Mise en œuvre d'un ERP gouvernemental : habilitation de sécurité et conformité

Les implémentations ERP gouvernementales combinent la complexité opérationnelle des déploiements d'entreprise à grande échelle avec des contraintes réglementaires, une responsabilité politique et des exigences de sécurité auxquelles aucune implémentation commerciale n'est confrontée. Une agence mettant en œuvre un ERP doit naviguer dans les règles d'approvisionnement concurrentielles (la mise en œuvre elle-même doit être attribuée de manière compétitive), les exigences de sécurité FISMA, potentiellement les exigences d'autorisation FedRAMP, la surveillance de l'inspecteur général et les cycles d'approbation du budget législatif - avant d'écrire une seule ligne de configuration.

Ce guide fournit un cadre de niveau praticien pour la mise en œuvre d'un ERP gouvernemental, avec une attention particulière aux exigences de sécurité, de conformité et de gouvernance qui distinguent les déploiements du secteur public des déploiements commerciaux.

Points clés à retenir

• L'approvisionnement du gouvernement en matière d'ERP doit lui-même être conforme aux exigences d'un appel d'offres — budget de 12 à 18 mois pour l'approvisionnement avant le début de la mise en œuvre
• La conformité FISMA nécessite une autorisation formelle d'exploitation (ATO) avant de traiter les données gouvernementales en production
• L'autorisation FedRAMP (pour les agences fédérales) ou les exigences équivalentes de l'État limitent la sélection du fournisseur de cloud.
• Les exigences en matière d'habilitation de sécurité pour le personnel de mise en œuvre peuvent limiter les options de dotation en personnel des fournisseurs.
• Les crédits budgétaires législatifs limitent les budgets de mise en œuvre et peuvent nécessiter une autorisation distincte pour les investissements informatiques majeurs
• La surveillance par l'Inspecteur général et le GAO des grands projets informatiques nécessite une documentation proactive et de la transparence
• Les exigences de classification des données gouvernementales affectent l'architecture, les contrôles d'accès et la configuration de la journalisation d'audit.
• La gestion du changement dans les environnements de la fonction publique nécessite une consultation syndicale et une planification formelle de la transition de la main-d'œuvre

---

Pré-mise en œuvre : passation des marchés et autorisation législative

L’approvisionnement gouvernemental en matière d’ERP est en soi un projet majeur qui doit être achevé avant que la mise en œuvre puisse commencer. Le processus de passation de marchés pour un ERP gouvernemental majeur prend généralement 12 à 24 mois entre la définition des besoins et l'attribution du contrat.

Développement des exigences

La loi sur les marchés publics exige que l'agence définisse ses exigences avant de solliciter des propositions : les agences ne peuvent pas d'abord sélectionner un fournisseur et définir des exigences concernant les capacités du fournisseur sélectionné. Le développement des exigences implique :

• Évaluation de l'état actuel : documenter les systèmes existants, leur âge, leurs lacunes fonctionnelles et le coût estimé de leur maintenance
• Exigences commerciales : Documenter les capacités fonctionnelles spécifiques requises, organisées par module (finances, achats, RH, subventions, services aux citoyens)
• Exigences techniques : spécifiez les exigences d'intégration, les exigences en matière de volume de données, les exigences de performances, les exigences de sécurité (niveau FISMA) et les normes d'interopérabilité.
• Critères d'évaluation : définir les critères selon lesquels les propositions seront évaluées, avec des pondérations attribuées, avant de lancer la sollicitation

Les documents relatifs aux exigences deviennent partie intégrante du dossier public et sont sujets à des protestations de la part des fournisseurs non retenus s'ils semblent favoriser un produit spécifique. Les exigences doivent être basées sur les performances et neutres sur le plan technologique lorsque cela est possible.

Approvisionnement concurrentiel

L’approvisionnement gouvernemental en matière d’ERP s’effectue généralement via l’un des deux véhicules suivants :

• Concours complet et ouvert : une demande de proposition (RFP) complète avec annonce publique, réponses des fournisseurs, évaluation technique et décision d'attribution du meilleur rapport qualité-prix.
• Véhicules contractuels gouvernementaux existants : de nombreuses agences gouvernementales se procurent des ERP via des véhicules contractuels établis à plusieurs attributions (horaires GSA, SEWP, titulaires de BPA) qui ont déjà terminé un processus d'attribution compétitif.

L’utilisation d’un véhicule contractuel existant peut réduire le délai de passation des marchés de 12 à 18 mois par rapport à un appel d’offres complet. Cependant, l'agence doit s'assurer que le véhicule contractuel englobe les produits et services requis et que la concurrence entre les commandes de tâches au sein du véhicule est suffisamment compétitive.

Autorisation budgétaire et législative

Les investissements informatiques majeurs du gouvernement – ​​généralement ceux qui dépassent des seuils définis – nécessitent une autorisation législative distincte. Dans certaines juridictions, un projet d'investissement informatique dépassant un montant seuil nécessite une autorisation de poste budgétaire spécifique, distincte des crédits de fonctionnement de l'agence. L’obtention de cette autorisation ajoute un autre cycle au calendrier de pré-mise en œuvre.

Les agences doivent prévoir une période préalable à la mise en œuvre de 24 à 36 mois pour un ERP majeur (depuis la planification initiale jusqu'à l'attribution du contrat et l'autorisation législative) et intégrer ce calendrier dans le calendrier global du projet.

---

Conformité FISMA et autorisation d'exploitation

La loi fédérale sur la gestion de la sécurité de l'information (FISMA) exige que chaque système d'information fédéral reçoive une autorisation d'exploitation formelle (ATO) avant de traiter, stocker ou transmettre des informations gouvernementales. Le processus ATO implique une évaluation complète de la sécurité qui doit être effectuée avant le déploiement en production.

Catégories de sécurité FISMA

La FISMA exige que les systèmes d'information soient classés en fonction de l'impact potentiel d'une faille de sécurité sur la confidentialité, l'intégrité et la disponibilité : faible, modéré ou élevé pour chaque dimension. La catégorisation globale du système détermine les contrôles de sécurité requis à partir de la publication spéciale NIST 800-53.

La plupart des systèmes financiers gouvernementaux sont classés à impact modéré pour les trois dimensions, nécessitant la mise en œuvre d'environ 300 contrôles de sécurité du catalogue NIST 800-53. Les systèmes à fort impact (rare pour les ERP financiers) nécessitent des contrôles supplémentaires.

Plan de sécurité du système

Le document principal de la FISMA est le plan de sécurité du système (SSP), qui documente :

• La limite du système (quels composants sont inclus dans la limite d'autorisation)
• Les types de données traitées par le système et leurs niveaux de sensibilité
• Les contrôles de sécurité mis en œuvre et comment ils répondent aux exigences NIST 800-53
• Les contrôles hérités de l'environnement d'hébergement (contrôles communs)
• Les contrôles qui relèvent de la responsabilité du propriétaire du système (contrôles spécifiques au système)

La préparation du SSP pour une mise en œuvre ERP complexe est un projet important en soi, nécessitant généralement 3 à 6 mois de travail de documentation par des professionnels de la sécurité expérimentés.

Évaluation de sécurité et autorisation

Une fois le SSP terminé, une équipe d'évaluation indépendante (soit un tiers autorisé, soit une équipe d'évaluation interne distincte de l'équipe de mise en œuvre) teste les contrôles de sécurité pour vérifier qu'ils fonctionnent comme documenté. L'évaluation génère un rapport d'évaluation de sécurité (SAR) qui documente les conclusions.

L'agent chargé de l'autorisation (AO) examine le SSP et le SAR et prend la décision d'autorisation : accorder un ATO, délivrer un ATO conditionnel avec les mesures correctives requises ou refuser l'autorisation. Un ATO est généralement délivré pour trois ans, après quoi une réévaluation est requise.

---

Autorisation FedRAMP pour Cloud ERP

Pour les agences fédérales utilisant un ERP hébergé dans le cloud, le fournisseur de services cloud doit maintenir une autorisation FedRAMP au niveau d'impact approprié (faible, modéré ou élevé). L'autorisation FedRAMP est une évaluation formelle des contrôles de sécurité de la plateforme cloud par un organisme d'évaluation tiers (3PAO) accrédité par le programme FedRAMP.

Impact sur la sélection des fournisseurs

Les exigences d’autorisation FedRAMP limitent considérablement la sélection des fournisseurs d’ERP cloud. Tous les fournisseurs commerciaux d'ERP n'ont pas obtenu l'autorisation FedRAMP, en particulier au niveau à impact élevé. Les agences doivent vérifier le statut d'autorisation FedRAMP lors de l'approvisionnement – ​​le marché FedRAMP à l'adresse market.fedramp.gov est la source faisant autorité.

Contrôles hérités

Un avantage important de l’utilisation des plates-formes cloud autorisées FedRAMP est l’héritage des contrôles de sécurité communs de l’environnement cloud. Les contrôles liés à la sécurité physique, aux contrôles environnementaux et à certaines fonctions de gestion des identités sont documentés dans le package d'autorisation FedRAMP du fournisseur de cloud et peuvent être hérités par les systèmes de l'agence utilisant la plateforme. Cela réduit le fardeau de la documentation de sécurité pour l'ATO de l'agence.

---

Exigences en matière d'habilitation de sécurité

Les mises en œuvre d'ERP gouvernementaux qui impliquent des systèmes classifiés ou des informations sensibles mais non classifiées à des niveaux d'impact élevés peuvent nécessiter des habilitations de sécurité pour le personnel de mise en œuvre. Cette exigence peut affecter considérablement la composition et le calendrier de l’équipe de mise en œuvre.

Processus d'enquête sur la sécurité du personnel

Les enquêtes sur les antécédents requises pour les habilitations de sécurité prennent généralement de 3 à 18 mois, selon le niveau d'habilitation et la complexité des antécédents de l'individu. Les fournisseurs de mise en œuvre peuvent ne pas être en mesure d'affecter leurs consultants les plus expérimentés si ces personnes ne disposent pas ou ne peuvent pas obtenir les autorisations requises.

Atténuation des contraintes de dégagement

Les agences peuvent atténuer les contraintes de dédouanement en :

• Identifier les exigences d'autorisation dès le début de la planification et commencer le processus d'autorisation pour le personnel clé de mise en œuvre avant l'attribution du contrat.
• Concevoir la mise en œuvre pour minimiser l'exposition du personnel autorisé aux travaux de configuration ERP nécessitant l'accès à des données sensibles
• Utilisation d'un conseiller technique agréé par le gouvernement pour gérer les travaux de configuration sensibles aux autorisations, le fournisseur de mise en œuvre fournissant une expertise fonctionnelle aux niveaux de classification inférieurs

---

Classification et traitement des données

Les données gouvernementales sont classées en plusieurs catégories qui affectent la manière dont elles doivent être traitées dans l'ERP :

Informations non classifiées contrôlées (CUI)

CUI est une vaste catégorie d'informations gouvernementales qui nécessitent une protection en vertu d'une loi, d'une réglementation ou d'une politique à l'échelle du gouvernement, mais qui ne atteignent pas le niveau classifié. L'ERP financier contient généralement des CUI, notamment : des informations personnelles identifiables (PII) sur les employés et les sous-traitants, des informations financières sur les programmes gouvernementaux et des informations sensibles sur les achats.

Les exigences de gestion CUI incluent : les contrôles d’accès au système, la journalisation d’audit, les restrictions de transfert et les exigences d’élimination. La configuration ERP doit appliquer des contrôles CUI au niveau des éléments de données pour les informations désignées comme CUI.

Dossiers de la Loi sur la confidentialité

Les dossiers des employés et des entrepreneurs du gouvernement sont soumis aux exigences de la Loi sur la protection des renseignements personnels, qui exigent : la tenue d'un avis sur le système de dossiers (SORN) décrivant les dossiers, la limitation de la divulgation aux fins autorisées, l'accès des individus aux dossiers les concernant et la tenue de dossiers précis. La mise en œuvre de l'ERP doit inclure une analyse d'impact de la Loi sur la protection des renseignements personnels et des contrôles appropriés pour tous les systèmes qui conservent des dossiers couverts par la Loi sur la protection des renseignements personnels.

---

Mise en œuvre progressive pour le gouvernement

Les mises en œuvre de l'ERP gouvernemental nécessitent une mise en œuvre progressive qui tient compte des cycles budgétaires de l'exercice financier, de la surveillance législative et du calendrier opérationnel de l'agence.

Phase 1 : Fondation et financement (année 1)

La mise en œuvre financière établit la structure comptable des fonds dont dépendent tous les modules suivants. Cette phase comprend :

• Conception du plan comptable aligné sur la structure du fonds GASB
• Migration et rapprochement du solde d'ouverture
• Intégration budgétaire et configuration de la comptabilité d'engagements
• Développement de modèles d'états financiers GAAP et GASB
• Conception et tests du processus de clôture de fin d'année

L'année fiscale est l'unité naturelle de mise en œuvre des finances publiques : le nouveau système doit être prêt à traiter un exercice financier complet du début à la fin avant d'être mis en service.

Phase 2 : Approvisionnement et gestion des contrats (année 2, T1-T2)

La mise en œuvre des achats suit les finances, car les transactions d'approvisionnement sont enregistrées dans le grand livre. Cette phase comprend :

• Migration de la base de données des fournisseurs et intégration de SAM.gov
• Configuration et workflow des seuils d'enchères
• Workflow des bons de commande et des réquisitions
• Mise en place de la gestion des contrats
• Configuration du suivi MWBE

Phase 3 : RH et Paie (Année 2, T3-T4)

Les ressources humaines et la paie du gouvernement font partie des modules les plus complexes à mettre en œuvre en raison des systèmes de classification des postes, des contrats syndicaux et de l'intégration des retraites. Cette phase nécessite :

• Configuration du calendrier de classification des postes
• Règles de grille salariale et d'avancement d'échelon
• Mise en œuvre des termes du contrat syndical par unité de négociation
• Configuration de l'administration des avantages sociaux
• Configuration du calcul des cotisations de retraite

Phase 4 : Gestion des subventions (année 3)

La gestion des subventions peut être mise en œuvre après la création de la fondation GL. Cette phase comprend :

• Configuration des récompenses fédérales et du suivi
• Configuration des règles de coûts admissibles par programme
• Mise en place de la méthodologie de répartition des coûts
• Workflow de gestion des sous-destinataires
• Configuration du modèle de reporting fédéral (SF-425, SF-270, etc.)

---

Gestion du changement dans les environnements de la fonction publique

La gestion du changement dans les agences gouvernementales se heurte à plusieurs contraintes non présentes dans les environnements commerciaux :

Exigences en matière de consultation syndicale

Dans les agences dont le personnel est syndiqué, des changements importants dans les processus de travail, y compris la mise en œuvre d'un ERP, peuvent déclencher des obligations de négociation en vertu de la convention collective. Les contrats syndicaux exigent souvent que l'agence informe le syndicat et négocie de l'impact des changements technologiques sur les employés de l'unité de négociation avant leur mise en œuvre.

Un engagement précoce avec les représentants syndicaux - expliquant le calendrier de mise en œuvre, les changements de flux de travail prévus et l'engagement de l'agence à soutenir la transition de la main-d'œuvre - construit la relation de coopération nécessaire à une gestion réussie du changement. Les relations syndicales conflictuelles lors de la mise en œuvre de l’ERP sont associées à des taux d’adoption plus faibles et à davantage de griefs.

Impact sur la classification des postes

La mise en œuvre d'un ERP peut modifier la nature de postes spécifiques, en réduisant la complexité de certains rôles (en raison de l'automatisation) et en augmentant la complexité d'autres (en raison de nouvelles responsabilités de gestion du système). Les systèmes de classification des postes peuvent nécessiter une reclassification formelle des postes concernés, ce qui nécessite lui-même une documentation, un examen par le superviseur et éventuellement une consultation syndicale.

Formation dans les environnements d'apprentissage gouvernementaux

Les programmes de formation gouvernementaux doivent souvent se conformer à des exigences spécifiques : les agences civiles peuvent utiliser des systèmes de gestion de l'apprentissage obligatoires (par exemple, USA Learning pour les agences fédérales), la formation doit être accessible aux employés handicapés en vertu de l'article 508 et la documentation de formation doit être conservée pendant la période de conservation requise.

---

Inspecteur général et mission de surveillance

Les grands projets informatiques du gouvernement, en particulier ceux dotés d'un budget supérieur à 10 millions de dollars, attirent régulièrement l'attention des bureaux de l'inspecteur général, des organismes de contrôle législatif (GAO, auditeurs législatifs des États) et des comités de contrôle législatif. Un engagement proactif auprès des organismes de surveillance réduit le risque de conclusions défavorables.

Charte du projet et documentation sur la gouvernance

Tenir à jour une documentation complète sur la gouvernance du projet : la charte du projet, la charte du comité de pilotage, les procès-verbaux des réunions documentant les décisions clés et le registre formel des risques. Les organismes de contrôle évaluent la qualité de la gouvernance du projet en tant qu’indicateur majeur du succès de la mise en œuvre.

Rapport de situation trimestriel

Établir une cadence régulière de rapports de situation aux organes de contrôle – des rapports écrits trimestriels complétés par des séances d'information aux étapes principales. Les rapports d'état doivent inclure : les performances des coûts (réels par rapport aux planifiés), les performances du calendrier (réelles par rapport aux planifiées), les principaux risques et mesures d'atténuation, ainsi que les étapes à venir. Des rapports de situation précis et opportuns renforcent la crédibilité auprès des organismes de surveillance et réduisent le risque de découvertes surprises.

Vérification et validation indépendantes

De nombreuses agences gouvernementales font appel à un tiers indépendant – un entrepreneur IV&V – pour examiner en permanence le projet de mise en œuvre et fournir des évaluations objectives du calendrier, des coûts et des risques techniques. L’engagement IV&V démontre un engagement en faveur de la responsabilité et fournit une alerte précoce en cas de problèmes de mise en œuvre avant qu’ils ne se transforment en crises.

---

Post-mise en œuvre : conformité continue

Après la mise en service, les agences gouvernementales doivent maintenir une conformité continue avec les exigences de la FISMA, de confidentialité et de gestion des subventions.

Évaluations de sécurité annuelles

La FISMA exige des examens de sécurité annuels des systèmes autorisés. Ces examens vérifient que les contrôles de sécurité continuent de fonctionner efficacement, que de nouvelles vulnérabilités ont été identifiées et corrigées, et que la documentation sur les limites du système reste exacte.

Surveillance continue

Les directives du NIST sur la surveillance continue exigent que les agences surveillent les contrôles de sécurité en continu plutôt que seulement au moment de la réévaluation de trois ans. L'ERP doit générer des rapports automatisés de surveillance de la sécurité (rapports d'accès au système, journaux de modifications de configuration et alertes de détection d'anomalies) qui alimentent le programme de surveillance continue de l'agence.

---

Questions fréquemment posées

Combien de temps prend le processus d'autorisation FedRAMP ?

L'autorisation FedRAMP pour un nouveau service cloud prend généralement 12 à 24 mois entre l'engagement initial avec le programme et l'autorisation. Les agences peuvent réduire ce délai en sélectionnant des fournisseurs d'ERP cloud qui disposent déjà d'une autorisation FedRAMP Moderate, ce qui signifie que l'évaluation de la sécurité est déjà terminée. Le FedRAMP Marketplace répertorie tous les services cloud autorisés à leur niveau d'autorisation actuel.

Quel est le calendrier du processus d'autorisation d'exploitation (ATO) pour un ERP gouvernemental ?

Le processus ATO prend généralement 6 à 12 mois entre le début de la documentation de sécurité et la délivrance de l'autorisation. Cela comprend 3 à 6 mois pour la préparation du plan de sécurité du système, 2 à 4 mois pour l'évaluation de la sécurité et 1 à 2 mois pour l'examen et la décision de l'agent autorisé. Les agences qui utilisent un ERP cloud avec une autorisation FedRAMP existante peuvent tirer parti de la documentation des contrôles hérités pour accélérer considérablement leur propre processus ATO.

Comment gérer la transition entre les exercices fiscaux pendant la mise en œuvre ?

L'approche la plus courante consiste à mettre en œuvre le nouvel ERP dès le début d'un nouvel exercice financier, en migrant les soldes de clôture de l'année précédente vers les soldes d'ouverture du nouveau système. Cela crée une rupture nette avec une frontière comptable naturelle. L'alternative – mise en œuvre en milieu d'année – nécessite de diviser les données financières de l'année entre deux systèmes et de rapprocher les résultats combinés pour le reporting annuel, ce qui est nettement plus complexe.

Quels sont les facteurs de risque élevé du GAO pour les projets informatiques gouvernementaux ?

Le GAO a identifié plusieurs facteurs à haut risque pour les projets informatiques gouvernementaux sur la base de l'analyse des mises en œuvre ayant échoué : des exigences commerciales peu claires, une gouvernance de projet faible, un personnel de gestion de programme inadéquat, une dépendance excessive à l'égard de sous-traitants avec une surveillance gouvernementale insuffisante, des calendriers comprimés motivés par des contraintes politiques plutôt que techniques et une durée de test insuffisante. Un plan de mise en œuvre qui aborde explicitement chacun de ces facteurs de risque démontre aux organismes de surveillance que la mise en œuvre est prête.

Comment gérer la transition de l'ancien système pour les agences confrontées à un litige en cours ?

Les agences gouvernementales sont souvent confrontées à des litiges ou à des procédures administratives en cours qui nécessitent l'accès aux enregistrements du système existant. Avant de mettre hors service un système existant, l'agence doit s'assurer que tous les enregistrements soumis à des conservations légales sont conservés dans un format juridiquement défendable. Cela peut nécessiter de conserver un accès en lecture seule au système existant pendant toute la durée du litige actif, ou de migrer les enregistrements pertinents au litige vers une archive gérée séparément avec une documentation sur la chaîne de traçabilité.

---

Prochaines étapes

Les agences gouvernementales prêtes à entamer la modernisation de l'ERP devraient commencer par une évaluation complète des capacités actuelles du système, des exigences de catégorisation FISMA et des contraintes de calendrier d'approvisionnement. La pratique d'ECOSIRE dans le secteur public apporte son expérience en matière d'exigences en matière de marchés publics, de conformité FISMA et de mise en œuvre de la comptabilité par fonds aux déploiements ERP du secteur public.

Explorez les services de mise en œuvre Odoo ERP d'ECOSIRE pour découvrir comment notre méthodologie structurée et notre expertise du secteur public peuvent guider le parcours de modernisation de votre agence.