Audit du processus d'autorisation et d'authentification électronique - Rapport final - Janvier 2022

Division de l’audit interne et de l’évaluation

Sur la recommandation du Comité ministériel d’audit, soumis à l’approbation du directeur des poursuites pénales le 29 mars 2021.
Approuvé par la directrice des poursuites pénales le 11 janvier 2022.

No de catalogue : J79-12/2022F-PDF
ISBN : 978-0-660-41847-6

Table des matières

1.0 Sommaire
2.0 Introduction
3.0 Constatations
4.0 Conclusion
5.0 Plans d’action de la gestion
Annexe A – Critères d’audit
Annexe B – Liste des sigles et abréviations

1.0 Sommaire

1.1 Objectifs et portée

Le présent audit visait à évaluer le processus d’autorisation et d’authentification électronique (AAE) du Service des poursuites pénales du Canada (SPPC) et à fournir l’assurance que les contrôles établis répondaient aux exigences du Conseil du Trésor du Canada (CT) et de la Loi sur la gestion des finances publiques (LGFP).

Les phases de planification et d’examen de l’audit ont été réalisées entre les mois d’août et de novembre 2020.

1.2 Conclusion de l’audit

La Division de l’audit interne et de l’évaluation (DAIE) a examiné le processus et les contrôles en matière d’AAE au regard de critères préétablis selon les politiques, directives et orientations du CT, les politiques, directives et procédures du SPPC et des pratiques exemplaires générales.

En général, le processus d’AAE fait l’objet d’une gouvernance adéquate; cependant, des incohérences ont été relevées entre les différents documents créés en appui au nouveau processus. Ces incohérences ont mené à des écarts quant à certaines des données examinées.

Des améliorations devraient être apportées à la documentation pour que le processus d’apposition de signatures électroniques soit appliqué de façon uniforme. Davantage de communications et de la formation supplémentaire pour les employés pourrait améliorer l’efficacité et la conformité globale au processus d’AAE.

1.3 Résumé des recommandations

La DAIE a constaté que la Direction des finances et des acquisitions (DFA) a été en mesure de lancer le processus rapidement, compte tenu du besoin soudain d’avoir un outil de signature électronique dont l’utilisation était destinée au personnel travaillant à distance en raison de la COVID-19. Il a également été observé que les outils et les options permettant une utilisation plus souple de la signature électronique étaient mis à disposition au fur et à mesure que les besoins se manifestaient, dont la création de formulaires à signatures multiples et le verrouillage de documents après leur signature. Le processus s’est également avéré plus efficace pour la plupart des employés exerçant régulièrement les pouvoirs de signature prévus aux articles 32, 34 et/ou 41 de la LGFP.

Le présent rapport énonce les recommandations suivantes :

La dirigeante principale des finances (DPF), en collaboration avec le dirigeant principal de l’information (DPI), devrait :
- assurer la cohérence des directives, normes et procédures, leur communication adéquate aux employés et l’offre de formation additionnelle;
- assurer que les attentes et les exigences en matière de vérification de la validité des signatures soient énoncées et communiquées aux employés.

1.4 Énoncé d’assurance

D’après mon jugement professionnel en tant que dirigeante principale de l’audit et de l’évaluation au SPPC, les procédures d’audit appliquées et les éléments probants recueillis sont suffisants et adéquats pour confirmer l’exactitude de la conclusion formulée dans le présent rapport. Les constatations et la conclusion de l’audit reposent sur une comparaison des conditions qui existaient au moment de l’audit, selon les critères d’audit préétablis, approuvés et convenus avec la direction du SPPC. Les constatations et les conclusions ne concernent que l’entité examinée. L’audit a été mené conformément aux normes de l’audit interne du gouvernement du Canada.

Je suis reconnaissante de la collaboration et de l’aide fournie à l’équipe d’audit par le personnel du SPPC à l’administration centrale et aux bureaux régionaux.

Cathy Rodrigue
Dirigeante principale de l’audit et de l’évaluation

2.0 Introduction

2.1 Contexte

L’utilisation des signatures électroniques fait partie de l’initiative pour un gouvernement numérique, qui vise à rationaliser les processus opérationnels internes et externes du gouvernement du Canada et à améliorer la prestation des services aux citoyens. Par conséquent, le Secrétariat du Conseil du Trésor du Canada a publié l’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques. L’utilisation d’une signature électronique correspond à l’objectif visé puisqu’elle remplace les processus sur papier par des pratiques électroniques plus modernes, rapides et faciles à utiliser. Elle répond à l’objectif fondamental de la signature, c’est-à-dire qu’elle lie une personne à un document (ou transaction) et, habituellement, tient lieu de preuve que cette personne a l’intention d’approuver ou d’être juridiquement liée par son contenu.

Au SPPC, la DPF, en collaboration avec le groupe de la Technologie de l’information (TI), a cherché à mettre en œuvre le processus de signature électronique et à s’éloigner d’un système de signatures, d’examen et d’approbation en format papier.

Après des essais approfondis, la Direction des solutions d’information du SPPC a décidé de rendre accessible à tous les employés de l’organisation le nouveau logiciel Foxit Phantom PDF, qui offre des fonctions de signature sécurisées.

Au mois de mars 2020, en raison de la pandémie de la COVID-19, les employés ont été requis de faire du télétravail pour une durée indéterminée. Par la suite, le 18 mars 2020, la DPF a publié un bulletin sur iNet afin d’autoriser l’utilisation des signatures électroniques. La DFA a rédigé la Norme sur les autorisations et authentifications électroniques, qui a ensuite été publiée sur iNet. Cette norme établit la procédure visant à ce que l’organisme utilise l’AAE au lieu de signatures sur papier, conformément à la Délégation de signature des pouvoirs de dépenser et des pouvoirs financiers.

La Norme sur les AAE permet aux utilisateurs de signer électroniquement des documents à l’aide de Foxit. La signature est sécurisée lorsque l’employé ouvre une session au moyen de MaClé, une clé numérique et cryptée créée par le logiciel Entrust, un service de gestion des justificatifs internes facilitant l’authentification pour accéder de façon sécurisée aux applications et aux réseaux du gouvernement du Canada.

La DAIE a réalisé l’Audit du processus d’autorisation et d’authentification électronique, conformément au Plan de vérification axé sur les risques de 2020-2021 et 2021-2022 du SPPC, approuvé par la directrice des poursuites pénales, le 9 avril 2020.

2.2 Objectifs et portée

Le présent audit vise à évaluer le processus d’AAE et à fournir l’assurance que les contrôles établis répondaient aux exigences du CT et de la LGFP.

L’audit portait sur le processus d’apposition et de validation des signatures électroniques sur les documents, au sein du SPPC, exigeant des approbations aux termes des articles 32, 34 et/ou 41 de la LGFP du 18 mars au 31 août 2020. Les opérations des mandataires n’ont pas fait objet du présent audit, parce qu’elles sont visées par leur propre processus d’approbation et qu’elles ont déjà fait l’objet d’un audit.

Les phases de planification et d’examen de l’audit ont été réalisées entre les mois d’août et novembre 2020.

2.3 Méthodologie

L’audit était conforme aux pratiques d’audit acceptées et a été mené conformément à la Politique sur l’audit interne du CT.

La méthodologie de l’audit incluait :

des entretiens menés auprès d’employés de la DFA, des intervenants du processus et de coordonnateurs des activités (CA) de différents secteurs;
un examen des dossiers et des factures;
un examen et une analyse des données, des politiques écrites, des pratiques, des procédures et des directives.

3.0 Constatations

3.1 Gouvernance et conformité

La création et la mise en œuvre du processus de signature électronique ont fait l’objet d’une gouvernance adéquate grâce aux approbations et à la participation des intervenants. Aucun problème important de conformité aux exigences du CT n’a été observé. Bien que des difficultés soient survenues quant à la validation à long terme, elles sont hors du contrôle du SPPC, et des mesures d’atténuation seront mises en place.

Nous nous attendions à ce que le processus d’AAE ferait l’objet d’une gouvernance adéquate et qu’il serait conforme aux exigences du CT.

Nous avons constaté que la DPF avait mis en œuvre, approuvé et communiqué la Norme sur les AAE aux employés par la publication d’un bulletin, le 18 mars 2020, conformément au Cadre sur les instruments de politique de gestion financière (Cadre). Une ébauche de la Directive sur l’authentification et l’autorisation électronique des opérations financières était en cours d’élaboration pendant l’audit et est en attente d’approbation, conformément au Cadre. Nous avons constaté que lors de l’élaboration de la Norme et de l’ébauche de la Directive, le groupe de la TI a été consulté au sujet des exigences du CT, du niveau d’assurance et des fonctionnalités du logiciel Foxit.

En ce qui concerne les signatures électroniques, aucun problème important de conformité aux diverses exigences du CT n’a été observé. Les exigences comprennent notamment :

la Directive sur la délégation des pouvoirs de dépenser et des pouvoirs financiers;
la Directive sur la gestion de l’identité – Annexe A : Norme sur l’assurance de l’identité et des justificatifs;
le Guide de délégation et de mise en œuvre des pouvoirs de dépenser et des pouvoirs financiers;
l’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques;
la Ligne directrice sur la définition des exigences en matière d’authentification;
la Ligne directrice sur l’assurance de l’identité;
le Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3).

Cependant, nous avons remarqué que la durée du certificat pour la version actuelle d’Entrust, déployée dans l’ensemble du gouvernement, est de cinq ans, ce qui ne correspond pas à la période de conservation de sept ans établie pour les documents financiers. Même si cela est hors du contrôle du SPPC, des mesures d’atténuation seront mises en œuvre, comme la conservation des documents pendant toute la période de sept ans, une fois que la migration des documents du SPPC vers GCdocs sera terminée. Puisque GCdocs est pourvu d’un mécanisme de suivi intégré, une piste de vérification de tous les changements sera suivie pour assurer l’intégrité des documents pendant toute la durée de leur période de conservation.

Le DPI du SPPC a été consulté pour déterminer si Foxit, utilisé conjointement avec MaClé de Entrust, correspond au niveau d’assurance 3 de l’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques. Le DPI, après examen, a convenu que ce niveau d’assurance avait été respecté, et l’équipe responsable de l’audit n’a observé aucun problème de conformité avec ce niveau d’assurance.

Bien qu’il n’y ait pas de documentation traitant de la résolution de problèmes ou de l’apport de modifications additionnelles au processus d’AAE, nous avons constaté qu’il y avait un plan documenté servant à évaluer l’AAE au moyen de contrôles internes à la DFA.

3.2 Documentation

De manière générale, la quantité d’information et de documents produits dans le cadre de ce nouveau processus était suffisante. Toutefois, les incohérences constatées dans les procédures et la Norme sur les AAE ont compliqué l’application des procédures appropriées par les employés.

Nous nous attendions à ce qu’il y ait une documentation adéquate et suffisante relative aux signatures électroniques et qu’elle soit communiquée aux employés.

En général, les attentes quant à l’utilisation des signatures électroniques étaient énoncées et communiquées aux employés. Cependant, nous avons remarqué des écarts entre les procédures énoncées à l’Annexe A de la Norme sur les AAE et les autres procédures publiées sur le Hub de la Gestion de l’information, sur iNet. Ces dernières fournissaient d’autres directives détaillées sur l’insertion de signatures électroniques au moyen de Foxit, en cliquant sur « placer la signature » au lieu de « certifier la signature », sur l’apposition et la création de multiples signatures, sur le verrouillage de documents et sur la vérification de la validité des signatures. Selon les entretiens menés auprès des CA, nous avons constaté que ces procédures n’avaient pas été communiquées convenablement aux employés et que certains ignoraient qu’elles existaient. Certains des problèmes récurrents relevés par les employés, comme le verrouillage imprévu de documents et l’impossibilité d’insérer plusieurs signatures correspondent aux écarts notés dans la documentation.

Nous avons découvert que les exigences et les attentes en matière de vérification de la validité des signatures n’étaient pas claires. Ni la Norme ni l’ébauche de la Directive n’énonçaient ces attentes. De plus, la DFA ne disposait pas de documentation interne précisant que la vérification de la validité des signatures fait partie du processus d’authentification de l’identité et de la signature dans le cas des documents qui sont reçus en vue du traitement de paiements. En outre, la documentation actuelle ne fournit pas suffisamment d’information sur l’autorité de certification et n’indique pas la marche à suivre lorsque la validation de la signature électronique apparaît comme « inconnue ».

Des améliorations devraient être apportées aux procédures et à la Norme afin d’assurer la clarté et le déroulement adéquat des activités quant à l’apposition de signatures dans des documents et à la vérification de la validité des signatures.

Recommandation :

La DPF devrait assurer la cohérence des directives, normes et procédures, leur communication adéquate aux employés et l’offre de formation additionnelle. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits.

3.3 Intégrité du système et de l’information

Le processus actuel et les comportements des employés ne garantissent pas toujours l’intégrité du système et de l’information. Les signatures électroniques examinées n’étaient pas toutes autorisées et validées. Les procédures de sécurité inadéquates suivies par les employés pourraient compromettre le système.

Nous nous attendions à ce que les signatures électroniques liées aux opérations visées par les articles 32, 34 et 41 de la LGFP soient autorisées, valides et sécurisées.

Ressources humaines

Pendant l’audit, nous avons examiné des échantillons de lettres d’offre et de lettres de modification et constaté un nombre élevé de signatures manuscrites. L’équipe d’audit a décidé d’examiner les échantillons pour relever les tendances quant à l’utilisation de signatures électroniques et cerner les gains d’efficacité potentiels. Il y a eu une augmentation de l’utilisation des signatures électroniques en juin et en juillet, et les signatures manuscrites ont été utilisées de façon systématique pendant l’audit. De plus, les Ressources humaines (RH) ont entrepris de vérifier la validité des signatures en septembre, dans la mesure du possible, compte tenu du fait que la plupart des documents sont retransmis aux RH de façon numérisée.

Dans certains cas, l’utilisation de signatures électroniques a permis de réaliser des gains d’efficacité en réduisant le recours à l’impression et à la numérisation. En s’assurant que les employés et les gestionnaires savent qu’ils peuvent signer des documents de façon électronique, il serait possible d’examiner la validité des signatures une fois les documents sont présentés aux RH.

Acquisitions

Nous avons examiné un échantillon de contrats afin de vérifié l’autorité et la validité de la signature électronique. Nous avons constaté que de nombreuses signatures n’ont pas pu être validées, parce que le dossier avait été numérisé, que la validité et le certificat de la signature paraissaient « inconnus », que la signature était « invalide » en raison de changements apportés après l’apposition de la signature et, dans un cas, que des images avaient été insérées dans le bloc-signature plutôt que selon le processus établi. Le dirigeant principal des acquisitions a indiqué qu’il n’existe actuellement aucun processus d’examen des signatures pour vérifier la validité, alors que l’accessibilité d’un tel processus aurait pu réduire le nombre de signatures inadmissibles.

Finances

Les entretiens organisés avec les employés de la DFA nous ont permis de constater qu’il existe un processus interne et une liste de contrôle pour la vérification des signatures apposées sur les factures, afin de s’assurer que les signatures proviennent d’un pouvoir délégué et qu’elles correspondent à celles des signataires. Ce processus comprend la vérification en fonction de la Fiche de spécimen de signature (FSS) de l’employé, qui précise le niveau du pouvoir d’approbation financière de celui-ci. Dans le cadre de la transition aux signatures électroniques, nous avons remarqué que la DFA avait dressé une liste de suivi des factures annulées, afin de noter celles pour lesquelles un problème de signature électronique avait été décelé et de faire en sorte que ces factures soient retransmises aux signataires aux fins de correction.

Nous avons examiné un échantillon de factures afin de vérifier le pouvoir et la validité des signatures électroniques. Dans certains cas, la signature électronique ne pouvait pas être validée, puisqu’elle paraissait « inconnue ». Il a été noté que les signataires s’étaient servis d’une adresse courriel se terminant par « @justice.gc.ca », ce qui pouvait être dû au fait que le SPPC partage un réseau privé virtuel (RPV) avec le ministère de la Justice. Cependant, un entretien avec un employé des Finances a confirmé qu’une vérification de la validité de la signature électronique est effectuée, et que ces cas auraient donc dû être corrigés..

Nous avons également trouvé une facture pour laquelle le signataire n’avait pas de délégation de pouvoirs active au titre de la FSS précédente étant expirée depuis février 2020. La vérification de la délégation de pouvoirs est un processus existant qui a lieu lors du traitement des factures pour paiements. Il était prévu que cela se poursuit, même avec la mise en œuvre du processus d’AAE, puisque ce processus ne tient pas compte de la façon dont les factures sont signées. Les signatures non valides ou non autorisées pourraient avoir des conséquences sur l’intégrité de l’opération financière traitée et elles ne sont pas conformes à la LGFP.

Dans le cas des contrats et des factures, nous avons constaté les écarts suivants :

modifications de documents après l’apposition de la signature;
boîtes de texte laissées ouvertes;
champs de signature laissés ouverts;
le signataire omet de choisir « j’approuve ce document » dans le champ « raison », selon ce qui est prévu par la procédure.

Nous avons constaté que dans plusieurs régions, les CA continuaient à éprouver des problèmes avec le processus d’AAE. Ils ont noté que le soutien offert par l’administration centrale relativement à la Norme et aux procédures n’était pas toujours opportun et qu’ils ignoraient à qui s’adresser pour résoudre leurs problèmes. Il serait souhaitable d’offrir de la formation additionnelle sur le processus d’AAE, conformément à ce qui a été énoncé précédemment dans la partie 3.2 du présent rapport.

Recommandation :

La DPF devrait énoncer les attentes et les exigences en matière de vérification de la validité des signatures et les communiquer aux employés. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits.

4.0 Conclusion

La DAIE a examiné le processus et les contrôles en matière d’AAE au regard des critères préétablis selon les politiques, directives et orientations du CT, les politiques, directives et procédures du SPPC et des pratiques exemplaires générales.

Des améliorations devraient être apportées à la documentation pour que le processus d’apposition de signatures électroniques soit appliqué de façon uniforme. Davantage de communication avec les employés ainsi que de la formation supplémentaire pourraient améliorer l’efficacité et la conformité globale.

5.0 Plans d’action de la gestion

Recommandation	Réponse et plan d’action de la gestion	Bureau de première responsabilité	Date cible
La DPF devrait assurer la cohérence des directives, normes et procédures, leur communication adéquate aux employés et l’offre de formation additionnelle. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits. Risque : moyen	La DFA modifiera la Norme tout en coordonnant ses efforts avec les responsables de la Gestion de l’information et Technologie de l’information (GI-TI), afin d’assurer l’uniformité de la documentation et le soutien à la formation technique. La documentation sera publiée sur iNet et des séances de formation seront organisées.	DPF	T3 – 2021-2022
La DPF devrait énoncer les attentes et les exigences en matière de vérification de la validité des signatures et les communiquer aux employés. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits. Risque : moyen	La DFA élaborera un instrument de politique qui traite des exigences en matière de validité des signatures et collaborera avec la GI-TI pour offrir la formation adéquate.	DPF	T3 – 2021-2022

Recommandation

Réponse et plan d’action de la gestion

Bureau de première responsabilité

Date cible

La DPF devrait assurer la cohérence des directives, normes et procédures, leur communication adéquate aux employés et l’offre de formation additionnelle. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits.

Risque : moyen

La DFA modifiera la Norme tout en coordonnant ses efforts avec les responsables de la Gestion de l’information et Technologie de l’information (GI-TI), afin d’assurer l’uniformité de la documentation et le soutien à la formation technique. La documentation sera publiée sur iNet et des séances de formation seront organisées.

DPF

T3 – 2021-2022

La DPF devrait énoncer les attentes et les exigences en matière de vérification de la validité des signatures et les communiquer aux employés. Les efforts devraient être coordonnés avec les Services de l’administration pour offrir la formation technique et assurer la conformité des documents écrits.