous-projets, et l'approche adoptée pour identifier les exigences fonctionnelles varie d'un projet à l'autre, en raison de la nature de chacun de ces projets. En général, le projet DNF en est encore à l'étape de définir les besoins et de proposer des solutions. Les gestionnaires font une bonne évaluation des défis. En pratique, cependant, nous constatons une différence entre l'état d'achèvement du développement et celui des exigences fonctionnelles. Il existe un risque important que le produit ne réponde pas adéquatement à plusieurs exigences fonctionnelles lors de sa livraison prévue en septembre prochain.

    Certaines des composantes de la plateforme de chargement virtuelle (PCV) sont en train d'être élaborées à forfait et doivent être livrées en septembre par l'intégrateur. Même si la feuille de route démontre une approche " progressive ", nous avons noté que le travail de développement avance plus rapidement que l'analyse et l'identification des spécifications, essentiellement à cause des ententes contractuelles et des disponibilités budgétaires.

    Le contexte évolue et la technologie doit acquérir la capacité de traiter les collections numériques, autant que les documents sur support papier. La haute direction estime que les changements technologiques ne représentent pas un risque majeur et que les gens vont s'adapter à ces changements. Cependant, les gestionnaires des unités fonctionnelles ont l'impression que le projet vise un objectif qui n'est pas bien compris et qu'il faudrait faire davantage de recherche.

    Un plan et une démarche ont été élaborés en collaboration avec l'intégrateur. Cependant, le plan est à un tel niveau de généralité, (il ne contient aucune définition précise de produit livrable, ni aucune liste de tâches) que l'intégrateur pourrait, en tout légalité, livrer des produits qui ne répondraient pas aux attentes de BAC, des produits inattendus ou insatisfaisants. Bien qu'on ait observé de bons résultats à ce jour, BAC se trouve dans une situation où il ne contrôle pas les fonctionnalités des produits qu'il va recevoir et, par conséquent, encourt des risques potentiels.

    BAC est en partenariat avec la firme Deloitte et TPSGC pour la livraison du DNF. Bien que cette entente comporte des avantages évidents, tels que l'accès à un plus vaste bassin d'expertise en développement de système, elle comporte aussi des risques potentiels. Dans l'ensemble, les outils, la documentation et les pratiques utilisés par l'intégrateur semblent bons. Cependant, comme nous l'avons souligné précédemment, la livraison par le fournisseur d'une solution acceptable pourrait représenter un risque de désaccord.

    Risques associés à la technologie du projet AMICAN/DNF

    L'infrastructure technologique qui supporte AMICAN est, de l'avis général, le maillon le plus faible du projet  -  les équipements informatiques utilisés pour AMICAN sont vieillissants, et même presque obsolètes. De plus, il faut une nouvelle technologie pour répondre aux objectifs du DNF. Les faiblesses sont de deux ordres : les équipements et le personnel de soutien technique. Le concept d'architecture extensible offre la possibilité d'ajouter des capacités supplémentaires, relativement rapidement et facilement; l'enjeu n'est pas d'ordre technique, mais plutôt d'ordre financier. Les plans d'amélioration de l'infrastructure dépendent de la réponse du Conseil du Trésor à la prochaine demande de financement. Si les fonds du Conseil du Trésor sont disponibles à partir du 1er avril 2007, ils devront être investis en priorité dans l'infrastructure. Si les fonds du CT ne sont pas disponibles le 1er avril 2007, l'institution devra réduire l'envergure du projet AMICAN selon les possibilités de financement à l'interne. Quoiqu'il arrive, l'infrastructure doit demeurer une priorité.

    Le risque associé à la transition est fréquemment sous-estimé. À l'heure actuelle, ce risque est bien planifié et géré par les gestionnaires de la technologie de l'information. Néanmoins, il faudrait accorder encore plus d'attention à la planification, en particulier dans le domaine de l'infrastructure. Les procédures de production sont en place, mais elles ne sont peut-être pas suffisamment connues de tous les directeurs de projets. Il n'y a pas de gestion de la configuration pour l'infrastructure; l'absence d'une telle gestion lors de la production de nouveaux modules entraîne des risques.

    La Gestion de l'infrastructure informatique (GII) à la Direction de la technologie de l'information, a la responsabilité de gérer l'infrastructure technologique pour BAC. Cependant, il n'y a pas assez de ressources humaines à la GII pour soutenir l'infrastructure et les opérations actuelles et, en même temps, soutenir les retombées sur cette infrastructure des projets en cours - on manque à la fois d'employés et d'expertise. Si le financement est accordé, BAC pourra se procurer des ressources supplémentaires et mieux planifier l'ensemble des éléments du renouvellement de l'infrastructure, incluant les besoins à long terme. Toutefois, même avec ces nouveaux investissements, le manque de personnel pour soutenir la croissance pourrait avoir des conséquences néfastes. On risque de voir des défaillances dans le soutien technique régulier du système, en raison des efforts déployés pour soutenir les produits et outils reliés au projet AMICAN/DNF.