Auditer des environnements efficaces et sûrs pour le travail à distance dans le secteur public en Géorgie avec la gouvernance informatique
La création d’un environnement efficace et sûr pour le travail à distance dans le secteur public nécessite des politiques claires, une planification minutieuse, des technologies et des infrastructures, la sécurité des données, la mesure des performances et une attention particulière à la productivité des employés, et les organisations d’audit du secteur public ont un rôle à jouer dans la mise en place de cet environnement.
Avec la numérisation du secteur public, la dépendance des organisations à l’égard des technologies de l’information (TI) s’est accrue à un rythme rapide. Cette dépendance entraîne la nécessité d’une gestion efficace et efficiente des technologies de l’information, qui passe par des actions coordonnées de l’encadrement supérieur et intermédiaire. En particulier, les décisions prises dans les processus informatiques aux niveaux stratégique et opérationnel devraient contribuer à la réalisation de l’objectif principal de l’organisation, qui est avant tout la gestion efficace du processus d’entreprise et de la sécurité de l’information. Il est donc indispensable de disposer d’une stratégie, de politiques, de procédures et de plans d’action prédéfinis pour une gouvernance informatique efficace.
Une gouvernance informatique efficace est devenue de plus en plus importante depuis le début de la pandémie de COVID-19, lorsque les organismes publics ont adopté le travail à distance pour répondre aux exigences de distanciation sociale. Cette transition a créé une situation d’urgence pour les organismes et, parallèlement à des décisions efficaces de la part de la direction, a fait naître le besoin de ressources de travail matérielles et techniques nécessaires. Dans les meilleures pratiques, l’existence de règles communes et de conditions standard pour l’exécution du travail dans une situation d’urgence aide l’organisation à prendre des décisions optimales.
La Cour des comptes de Géorgie (SAOG) a étudié les décisions administratives prises par les ministères audités en vue de passer au mode de travail à distance, ainsi que l’efficacité de leur mise en œuvre au cours de la pandémie en Géorgie. L’examen a permis à la SAOG de constater les circonstances suivantes :
- Les ministères audités n’avaient pas élaboré de plans de continuité et de reprise des activités qui les auraient aidés à réagir en temps voulu à la pandémie. En outre, les entités auditées ne disposaient pas d’une politique en matière de télétravail comportant des exigences minimales en matière de sécurité des informations. En particulier, pour le télétravail, les agences devraient élaborer des politiques définissant les conditions et les limites liées au télétravail. L’existence d’une telle politique aiderait les entités auditées à mieux utiliser les actifs et à respecter les principes de sécurité de l’information lorsqu’elles passent en matière de travail à distance.
- Lors du passage au mode de travail à distance, de nombreux employés des entités géorgiennes auditées n’ont pas pu bénéficier d’un équipement informatique approprié de la part des agences et ont dû utiliser leurs propres appareils à des fins professionnelles. Dans certains cas, malgré la fourniture de matériel informatique, certains employés ont continué à utiliser des appareils personnels en raison des faibles performances ou de la vétusté des appareils fournis par les agences. Dans ce sens, les circonstances et les conclusions suivantes ont été notables :
- Parmi les organisations auditées, le ministère de l’économie et du développement durable de Géorgie et le ministère de la protection de l’environnement et de l’agriculture de Géorgie n’ont pas enregistré et classé les biens informatifs au sein de l’organisation. À l’agence nationale du registre public, l’identification des actifs en relation avec les processus opérationnels existants et la préparation du registre correspondant étaient tout juste en cours ;
- Au cours de l’utilisation des appareils informatiques personnels par les employés, les activités correspondant aux exigences minimales en matière de sécurité de l’information n’ont pas été effectuées.
Par conséquent, les entités auditées n’ont pas été en mesure d’évaluer les actifs informatiques en leur possession en fonction de leurs besoins, ni de prendre des décisions optimales concernant l’affectation des équipements et de déterminer le niveau de sécurité approprié.
- Au cours du travail à distance, les employés des agences ont dû utiliser des réseaux externes, qui ne sont pas contrôlés par les services informatiques des agences et sont donc moins bien protégés. L’une des meilleures pratiques pour résoudre ce problème consiste à utiliser un réseau privé virtuel (RPV). Bien que les entités auditées aient fourni des services VPN à leurs employés en temps utile, certains employés ne les ont utilisés que pour accéder à des services liés à leur travail (par exemple, l’intranet), ce qui les a exposés aux risques découlant d’un accès illimité à un réseau externe non protégé (voir image 1).
Image 1 : Conditions préalables à l’efficacité et à la sécurité de l’environnement de travail à distance
Afin d’améliorer le processus de continuité des services informatiques, les trois entités auditées – les ministères de l’Économie, de l’Agriculture et du Registre – ont reçu deux recommandations primaires.
- Tout d’abord, il a été conseillé aux entités de mettre en place un système de gestion identifiant le personnel disposant de l’autorité, de la qualification et des compétences appropriées, qui serait responsable de la planification, de la mise en œuvre et de la réaction aux activités pertinentes pour la continuité du processus de gestion. Comme point de départ, les ministères ont été invités à prendre des mesures initiales pour développer des plans de continuité des services qui soutiendraient la continuité des processus opérationnels critiques dans l’organisation, et à effectuer régulièrement (au moins une fois par an) une analyse des lacunes en ce qui concerne la continuité des services informatiques afin de déterminer l’état actuel et souhaité de l’organisation.
- En vue de faire face aux risques liés à la sécurité de l’information, il a été bien voulu que les ministères élaborent une politique ou une procédure visant à garantir l’octroi de licences et la mise à jour en temps utile des systèmes d’exploitation et des logiciels.
Outre la clé du succès pour fournir un environnement de travail à distance efficace et sûr, il est important d’équilibrer les besoins de l’organisation avec la sensibilisation des employés grâce à une communication régulière, et de démontrer un engagement en faveur de l’amélioration. Cette étude de cas auditée, partagée par la SAOG, démontre l’importance des éléments essentiels de l’efficacité et de la sécurité de l’environnement de travail à distance, et les leçons tirées peuvent être partagées par la communauté internationale des auditeurs.
À propos des auteurs
Mme Nino Kereselidze
Cheffe de la division des relations internationales et des relations avec les bailleurs de fonds
Bureau d’audit de l’État de Géorgie
M. Giorgi Kapanadze
Chef du service d’audit de la performance
Bureau d’audit de l’État de Géorgie
