Vérification du Programme de planification de la continuité des opérations
Table des matières
Octobre 2016
Résumé
Contexte
Un Programme de planification de la continuité des opérations est un processus de gestion intégrée portant sur l’élaboration et la mise en œuvre d’activités visant à assurer la continuité et le rétablissement des opérations et services essentiels pendant des incidents liés à la sécurité, des pannes de courant et des situations d’urgence. La mise en œuvre d’un programme de ce type aide le ministre à s’acquitter de ses obligations relatives à la sécurité générale, conformément aux lois qui s’appliquent et à la Politique sur la sécurité du gouvernement du Conseil du Trésor.
Conformément aux Normes de sécurité opérationnelle du Conseil du Trésor (CT) de 2004, un Programme de planification de la continuité des opérations doit comprendre les volets suivants :
- l’établissement d’une structure de gouvernance pour le Programme de planification de la continuité des opérations;
- a tenue d’une analyse des répercussions sur les opérations (ARO);
- l’élaboration de plans de continuité des opérations (PCO) et des préparatifs connexes;
- la mise à jour de l’état de préparation du Programme de planification de la continuité des opérations.
L’équipe de vérification a tenu compte des divers changements touchant la continuité des opérations qui se sont produits pendant la mission de certification, c'est-à-dire le renouvellement des politiques du CT et du Programme de planification de la continuité des opérations de Sécurité publique Canada (SP). Plus précisément, des consultations sur une nouvelle Politique sur la sécurité du gouvernement du CT étaient en cours, et les ministères avaient reçu une version provisoire de la politique proposée. La version définitive de la politique n’est pas encore disponible, mais SP a commencé à mettre à jour ses politiques et procédures internes en matière de sécurité pour qu’elles tiennent compte des changements proposés.
L’ARO réalisée en 2011 par SP a permis de cerner un service essentiel pour le Ministère, à savoir la gestion de l’intervention fédérale intégrée en situation d’urgence, assurée par le Centre des opérations du gouvernement (COG). Pour ce service essentiel, SP a élaboré en 2013 le PCO du COG, qui constitue actuellement le plan de continuité des opérations de l’organisation. Dans le cadre de l’initiative de renouvellement du Programme de planification de la continuité des opérations, SP s’affaire actuellement à élaborer un nouveau PCO en se fondant sur l’ARO réalisée en 2015. Le nouveau PCO de 2016 doit être présenté à la direction aux fins d’approbation au cours de l’automne 2016.
La vérification du Programme de planification de la continuité des opérations était comprise dans le Plan de vérification axé sur les risques du Ministère, lequel avait été approuvé par le sous‑ministre pour la période allant de 2014-2015 à 2016-2017.
Objectif et portée de la vérification
L’objectif de la vérification était d’évaluer que le Ministère a mis en place un Programme de planification de la continuité des opérations afin de maintenir la disponibilité continue de ses services essentiels et des actifs connexes.
La portée de la vérification incluait un examen des mécanismes de gouvernance du Programme de planification de la continuité des opérations du Ministère, des mécanismes de gestion des risques ainsi que du caractère adéquat des plans de continuité. La vérification a donc porté sur les PCO du COG et ceux du Centre canadien de réponse aux incidents cybernétiques de même que les documents à l’appui en date de mars 2016.
Les plans de gestion des situations d’urgence du Ministère ainsi que les protocoles et cadres d’intervention mis en place afin de diriger, d’éclairer, de faciliter et de coordonner une intervention fédérale intégrée en réaction à une menace ou à une situation d’urgence sont exclus de la portée de la vérification.
Résumé des constatations
La Loi sur la gestion des urgences confirme les responsabilités en matière de gestion des urgences de tous les ministres, qui doivent élaborer, mettre à jour et mettre à l’essai des plans de gestion des urgences conformément aux principes, programmes et autres mesures établis à l’échelle organisationnelle. Nous avons constaté, tout au long de la vérification, que le Ministère vivait une période de transition puisqu’il était en train de mettre en œuvre la Politique ministérielle de gestion de la continuité d’octobre 2015, ce qui suppose l’élaboration d’un PCO approprié. L’examen du Programme de planification de la continuité des opérations est un élément clé d’un plan de continuité des opérations efficace, et le Ministère n’a actuellement pas affecté beaucoup de ressources à cette tâche. Même s’il a réalisé des progrès, comme le montrent l’élaboration du Cadre des services essentiels de 2016 et la refonte de la Liste des services essentiels, le Ministère court toujours le risque de ne pas être en mesure de rétablir en temps opportun les 30 services essentiels qu’il assure tant que le PCO de 2016 n’aura pas été terminé et qu’il n’aura pas fait l'objet d’un essai de fonctionnement.
Programme de planification de la continuité des opérations
SP utilise un PCO qui a été approuvé en 2013 et selon lequel le seul service essentiel assuré par le Ministère est le Centre des opérations du gouvernement. Le PCO n'a pas été mis à jour en fonction des changements apportés aux services essentiels depuis 2013 et, en conséquence, ne suffirait peut-être pas à assurer un rétablissement en temps opportun ou la continuité des 30 services essentiels figurant actuellement sur la Liste des services essentiels. En outre, bien qu'il y ait eu des exercices de communication effectués en 2011 et en 2015, le PCO de 2013 n'a jamais fait l'objet d'essais opérationnels visant à assurer de hauts niveaux de compétence et de préparation.
Le Ministère a entrepris l’examen de son processus de planification de la continuité des affaires, sous la direction de l’agent de sécurité du Ministère (ASM). En octobre 2015, la feuille de route établie par l’ASM a reçu l’approbation du Comité de gestion ministériel, qui doit également approuver le nouveau PCO au cours de l’automne 2016.
En se fondant sur l’information disponible au moment de la vérification, le Dirigeant principal de l’information a indiqué que le niveau actuel des ressources de TI ainsi que l’absence d’ententes officielles avec les fournisseurs des services essentiels de TI nuiraient à la bonne mise en œuvre du PCO de 2013, s’il devait être activé.
Rôles, responsabilités et processus liés au Programme de planification de la continuité des opérations
Même si le Ministère a mis en œuvre en 2015 sa Politique ministérielle de gestion de la continuité pour soutenir le Programme de planification de la continuité des opérations, cette politique ne dit rien au sujet des responsabilités de l’ASM advenant qu'un incident est signalé et ne renvoie pas aux autres documents d’orientation organisationnels, par exemple le Protocole d’activation et d’intervention. En outre, la politique ne cerne pas de procédures opérationnelles décrivant clairement les processus du Programme de planification de la continuité des opérations ni les paramètres de rendement s’appliquant aux mécanismes de contrôle, qui permettent d’exprimer son taux de réussite.
Opinion du vérificateur
Des améliorations doivent être apportées au Programme de planification de la continuité des opérations si on veut s’assurer que le Ministère peut s’appuyer sur un processus exhaustif de continuité des opérations et sur un PCO robuste lui permettant de rétablir efficacement tous les services essentiels.
Énoncé d’assurance et de conformité
Des procédures de vérification suffisantes et appropriées ont été exécutées et des éléments probants ont été recueillis pour étayer l’exactitude de l’opinion formulée dans le présent rapport. L’opinion repose sur une comparaison des conditions, telles qu’elles se présentaient au moment de la vérification, avec des critères de vérification préalablement établis et approuvés par la direction. L’opinion s’applique seulement à l’entité qui a fait l’objet de l’examen et dans les limites de la portée décrite dans les présentes. Les éléments probants ont été recueillis conformément à la Politique sur la vérification interne et à la Directive sur la vérification interne du Conseil du Trésor. La présente vérification respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des Auditeurs Internes (IAI). Les éléments probants recueillis sont suffisants pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.
Recommandations
1. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
- le Plan de gestion de la continuité des opérations (PGCO) du Ministère, présenté aux fins d’approbation en 2016, porte sur les 30 services essentiels du Ministère figurant dans l’inventeur des services essentiels et s'appuie sur une stratégie appropriée touchant le rétablissement ou la continuité des opérations;
- le PGCO fait régulièrement l’objet d’essais de manière à atteindre et à conserver un niveau élevé de compétence et de préparation.
2. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
- des ententes formelles sont mises en place afin de soutenir l’accessibilité des services de TI qui sont nécessaires lorsque le PGCO est activé;
- les plans de reprise après sinistre tiennent compte des stratégies de rétablissement de tous les services de TI jugés nécessaires pour soutenir le processus de continuité ou de rétablissement des services essentiels cernés dans le PGCO.
3. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
- les rôles, responsabilités, procédures et politiques associés au Programme de planification de la continuité des opérations sont harmonisés et offrent une orientation claire sur la façon de réussir la mise en œuvre du programme.
Réponse de la direction
La gestion accepte les recommandations découlant de la vérification interne.
Les principales mesures devant être prises par la direction pour donner suite aux recommandations et aux constatations découlant de la vérification, de même que leur calendrier, se trouvent dans la section du rapport intitulée « Réponse et plan d’action de la direction ».
Signature du dirigeant principal de la vérification interne et de l’évaluation
____________________________
Membres de l’équipe de vérification
Denis Gorman, dirigeant principal de la vérification interne et de l’évaluation
Gabrielle Duschner, directrice de la vérification interne et de l’évaluation
Sonja Mitrovic, chef de projet de vérification interne
Sophie Carrier, vérificatrice principale
Spearhead Management Canada Ltd, consultants
Remerciements
La Vérification interne tient à remercier toutes les personnes qui lui ont fourni aide et conseil pendant la vérification.
1 Introduction
1.1 Contexte
Un Programme de planification de la continuité des opérations est un processus de gestion intégrée portant sur l’élaboration et la mise en œuvre d’activités visant à assurer la continuité et le rétablissement des opérations et services essentiels pendant des incidents liés à la sécurité, des pannes de courant et des situations d’urgence. La mise en œuvre d’un programme de ce type aide le ministre à s’acquitter de ses obligations relatives à la sécurité générale, conformément aux lois qui s’appliquent et à la Politique sur la sécurité du gouvernement du Conseil du Trésor (CT).
Conformément aux Normes de sécurité opérationnelle du (CT) de 2004, un Programme de planification de la continuité des opérations doit comprendre les volets suivants :
- l’établissement d’une structure de gouvernance pour le Programme de planification de la continuité des opérations;
- la tenue d’une analyse des répercussions sur les opérations (ARO);
- l’élaboration de plans de continuité des opérations (PCO) et des préparatifs connexes;
- la mise à jour de l’état de préparation du Programme de planification de la continuité des opérations.
L’équipe de vérification a tenu compte des divers changements touchant la continuité des opérations qui se sont produits pendant la mission de certification, c'est-à-dire le renouvellement des politiques du CT et du Programme de planification de la continuité des opérations de Sécurité publique Canada (SP). Plus précisément, des consultations sur une nouvelle Politique sur la sécurité du gouvernement du CT étaient en cours, et les ministères avaient reçu une version provisoire de la politique proposée. La version finale de la politique n’est pas encore disponible, mais SP a commencé à mettre à jour ses politiques et procédures internes en matière de sécurité pour qu’elles reflètent les changements proposés.
L’ARO réalisée en 2011 par SP a cerné un service essentiel pour le Ministère, à savoir la gestion de l’intervention fédérale intégrée en situation d’urgence, assurée par le Centre des opérations du gouvernement (COG). Pour ce service essentiel, SP a élaboré en 2013 le PCO du COG, qui constitue actuellement le plan de continuité des opérations de l’organisation. Dans le cadre de l’initiative de renouvellement du Programme de planification de la continuité des opérations, SP est en train d’élaborer un nouveau PCO en se fondant sur l’ARO réalisée en 2015. Le nouveau PCO de 2016 doit être présenté à la direction aux fins d’approbation au cours de l’automne 2016.
La vérification du Programme de planification de la continuité des opérations était comprise dans le Plan de vérification axé sur les risques du Ministère, lequel avait été approuvé par le sous‑ministre pour la période allant de 2014-2015 à 2016-2017.
1.2 Objectif de la vérification
L’objectif de la vérification était d’évaluer que le Ministère a mis en place un Programme de planification de la continuité des opérations afin de maintenir la disponibilité continue de ses services essentiels et des actifs connexes.
1.3 Portée de la vérification
La portée de la vérification incluait un examen des mécanismes de gouvernance du Programme de planification de la continuité des opérations du Ministère, des mécanismes de gestion des risques ainsi que du caractère adéquat des plans de continuité. La vérification a donc porté sur les PCO du COG et ceux du Centre canadien de réponse aux incidents cybernétiques de même que les documents à l’appui en date de mars 2016.
Les plans de gestion des situations d’urgence du Ministère ainsi que les protocoles et cadres d’intervention mis en place afin de diriger, d’éclairer, de faciliter et de coordonner une intervention fédérale intégrée en réaction à une menace ou à une situation d’urgence sont exclus de la portée de la vérification.
1.4 Évaluation des risques
L’évaluation effectuée pendant la phase de planification a permis de cerner des risques dans les domaines suivants :
- gouvernance;
- évaluation des services essentiels;
- élaboration d’un plan de continuité des opérations.
Les détails sur les risques inhérents sont fournis à l’annexe A. La portée et les critères de la vérification ont été établis conformément à ces risques (annexe B).
1.5 Opinion du vérificateur
Des améliorations doivent être apportées au Programme de planification de la continuité des opérations si l’on veut s’assurer que le Ministère peut s’appuyer sur un processus exhaustif de continuité des opérations et sur un PCO robuste lui permettant de rétablir efficacement tous les services essentiels.
1.6 Énoncé d’assurance et de conformité
Des procédures de vérification suffisantes et appropriées ont été exécutées et des éléments probants ont été recueillis pour étayer l’exactitude de l’opinion formulée dans le présent rapport. L’opinion repose sur une comparaison des conditions, telles qu’elles se présentaient au moment de la vérification, avec des critères de vérification préalablement établis et approuvés par la direction. L’opinion s’applique seulement à l’entité qui a fait l’objet de l’examen et dans les limites de la portée décrite dans les présentes. Les éléments probants ont été recueillis conformément à la Politique sur la vérification interne et à la Directive sur la vérification interne du Conseil du Trésor. La présente vérification respecte les Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le confirment les résultats du programme d’assurance et d’amélioration de la qualité. Les procédures utilisées respectent les normes professionnelles de l’Institut des Auditeurs Internes (IAI). Les éléments probants recueillis sont suffisants pour convaincre la haute direction du bien-fondé de l’opinion découlant de la vérification interne.
2 Constatations, recommandations et réponses de la direction
2.1 Programme de planification de la continuité des opérations
Selon la norme de sécurité opérationnelle et la politique du CT, un Programme de planification de la continuité des opérations complet englobe la gouvernance, une analyse des répercussions sur les opérations, un plan de continuité des opérations et l’état de préparation du programme. Plus précisément, nous nous attendons à y trouver les éléments suivants :
- une analyse des répercussions sur les opérations (ARO) qui permet de cerner les services essentiels et les actifs connexes selon leur ordre de priorité;
- un plan de continuité des opérations (PCO), assorti de plans de rétablissement des services de GI/TI, décrivant les services essentiels; les stratégies de rétablissement approuvées; les équipes responsables de l’intervention et du rétablissement ainsi que leurs rôles, responsabilités et tâches; les ressources, les procédures et les mécanismes de coordination visant le rétablissement; les stratégies de communication;
- l’état de préparation du programme, définissant un cycle de tenue à jour permanent intégrant un examen et une révision continus, une formation supplémentaire et des essais réguliers.
Le plan de continuité des opérations de 2013 n’a jamais fait l’objet d’un essai opérationnel et n'a jamais été mis à jour en fonction de l'évaluation des services essentiels du Ministère faite en 2015.
Analyse des répercussions sur les opérations et plan de continuité des opérations
En 2013, le Ministère a élaboré et approuvé un PCO fondé sur l’ARO de 2011. Cette ARO n’avait cerné qu’un seul service essentiel, à savoir gestion de l’intervention fédérale en situation d’urgence, qui est assurée par le COG. Il n'y a pas de PCO pour le Centre canadien de réponse aux incidents cybernétiques.
En 2015, Sécurité publique a mené un examen de l’ARO de 2011, ce qui lui a permis de cerner 174 services essentiels. La nouvelle ARO de 2015 a été soumise à des examens supplémentaires (en février, mai et décembre 2015) qui avaient pour but de réduire la liste, laquelle est donc passée de 174 à 37 services essentiels. Malgré cette réduction importante du nombre des services essentiels, le dirigeant principal de l’information (DPI) a indiqué que le Ministère n’avait pas affecté suffisamment de ressources consacrées uniquement à la TI pour soutenir la continuité ou le rétablissement en temps opportun des 37 services essentiels. De plus, la plus grande partie des services de soutien à la GI/TI sont rendus disponibles par des fournisseurs de services, par exemple Services partagés Canada (SPC), Industrie Canada et la GRC. À l’exception de l’accord sur le rétablissement signé avec SPC afin de soutenir le portail d’interconnectivité du Centre des opérations du gouvernement du Canada, Sécurité publique n'a conclu aucun autre accord officiel avec ces fournisseurs de services qui permettrait d’assurer l’accessibilité des services de TI nécessaires pour soutenir les services essentiels désignés dans le PCO de 2013.
En 2015, le Ministère a déterminé que les applications de TI suivantes étaient essentielles au processus de continuité ou de rétablissement des opérations : RCTS, CCM Mercury, Dragon, SGDDI, InfoMédia et le site Web de SP consacré à l’échange public d’information. Même si aucun plan de rétablissement après catastrophe pour la TI n’a été élaboré pour ces applications organisationnelles, nous avons constaté que des procédures de rétablissement après catastrophe avaient été établies pour le système InfoMédia et le SGDDI. En conséquence, SP risque de ne pas être capable d’accéder aux services de TI nécessaires pour soutenir le PCO, si une des applications non soutenues tombait en panne pendant une situation d’urgence. Il est important de noter que SP doit obtenir les services de TI pour appuyer les services essentiels exclusivement de SPC et n’est pas autorisé à répondre à l’interne ces services.
Pour confirmer quels services organisationnels étaient essentiels, l’agent de sécurité du Ministère (ASM), au sein du Groupe de travail sur la planification de la continuité des opérations, a analysé l’ARO de 2015 par rapport au nouveau Cadre des services essentiels élaboré en 2016 afin de dresser la Liste des services essentiels de 2016, qui énumère 30 services organisationnels essentiels. Le PCO de 2013 n’a pas été mis à jour et ne tient pas compte de l’évolution des services essentiels. Toutefois, pendant la vérification, l’ASM était en train d’élaborer le PCO de 2016, qui doit englober l’ensemble des services essentiels figurant sur la Liste des services essentiels de 2016. Le nouveau PCO doit être présenté à la haute direction au cours de l’automne 2016.
État de préparation du programme
La Norme sur la sécurité opérationnelle du CT exige l’élaboration et la mise en œuvre d’un cycle permanent de tenue à jour comprenant les éléments suivants :
- examen et révision continus de tous les plans pour tenir compte de tout changement survenu (lois, services essentiels, organisation, mandat, gestion, menaces, environnement, intervenants, dépendances, etc.);
- formation supplémentaire, s'il y a lieu;
- mise à l'essai et validation régulières de tous les plans, incluant la préparation d'un rapport sur les leçons retenues après ces mises à l'essai ou à la suite d'incidents réels (la validation consistera en un questionnaire sur une simulation ou en exercices ministériels ou interministériels ou interorganisationnels en milieu réel, selon la fréquence établie par les ministères).
Au terme de notre évaluation, nous avons constaté que le PCO de 2013 n’avait jamais fait l’objet d’une mise à l’essai opérationnelle visant à assurer la continuité des services pendant un incident. Deux exercices ont été menés (« The Triangle Effect » (l’effet triangle) en 2011 et « Keep abreast of situations (KAOS) » (Tout prévoir dans toutes les situations), en 2015), mais ils portaient sur les voies de communication après l’activation du PCO. De plus, le Ministère n'a pas encore mis en œuvre toutes les recommandations qui ont découlé de ces exercices. Par exemple, le rapport de KAOS faisait état de divers enjeux touchant les technologies de l’information, y compris l’inaccessibilité des réseaux, les fonctionnalités réduites des dispositifs MobiKey, la lenteur de la connexion et la nécessité d’appareils mobiles, et ces enjeux auront tous une incidence sur la réussite de la mise en œuvre du PCO, au moment de son activation. Quoi qu'il en soit, nous reconnaissons que l’ASM travaille à l’amélioration et à la mise à jour de la structure du Programme de planification de la continuité des opérations, qui intégrera la Politique ministérielle de gestion de la continuité (PMGC)de 2015 et le protocole d’activation et d’intervention, de même que la Stratégie ministérielle sur les exercices pour 2017‑2020 et le Plan ministériel d’exercices provisoire pour 2016‑2017.
D’ici à ce que le point final soit mis au PCO de 2016, le Ministère risque de ne pas pouvoir rétablir ses services essentiels en temps opportun, puisque le PCO de 2013 n’a jamais fait l'objet d’une mise à l’essai opérationnelle ni été mis à jour pour refléter les services essentiels déterminés par l’ARO de 2015. En conséquence, le Ministère pourrait avoir de la difficulté à réaliser ses objectifs en cas d’urgence.
Recommandations
1. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
- le Plan de gestion de la continuité des opérations (PGCO) du Ministère, présenté aux fins d’approbation en 2016, porte sur les 30 services essentiels du Ministère figurant dans la Liste des services essentiels et s'appuie sur une stratégie appropriée touchant le rétablissement ou la continuité des opérations;
- le PGCO fait régulièrement l’objet d’essais de manière à atteindre et à conserver un niveau élevé de compétence et de préparation.
2. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
- des ententes formelles sont mises en place afin de soutenir l’accessibilité des services de TI qui sont nécessaires lorsque le PGCO est activé;
- les plans de reprise après sinistre tiennent compte des stratégies de rétablissement de tous les services de TI jugés nécessaires pour soutenir le processus de continuité ou de rétablissement des services essentiels cernés dans le PGCO.
2.2 Rôles, responsabilités et processus liés au Programme de planification de la continuité des opérations
La gouvernance, en tant que composante clé, est essentielle à l’élaboration d’une politique et d’un programme de planification de la continuité des opérations du Ministère harmonisés avec les exigences énoncées dans la Politique sur la sécurité du gouvernement du CT. Cela suppose donc de désigner un ASM et de définir clairement les rôles et responsabilités touchant la continuité des opérations.
Les rôles, responsabilités et processus liés au Programme de planification de la continuité des opérations ne sont pas clairement harmonisés.
En janvier 2011, SP a mis en œuvre la Politique en matière de sécurité de Sécurité publique Canada , pour remplacer la version de 2006 de cette politique. La nouvelle version de la politique porte toujours sur la gestion de la sécurité au sein du Ministère, incluant la continuité des opérations en cas d’incidents de sécurité, de perturbations ou d’urgences. La section 2.2 de la politique délègue au SMA du Secteur de la gestion ministérielle le pouvoir d’élaborer ou de modifier les directives soutenant la politique dans les domaines suivants : 1. Gestion de l’identité; 2. Sécurité de la TI; 3. Planification de la continuité des opérations.
Le Secteur de la gestion ministérielle a revu le document Politique et guide du Programme de planification de la continuité des opérations de 2008 et l’a remplacé par la PMGC, qui est harmonisée avec la Politique sur la sécurité du gouvernement que le CT va bientôt publier. Le Comité de gestion du Ministère a approuvé le 13 octobre 2015 la nouvelle PMGC. Ce document a été conçu dans le but de préciser les rôles et responsabilités des intervenants participant au processus et aux procédures qui soutiennent le maintien en continu des services essentiels et le rétablissement efficace, dans un délai raisonnable, des services essentiels pendant une situation d’urgence et après une telle situation.
Pendant l’examen de la gouvernance du Programme de planification de la continuité des opérations de SP, qui portait également sur la PMGC de 2015, sur le protocole d’activation et d’intervention et sur les descriptions de travail, nous avons établi que les rôles et responsabilités touchant la continuité des opérations étaient définis et documentés. Plus précisément :
- la PMGC dresse la liste des rôles et responsabilités touchant la continuité des opérations dévolus aux différents intervenants qui participent au processus de soutien de la maintenance en continu des services essentiels;
- la description de travail du gestionnaire des Services de gestion d’urgence ministériels prévoit la désignation d’un coordonnateur de la planification de la continuité des opérations et expose les responsabilités touchant l’élaboration du PCO;
- le protocole d’activation et d’intervention de SP explique clairement les responsabilités de l’ASM relatives à la gestion des incidents.
Toutefois, il est difficile d’accéder à la liste complète des rôles et responsabilités touchant la continuité des opérations, car les documents clés ne se trouvent pas dans un dépôt central et ne renvoient pas l’un à l’autre.
De plus, étant donné le renouvellement du Programme de planification de la continuité des opérations de SP, l’ASM est en train de revoir et de mettre à jour le processus et les procédures touchant la continuité des opérations. Le renouvellement du programme a commencé en 2015 par l’examen et la mise à jour de la PMGC, l’officialisation du protocole d’activation et d’intervention et l’intégration finale de l’ARO dans le Cadre des services essentiels. Pour contribuer à l’élaboration du PCO organisationnel de 2016, l’ASM a également mis au point une stratégie triennale d’exercice et de sensibilisation sur la gestion de la continuité et a passé en revue les outils et modèles de planification de la gestion de la continuité.
Tant que les nouvelles lignes directrices sur le processus de gestion de la continuité et le PCO n’auront pas été achevées, l’absence de procédures touchant la continuité des opérations et d’une liste centralisée complète des rôles et responsabilités pourrait empêcher le Ministère de réagir efficacement à une situation d’urgence et d'assurer en temps opportun la reprise ou la continuité des services.
Recommandation
3. Le sous-ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que :
les rôles, responsabilités, procédures et politiques associés au Programme de planification de la continuité des opérations sont harmonisés et offrent une orientation claire sur la façon de réussir la mise en œuvre du programme.
2.3 Conclusion générale
La vérification du Programme de planification de la continuité des opérations de SP a établi que le Ministère vit une période de transition puisqu’il doit renouveler le Programme de planification de la continuité des opérations et élaborer un PCO approprié. Il a réalisé des progrès, comme le montrent l’élaboration du Cadre des services essentiels de 2016 et la refonte de la Liste des services essentiels. Toutefois, le Ministère court le risque de ne pas être en mesure de rétablir en temps opportun et de façon efficace les 30 services essentiels figurant sur la Liste des services essentiels tant que le PCO de 2016 n’aura pas été terminé et qu’il n’aura pas fait l’objet d’un essai opérationnel.
2.4 Réponse et plan d'action de la direction
*la confirmation de la capacité, des mesures d’atténuation et l’établissement d’arrangements en matière de reprise dépend des partenaires (SPC, les organismes centraux et d’autres fournisseurs).
Mesures prévues |
Date d’achèvement prévue |
|---|---|
| Recommandation 3
Le sous‑ministre adjoint du Secteur de la gestion ministérielle devrait s’assurer que:
|
|
Mettre à jour la Politique de gestion de la continuité de SP pour y inclure des renvois vers d’autres instruments de politique pertinents de SP. |
Completée |
Élaborer des instruments de politique connexe pour soutenir toutes les étapes du processus de planification établies dans la Politique. L’ensemble de politiques de sécurité de SP comprend: |
31 mars 2020 |
Annexe A : risques préliminaires relevés
Voici un résumé des risques identifiés lors de la phase de planification.
| Secteur clé | Énoncé du risque |
|---|---|
Gouvernance |
Le Programme de planification de la continuité des opérations ne respecte peut‑être pas l'ensemble des politiques, règlements et normes du gouvernement. |
Évaluation des services essentiels |
Les services essentiels de Sécurité publique Canada ne sont peut‑être pas définis. |
Les dépendances des services essentiels de Sécurité publique Canada ne sont peut‑être pas déterminées pour tous les services. |
|
L’analyse des répercussions sur les opérations est peut‑être incomplète. |
|
Élaboration du plan de continuité des opérations |
Le plan de continuité des opérations élaboré par Sécurité publique Canada est peut‑être incomplet, n'a pas été mis à l’essai et n’est pas mis à jour de la manière appropriée. |
Sécurité publique Canada pourrait ne pas rétablir ses services en temps opportun après un incident majeur. |
Annexe B : critères de vérification
Critères de vérification |
|
Critère 1 |
Il existe un cadre de gouvernance intégré au Plan fédéral d’intervention d’urgence qui inclut des descriptions approuvées des rôles, responsabilités, politiques, comités de surveillance et ressources. |
Critère 2 |
Il existe une analyse des répercussions sur les opérations qui indique clairement quels services opérationnels essentiels sont nécessaires pour assurer le maintien des opérations pendant un incident et déterminer les exigences touchant le rétablissement des services essentiels et l’ordre de priorité de ces services. |
Critère 3 |
Des stratégies de continuité et de rétablissement des opérations ont été cernées, évaluées, sélectionnées et approuvées, et les plans de continuité des opérations respectent les politiques ainsi que les normes et lignes directrices du gouvernement. |
Critère 4 |
Les plans de continuité des opérations font l’objet d’essais et d’une validation, ce qui suppose la préparation de rapports sur les leçons retenues et la mise à jour des plans de continuité des opérations après les essais ou des événements réels; ces rapports font état des leçons retenues et des changements survenus au sein du Ministère et son environnement opérationnel. |
Annexe C : échelle d'opinion de la direction générale de la vérification interne et de l'évaluation
Voici l’échelle d’opinion des vérificateurs, Direction générale de la vérification interne et de l’évaluation, qui sert à évaluer l’importance de l’ensemble des constatations et des conclusions des vérificateurs.
Classement de l’opinion du vérificateur |
Définition |
|---|---|
Bien contrôlé |
|
Amélioration mineure |
|
Améliorations requises |
Des améliorations doivent être apportées (au moins un des critères suivants doit être respecté) :
|
Améliorations importantes requises |
Des améliorations importantes doivent être apportées (au moins un des critères suivants doit être respecté) :
|
Notes
- 1
Conseil du Trésor, Politique sur la sécurité du gouvernement, 2012.
- 2
Conseil du Trésor, Norme de sécurité opérationnelle — Programme de planification de la continuité des opérations (PCA), 2004.
- 3
Politique ministérielle de gestion de la continuité, octobre 2015
- 4
L’échelle d’évaluation dont s’est servi le vérificateur se trouve à l’annexe C.
- 5
Le Plan de continuité des opérations de 2016 est maintenant appelé le Plan de gestion de la continuité des opérations, conforme à la Politique ministérielle de gestion de la continuité des opérations de 2015.
- 6
Conseil du Trésor, Politique sur la sécurité du gouvernement, 2012.
- 7
Conseil du Trésor, Norme de sécurité opérationnelle — Programme de planification de la continuité des opérations (PCA), 2004.
- 8
L’échelle d’évaluation dont s’est servi le vérificateur se trouve à l’annexe C.
- 9
Loi sur Services partagés Canada (L.C. 2012, ch. 19, art. 711, Section 6 (c)
- 10
SP, Politique ministérielle de gestion de la continuité, octobre 2015.
- 11
Le Plan de continuité des opérations de 2016 est maintenant désigné en tant que le Plan de gestion de la continuité des opérations, conforme à la Politique ministérielle de gestion de la continuité des opérations de 2015.
- 12
Politique en matière de sécurité de Sécurité publique– janvier 2011
- 13
Politique et guide du Programme de planification de la continuité des opérations – juillet 2008
- 14
Le Plan de continuité des opérations de 2016 est maintenant désigné en tant que le Plan de gestion de la continuité des opérations, conforme à la Politique ministérielle de gestion de la continuité des opérations de 2015.
- Date de modification :