Les ISC des États-Unis ont tenu un webinaire du groupe de travail de l’INTOSAI sur l’audit des technologies de l’information

Le 11 août 2021 les représentants de la Direction d’État de contrôle des États-Unis (ISC des États-Unis) ont tenu un webinaire régulier du groupe de travail de l’INTOSAI sur l’audit des technologies de l’information dans le cadre de son plan de travail 2020-2022. L’événement a réuni plus de 240 représentants de la communauté internationale de l’audit.

Le sujet du webinaire est « Audit des systèmes informatiques péremptoires ». L’objectif de l’événement est de sensibiliser la communauté de l’audit dans le domaine de l’audit des systèmes d’information à travers la diffusion d’informations dans le cadre des webinaires trimestriels. Les ISC de l’Inde et des États-Unis sont co-responsables du projet.

Le webinaire a été animé par le personnel du Département des technologies de l’information et de la cybersécurité des ISC des États-Unis :

• Kevin Walsh, directeur,
• Jessica Wasselkow, directrice adjointe,
• Meredith Raymond, analyste principale en informatique.

Au cours de la session ils ont présenté le rapport des ISC des États-Unis sur les systèmes d’information qui utilisent des langages de programmation obsolètes, du matériel et des logiciels non supportés et/ou où des vulnérabilités du système de sécurité peuvent être trouvées.

Le rapport 2019 identifie les systèmes péremptoires américains les plus importants nécessitant une modernisation, évalue les plans des agences pour les moderniser et met en évidence des exemples d’initiatives de modernisation des systèmes péremptoires au cours des 5 dernières années que leurs agences ont trouvé réussies.

Pour l’exercice financier 2019 le gouvernement américain a prévu de dépenser plus de 90 milliards de dollars en technologies de l’information dont la pluspart était destinée à l’exploitation et à la maintenance des systèmes de sécurité existants et péremptoires. Ces systèmes peuvent être plus coûteux à entretenir et plus vulnérables aux pirates. De plus, ils peuvent compliquer la tâche des agences qui les utilisent, puisqu’elles devront faire face à des problèmes pour trouver des employés sachant utiliser l’ancienne technologie et les codes de système correspondants.

Les ISC américaines ont analysé la pertinence des systèmes de 65 agences fédérales et identifié les 10 systèmes les plus importants parmi les 10 agences analysées à partir du Ministère de la Défense au Trésor. Ces systèmes avaient entre 8 et 51 ans et étaient essentiels à la prestation des services principaux tels que la gestion des situations d’urgence, la santé publique et la défense. Trois agences n’avaient pas de plans de modernisation documentés. Les deux avaient l’intention de se moderniser. Certains d’entre elles utilisaient également un code hérité, s’appuyaient sur du matériel et des logiciels qui n’étaient plus supportés par les fabricants ou présentaient de graves risques de sécurité.

Cependant, les agences ont identifié au moins 94 exemples de modernisation réussie de systèmes existants au cours des 5 dernières années. Cinq exemples d’initiatives réussies de modernisation des technologies de l’information sélectionnées par les ISC comprenaient la conversion du code hérité en un langage de programmation plus moderne et la migration des logiciels hérités vers le cloud. Cela a permis aux agences de tirer parti des technologies de l’information pour accomplir avec succès leurs missions et récolter un large éventail d’avantages, notamment des économies de coûts.

Le rapport des ISC propose un total de huit recommandations pour l’élaboration de plans ministériels visant à moderniser les systèmes existants. Huit agences ont appuyé les conclusions et les recommandations des ISC, dont sept ont préparé des plans pour mettre en œuvre les recommandations.

La présentation du rapport a suscité un grand intérêt parmi les participants au webinaire. Le nombre de questions était si grand que, compte tenu du temps limité des réunions, les représentants des ISC ont promis d’y répondre par écrit après le webinaire.