Archivée - Vérification de la planification de la continuité des activités
Renseignements archivés
Cette page a été archivée dans le Web. Les renseignements archivés sont fournis aux fins de référence, de recherche ou de tenue de documents. Ils ne sont pas assujettis aux normes Web du gouvernement du Canada et n'ont pas été modifiés ou mis à jour depuis leur archivage. Pour obtenir ces renseignements sous une autre forme, veuillez communiquer avec nous.
Date : Juin 2011
Projet n° 10-12
Format PDF (293 Ko, 39 pages)
Table des matières
- Sigles et abbres
- Définitions essentielles
- Résumé
- 1. Introduction
- 2. Objectifs et portee de la verification
- 3. Approche et methodologie
- 4. Conclusions
- 5. Observations et recommandations
- 6. Recommandations
- 7. Plan d'action de la direction
- Annexe A : Critères de vérification
Sigles et abbres
Définitions essentielles
Plan de continuité des activités : Reconnaissant que certains services ou produits doivent être fournis continuellement, sans interruption, Sécurité publique Canada a encouragé un passage de la planification de la reprise des activités à la planification de la continuité des activités. Un plan de continuité des activités permet de continuer à fournir sans interruption les services ou les produits essentiels aux clients. Au lieu de se concentrer sur la reprise des activités après la cessation d'opérations critiques, un plan de continuité des activités s'efforce de faire en sorte que les opérations cruciales continuent d'être disponibles.
Plan de gestion des urgences : La gestion des urgences (GU) concerne tous les dangers, y compris toutes les activités et toutes les mesures de gestion des risques liées à la prévention et à l'atténuation, la préparation, la réponse et la récupération. Sécurité publique Canada définit une urgence comme une « situation immédiate, y compris un incident informatique, requérant des actions rapides et coordonnées touchant des personnes ou des biens, pour protéger la santé, la sécurité ou le bien-être des personnes ou limiter les dommages aux biens ou à l'environnement ».
Plan de reprise des activités : Un PRA décrit comment reprendre les opérations après une interruption de services (source : Sécurité publique Canada, Guide de planification de la continuité des activités).
Plan antisinistre : Un plan antisinistre traite de la récupération de l'actif des technologies de l'information (TI) après une interruption causée par une catastrophe (source : Sécurité publique Canada, Guide de planification de la continuité des activités).
Résumé
Contexte
La planification de la continuité des activités est « un processus de planification proactif qui assure la prestation des services ou des produits essentiels lors d'une interruption [Note 1] ». Elle ne vise pas à couvrir tous les services ou toutes les activités d'une organisation, mais seulement ceux que l'on estime « essentiels » pour la continuité des opérations d'une organisation [Note 2]. La planification de la continuité des activités n'est pas la gestion des urgences, mais une activité connexe. Alors que la planification de la continuité des activités se concentre sur la prestation ininterrompue des services, la gestion des urgences s'emploie plus généralement à minimiser les dégâts provoqués par un incident et à prendre le contrôle de la situation aussi rapidement que possible.
Plusieurs événements survenus au cours des dernières années ont illustré l'importance de la gestion de la continuité des activités, notamment les événements du 11 septembre 2001 et le tremblement de terre de 2011 au Japon. Les entreprises qui avaient des plans de continuité des activités (PCA) efficaces étaient mieux équipées pour reprendre les services essentiels, malgré des pertes importantes en ressources humaines et en infrastructure.
La Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor et la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (NSO-PPCA) établissent les exigences du gouvernement fédéral en matière de planification de la continuité des activités. Cette politique confère à l'agent de sécurité du Ministère (ASM) la responsabilité de diriger l'ensemble du programme de sécurité, y compris le Programme de PCA.
À Affaires indiennes et du Nord Canada (AINC), l'ASM est responsable de tous les aspects du programme de sécurité du Ministère, y compris le Programme de PCA, mais la responsabilité de la mise en œuvre du programme incombe au directeur de la Division de la sécurité de la technologie de l'information (directeur, DSTI). Un coordonnateur ministériel de la PCA qui rend compte au directeur, DSTI, a été nommé pour gérer le Programme de PCA. Des rapports sont présentés à la haute direction par l'entremise du Comité des opérations une fois par semestre ou plus fréquemment, selon le besoin.
En 2008, le sous-ministre des Affaires indiennes et du Nord canada a approuvé la Politique sur la gestion de la continuité des activités d'AINC (Politique sur la GCA) et en mai 2009, il a enjoint à toutes les régions et tous les secteurs d'élaborer et de mettre à l'essai leurs plans de continuité des activités. Tous les PCA d'AINC avaient été élaborés et testés avant décembre 2009. C'est en mars 2010 que le Ministère a cerné ses services essentiels et ses services de soutien essentiels; une étape qui est habituellement terminée avant de procéder à l'élaboration des PCA, de manière à permettre au ministère de concentrer ses ressources limitées sur ses fonctions les plus essentielles.
Objectifs et portée
L'objectif de cette vérification est de fournir une assurance sur l'adéquation et la pertinence du cadre de contrôle de gestion et des contrôles internes établis afin de mettre à jour et de rendre opérationnel le Programme de PCA du Ministère.
La portée de la vérification incluait le cadre de gouvernance du Ministère pour la planification de la continuité des activités, les contrôles de gestion du Programme de PCA, y compris les contrôles de gestion visant à s'assurer que les PCA sont élaborés, testés et mis à jour conformément aux exigences. La portée de la vérification n'incluait pas d'évaluation en profondeur de la capacité des PCA à assurer la continuité des services essentiels en cas d'interruption; une telle détermination ne peut s'effectuer qu'au moyen d'une mise à l'épreuve exhaustive des plans.
Constatations et conclusions
Les cadres supérieurs d'AINC manifestent leur soutien fort au Programme de PCA en soulignant régulièrement son importance vis-à-vis des gestionnaires des régions et secteurs. Par conséquent, le degré de sensibilisation à l'importance du programme est élevé et les régions et secteurs sont engagés dans sa mise en œuvre. Pourtant, en dépit de cet engagement, plusieurs éléments essentiels du Programme de PCA ne fonctionnent pas comme ils le devraient ou ne sont pas en place. Nous avons conclu que ces lacunes de contrôle exposent le Ministère au risque que des services essentiels et des services de soutien essentiels ne puissent pas reprendre dans les délais de récupération voulus par suite d'une interruption.
Les rôles et les responsabilités tels qu'ils sont définis par la Politique sur la GCA d'AINC ne sont pas en conformité avec la manière dont le programme est effectivement géré. La NSO-PPCA et la Politique sur la GCA d'AINC rendent l'ASM responsable envers l'administrateur général qui gère le Programme de PCA. Mais dans la pratique, c'est le directeur, DSTI, qui gère le programme et l'ASM ne joue pas de rôle significatif.
Alors que la NSO-PPCA exige des ministères qu'ils élaborent des PCA seulement pour les services essentiels, AINC a choisi de faire élaborer et tester des PCA à tous ses programmes et services internes en réaction à la pandémie grippale H1N1 de 2009. À ce moment-là, le personnel du Programme de PCA à l'AC et les coordonnateurs de la PCA pour les régions et les secteurs (coordonnateurs de la PCA) ont été utiles pour soutenir l'élaboration rapide et les tests des PCA. Le coordonnateur ministériel de la PCA et le conseiller principal pour la sécurité de la TI ont investi des efforts considérables dans des visites de régions et de secteurs, afin d'augmenter le niveau de sensibilisation concernant l'importance de la planification de la continuité des activités, et afin de prêter assistance pour la mise à l'essai des plans. Malgré ce soutien, le simple volume de travail et les échéances rapprochées rendaient nécessaire l'utilisation d'un processus fondé sur un modèle. Par conséquent, la plupart des PCA d'AINC ont été élaborés par des gestionnaires régionaux et sectoriels n'ayant pas suivi de formation en planification de la continuité des activités, et sans analyse critique efficace du coordonnateur ministériel de la PCA.
En mars 2010, AINC a circonscrit ses services essentiels et ses services de soutien essentiels, grâce à un exercice efficace tenu dans tout le Ministère sous la direction des cadres supérieurs. Bien que des PCA datant de 2009 soient en place pour tous les services essentiels et les services de soutien essentiels, les plans et les arrangements existants se concentrent surtout sur la réponse à un événement pandémique. Actuellement, il n'est guère certain que les PCA pour les services essentiels et les services de soutien essentiels soient adéquats pour garantir la préparation à d'autres formes de perturbation. Le personnel du Programme de PCA à l'administration centrale et les gestionnaires des services les plus essentiels reconnaissent qu'une évaluation plus large des menaces et des vulnérabilités est nécessaire avant de pouvoir procéder à une mise à jour appropriée des PCA.
Alors que le personnel du Programme de PCA à l'administration centrale a mobilisé des cadres supérieurs pour l'élaboration du Programme de PCA, nous avons constaté que les rapports fournis sur l'état du programme étaient inadéquats. Afin de mieux soutenir l'administrateur général et les cadres supérieurs dans leur rôle de surveillance, l'ASM ou le directeur de la sécurité de la TI doit participer de manière plus active au contrôle du Programme de PCA, et le coordonnateur ministériel de la PCA doit produire des rapports solides sur la mise en œuvre du programme.
Recommandations
Nos recommandations au directeur, DSTI, et à l'ASM pour aborder les constatations de la vérification sont les suivantes :
- Élaborer un plan pluriannuel afin de traiter les lacunes dans le Programme de PCA, et le présenter à un comité de la haute direction pour examen et approbation. Le processus de planification devrait inclure une réévaluation des objectifs du programme, l'établissement de buts et de cibles mesurables, l'élaboration de stratégies entièrement chiffrées pour la mise en œuvre du programme, et une réévaluation de la gouvernance du Programme de PCA.
- Réviser la politique sur la GCA d'AINC afin de s'assurer que les rôles et les responsabilités relatifs à la direction du Programme de PCA et aux rapports sont clairement établis.
- S'assurer que le coordonnateur ministériel de la PCA joue un rôle plus actif pour ce qui est d'apporter des conseils et une analyse critique aux gestionnaires des services essentiels et des services de soutien essentiels tout au long du processus d'élaboration, d'essai et de mise à jour des ARO et des PCA.
- Développer un programme de formation et de sensibilisation officiel pour les coordonnateurs de la PCA et les gestionnaires des services essentiels (et des services de soutien essentiels). Le niveau de formation officielle devrait tenir compte de la mesure dans laquelle le coordonnateur ministériel de la PCA fournit aussi des conseils et du soutien pratique tout au long du processus d'élaboration et de mise à l'essai des ARO et des PCA.
- Améliorer le suivi et les rapports sur l'efficacité du Programme de PCA dans les régions et les secteurs, afin d'appuyer l'amélioration et la surveillance permanentes (p. ex. rapports semestriels à un comité de la haute direction sur l'état du Programme de PCA, y compris les lacunes notoires dans le programme, les taux de résolution des problèmes repérés au cours des essais du PCA et des perturbations, les taux d'achèvement des différents niveaux d'essai du PCA et les taux d'achèvement de la formation sur la PCA).
1. Introduction
1.1 Contexte
Sécurité publique Canada définit la planification de la continuité des activités comme « un processus de planification proactif qui assure la prestation des services ou des produits essentiels lors d'une interruption [Note 3] ». La planification de la continuité des activités ne vise pas à couvrir tous les services ou toutes les activités d'une organisation, mais seulement ceux que l'on estime « essentiels » pour la continuité des opérations d'une organisation. Les services essentiels sont définis comme les services dont la compromission porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada
La planification de la continuité des activités est un domaine distinct de la gestion des urgences, mais connexe. La gestion des urgences est la discipline qui consiste à prévenir et à atténuer les situations d'urgence, en mettant l'accent sur la préparation et la réponse aux urgences, ainsi que sur la récupération à la suite des urgences. La planification de la continuité des activités se concentre sur l'élaboration et l'exécution en temps utile de plans, de mesures, de procédures et d'arrangements afin de s'assurer que l'accès aux services et aux biens essentiels ne subisse qu'une interruption minimale, ou pas d'interruption. En fait, la planification de la continuité des activités permet de veiller à ce que les services essentiels puissent continuer d'être fournis pendant une perturbation, alors que la gestion des urgences s'efforce de minimiser les dégâts et de prendre le contrôle de l'incident aussi rapidement que possible.
Au cours des dernières années, plusieurs événements ont illustré l'importance de la planification de la continuité des activités. Comme Sécurité publique Canada le souligne dans son guide sur la planification de la continuité des activités : « Les événements du 11 septembre 2001 ont prouvé que même dans l'éventualité d'événements à impact élevé et à faible probabilité, le rétablissement est possible. Malgré la destruction d'immeubles et la perturbation de tout un quartier de Manhattan, les entreprises et institutions munies d'un bon plan de continuité ont survécu [Note 4]. » Plus récemment, la pandémie de grippe H1N1 a été un catalyseur puissant pour l'examen et la mise à jour des plans de continuité des activités dans tout le gouvernement du Canada.
La politique actuelle du gouvernement sur la sécurité ne fait pas explicitement mention de la nécessité que les ministères mettent en œuvre un programme de planification de la continuité des activités (Programme de PCA). Cependant, un résultat escompté de la PSG consiste en ce que « la continuité des activités et des services du gouvernement est assurée en cas d'incidents de la sécurité, de perturbations ou de situations d'urgence ». En outre, la Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (NSO-PPCA) est incluse en tant que norme pertinente aux fins de la politique. La NSO-PPCA exige que les ministères établissent un Programme de PCA et leur fournit des directives et des orientations pour le faire.
1.2 Organisation de la PCA d'AINC
La politique d'Affaires indiennes et du Nord Canada (AINC) sur la gestion de la continuité des activités (Politique sur la GCA) définit les rôles et les responsabilités à l'égard du Programme de PCA. Ces rôles et responsabilités sont compatibles avec les exigences de la NSO-PPCA, (la figure 1 et la figure 2 de la page 7 fournissent une comparaison côte à côte entre l'organisation de la PCA telle qu'elle est décrite dans la Politique sur la GCA d'AINC, et cette même organisation telle qu'elle a été mise en œuvre dans la pratique).
En conformité avec la NSO-PPCA, la Politique sur la GCA d'AINC rend l'agent de sécurité du Ministère (ASM) responsable de l'ensemble du programme de sécurité, y compris de la mise sur pied d'un programme de PCA. En pratique, c'est au directeur, DSTI, et non à l'ASM que revient la responsabilité de gérer et de diriger le Programme de PCA d'AINC, et d'en rendre compte. La politique sur la GCA d'AINC ne définit pas de rôle ou de responsabilité pour le directeur, DSTI.
Un coordonnateur ministériel de la PCA a été nommé au niveau AS-05 pour gérer le Programme de PCA. La Politique sur la GCA d'AINC énonce que le coordonnateur ministériel de la PCA rend des comptes opérationnels à l'ASM et fournit des rapports sur le Programme de PCA à la haute direction par l'intermédiaire de la Direction générale des services des ressources humaines et du milieu de travail. Dans la pratique, le coordonnateur ministériel de la PCA rend des comptes opérationnels au conseiller principal de la sécurité de la TI, qui s'occupe de présenter tous les rapports sur le Programme de PCA à la haute direction, par l'intermédiaire du Comité des opérations.
Deux postes d'analystes en PCA ont été créés pour appuyer le coordonnateur ministériel de la PCA, mais ils ne sont pas encore financés ou pourvus à plein temps. Actuellement, ces postes sont occupés par des agents contractuels sur une base temporaire, et ils sont financés par le budget de fonctionnement et d'entretien de la DSTI.
Ni le coordonnateur ministériel de la PCA, ni le conseiller principal de la sécurité des TI, ni les analystes en PCA ne se consacrent entièrement à la planification de la continuité des activités. Chacun d'entre eux consacre un tiers de son temps, selon les estimations, à des activités de PCA, le reste étant dédié à des fonctions relatives à la sécurité de la TI.
Des coordonnateurs régionaux/sectoriels du PCA (coordonnateurs du PCA) sont nommés dans chacune des 10 régions et chacun des 17 secteurs du Ministère pour soutenir la mise en œuvre, la mise à jour et les essais du Programme de PCA. Ils s'acquittent de cette fonction à temps partiel et assument d'autres tâches à temps plein, généralement dans le cadre de leurs fonctions régionales/sectorielles de services ministériels. En plus, la plupart des coordonnateurs du PCA travaillent aussi comme coordonnateurs de la sécurité régionale à temps partiel.
Figure 1 Organisation de la PCA d'AINC telle qu'elle est définie dans la politique sur la GCA d'AINC
Figure 1 : La figure 1 présente l'organisation des rapports hiérarchiques à la Planification de la continuité des activités (PCA) telle qu'elle est définie dans la Politique sur la gestion de la continuité des activités (GCA) d'Affaires indiennes et du Nord Canada (AINC). Chaque poste de l'organigramme est représenté par une boîte de texte qui contient l'information sur le titre du poste et sur la sous-section organisationnelle. Les lignes pleines indiquent les rapports hiérarchiques directs, alors que les lignes brisées indiquent les rapports hiérarchiques fonctionnels.
L'échelon de poste le plus élevé de l'organigramme est celui du sous-ministre, qui est le premier responsable de l'établissement de l'organisation de la PCA du Ministère. Le dirigeant principal des finances (DPF) du Secteur du DPF et le directeur général (DG) de la Direction générale des services de ressources humaines et du milieu de travail (DGSRHMT) relèvent tous deux directement du sous-ministre (SM). À l'instar de ces deux postes en rapport hiérarchique direct, le Comité des services de ressources humaines et du milieu de travail (CSRHMT) du Ministère relève fonctionnellement du sous-ministre.
Le dirigeant principal de l'information (DPI) d'AINC relève directement du DPF. Le DPI est appuyé, à son tour, par le directeur de la Division de la sécurité de la technologie de l'information (DSTI), dont la sous-section organisationnelle comprend deux rapports directs : le conseiller principal, Sécurité de la TI, et le coordonnateur de la PCA ministériel.
Le directeur général de la DGSRHMT est chargé de surveiller la Division de la sûreté et de la santé et sécurité au travail, dont le responsable tient également le rôle d'agent de sécurité du Ministère (ASM). Selon la Politique sur la GCA, le coordonnateur de la PCA ministériel relève fonctionnellement de l'ASM. De plus, le coordonnateur de la PCA ministériel rend des comptes à la haute direction par l'intermédiaire du CSRHMT, et il est appuyé dans ses fonctions par deux analystes de la PCA embauchés sous contrat par la DSTI.
Outre les deux postes d'analyste de la PCA, le Ministère a nommé des coordonnateurs de la PCA dans chacune de ses dix régions et dix-sept sous-sections organisationnelles. Chaque coordonnateur de la PCA relève fonctionnellement du coordonnateur de la PCA ministériel.Figure 2 Organisation de la PCA d'AINC dans la pratique
Figure 2 : La figure 2 présente l'organisation des rapports hiérarchiques à la Planification de la continuité des activités (PCA) tels qu'ils se concrétisent dans la pratique. Chaque poste de l'organigramme est représenté par une boîte de texte qui contient l'information sur le titre du poste et sur la sous-section organisationnelle. Les lignes pleines indiquent les rapports hiérarchiques directs, alors que les lignes brisées indiquent les rapports hiérarchiques fonctionnels. À l'instar de ces deux rapports hiérarchiques directs, le Comité des opérations du Ministère, présidé par le sous-ministre délégué, fournit des mises à jour au sous-ministre.
L'échelon de poste le plus élevé de l'organigramme est celui du sous-ministre, lequel est le premier responsable de l'établissement de l'organisation de la PCA du Ministère. Le dirigeant principal des finances (DPF) du Secteur du DPF et le directeur général (DG) de la Direction générale des services de ressources humaines et du milieu de travail (DGSRHMT) relèvent tous deux directement du sous-ministre (SM).
Le directeur général de la DGSRHMT est chargé de surveiller la Division de la sûreté et de la santé et sécurité au travail, dont le responsable tient également le rôle d'agent de sécurité du Ministère (ASM). Dans la pratique, le directeur de la DSTI garde l'ASM au courant des activités de la PCA.
Le DPI d'AINC relève directement du DPF. Le DPI, quant à lui, est appuyé par le directeur de la DSTI, dont la sous-section organisationnelle comprend deux rapports directs : le conseiller principal, Sécurité de la TI, et le coordonnateur de la PCA ministériel.
La fonction de coordonnateur de la PCA ministériel relève du conseiller principal, Sécurité de la TI, lequel fait état périodiquement de la PCA à la haute direction par le truchement du Comité des opérations. De plus, le coordonnateur de la PCA ministériel tient l'ASM au courant des activités de la PCA en assistant aux réunions mensuelles que tient le Comité de sécurité.
Le coordonnateur de la PCA ministériel est appuyé dans ses fonctions par deux analystes de la PCA embauchés sous contrat par la DSTI. Outre les deux postes d'analyste de la PCA, le Ministère a nommé des coordonnateurs de la PCA dans chacune de ses dix régions et dix-sept sous-sections organisationnelles. Chaque coordonnateur de la PCA relève fonctionnellement du coordonnateur de la PCA ministériel.
1.3 Historique du Programme de PCA d'Affaires indiennes et du Nord Canada
Avant 2006, le Programme de PCA d'AINC faisait partie du Programme de sécurité dans le cadre de la Direction générale des services administratifs. En mai 2006, le Secteur des services administratifs a été réorganisé. Dans le contexte de cette réorganisation, la Division de la sécurité de la TI (DSTI) et le Programme de PCA, ainsi que le coordonnateur ministériel de la PCA et une autre ressource appuyant le Programme de PCA, ont été séparés du Programme de sécurité et attribués à la Direction générale de la gestion de l'information (DGGI). Le restant du Programme de sécurité (sécurité physique et sécurité du personnel) a été attribué à la Direction générale des services des ressources humaines et du milieu de travail (DGSRHMT).
À l'automne 2007, le Programme de PCA a reçu une cote « attention requise » lors de l'évaluation du Cadre de responsabilisation de gestion (CRG). Les insuffisances cernées étaient :
- Absence de mesures en place pour assurer la continuité des opérations et des services essentiels pour les activités;
- Gouvernance du Programme de PCA pas complètement établie;
- Services essentiels pas répertoriés et classés par ordre de priorité;
- Élaboration des PCA et des arrangements en cours, mais pas terminée;
- Lacunes importantes dans la mise sur pied d'un cycle de mise à jour pour procéder aux examens, aux essais et aux vérifications des PCA.
En août 2008, le sous-ministre (SM) des Affaires indiennes et du Nord canada a approuvé la Politique sur la GCA et un conseiller principal de la sécurité de la TI s'est vu assigner la tâche d'aider le coordonnateur ministériel de la PCA à élaborer et à mettre en œuvre le Programme de PCA. En février 2009, AINC a obtenu une cote « acceptable » à la ronde VI de l'évaluation du CRG.
En mars 2009, un expert en PCA embauché sur contrat par la DSTI a réalisé une évaluation du Programme de PCA et relevé les lacunes suivantes :
- Besoin d'une gouvernance renforcée autour du PCA, conformément aux exigences énoncées dans la Politique sur la GCA d'AINC;
- Absence d'un programme de formation et de sensibilisation à l'égard de la PCA;
- Absence d'évaluations des menaces, des risques et des vulnérabilités, qui permettraient de repérer les vulnérabilités et d'appuyer l'élaboration des PCA;
- Manque d'un processus pour s'assurer que les PCA sont régulièrement mis à jour et testés;
- Manque d'instructions efficaces pour la récupération dans les PCA;
- Mauvaise intégration des communications de crise, de la réponse d'urgence et de la coordination avec les organismes externes dans les PCA;
- Tests des capacités de soutien des parties externes insuffisants pour s'assurer qu'elles peuvent répondre aux besoins d'AINC.
Les résultats de cette évaluation constituaient le fondement du plan d'action de la direction présenté à la haute direction d'AINC en réaction à la ronde VI de l'évaluation du CRG.
En mai 2009, le SM a enjoint à toutes les fonctions d'élaborer et de mettre à l'essai des PCA, et il a demandé que les cadres supérieurs participent directement au processus. Les sous-ministres adjoints (SMA), les directeurs généraux régionaux (DGR) et les directeurs généraux (DG) sont devenus des participants actifs à l'élaboration d'analyses des répercussions sur les opérations (ARO) [Note 5] et de PCA pour leurs fonctions. Une majorité des régions et des secteurs ont terminé ce travail en octobre 2009 et ont réalisé des essais en novembre et décembre 2009. Le conseiller principal pour la sécurité de la TI et le coordonnateur de la PCA ont alors rendu visite à la plupart des régions et des secteurs pour souligner l'importance du Programme de PCA et apporter leur assistance dans la mise à l'essai des plans.
En novembre 2009, le programme a de nouveau reçu une validation externe du Secrétariat du Conseil du Trésor (SCT) avec une cote « acceptable » à la ronde VI de l'évaluation du CRG, et Sécurité publique Canada a attribué sa cote la plus élevée relativement à tous les critères en évaluant la préparation d'AINC à la pandémie grippale H1N1.
En mars 2010, le Ministère a déterminé ses services essentiels et a sélectionné trois services essentiels et neuf services de soutien essentiels; cette étape est normalement terminée avant de procéder à l'élaboration des PCA, de manière à permettre au Ministère de concentrer ses ressources limitées sur ses fonctions les plus essentielles. La NSO-PPCA soutient une telle approche, exigeant seulement que les PCA soient élaborés pour les services essentiels et les services de soutien essentiels.
2. Objectifs et portee de la verification
L'objectif de cette vérification est de fournir une assurance sur l'adéquation et la pertinence du cadre de contrôle de gestion et des contrôles internes établis pour mettre à jour et rendre opérationnel le programme de planification de la continuité des activités du Ministère.
La vérification a examiné l'adéquation et l'efficacité du Programme de PCA du Ministère et des contrôles de gestion associés visant à s'assurer que le Ministère est conforme aux lois, procédures, directives et normes applicables du gouvernement fédéral, y compris à la PSG et à la NSO-PPCA.
La portée de la vérification incluait le cadre de gouvernance du Ministère pour la planification de la continuité des activités, les contrôles de gestion du Programme de PCA, y compris les contrôles de gestion visant à s'assurer que les PCA sont élaborés, testés et mis à jour conformément aux exigences. La portée de la vérification n'incluait pas d'évaluation en profondeur de la capacité des PCA à assurer la continuité des services essentiels en cas d'interruption; une telle détermination ne peut s'effectuer qu'au moyen d'une mise à l'épreuve exhaustive des plans.
3. Approche et methodologie
Cette vérification a été effectuée par Orbis Risk Consulting et a été planifiée et réalisée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada telles qu'elles sont énoncées dans la Politique du Conseil du Trésor sur la vérification interne.
Des procédures de vérification suffisantes et appropriées ont été exécutées et des éléments probants ont été recueillis à l'appui des conclusions de la vérification, fournies et contenues dans le présent rapport.
Pendant la phase de planification, des entrevues préliminaires ont été réalisées avec le personnel du Programme de PCA à l'administration centrale d'AINC, les coordonnateurs de la PCA de deux régions, un DGR, deux des trois directeurs des services ministériels essentiels et quatre directeurs des services de soutien essentiels. La documentation du programme, telle que les documents de politique, les procès-verbaux des réunions et les ARO et PCA relatifs aux services essentiels ont été examinés et analysés. Une évaluation des risques a été effectuée afin de cerner et d'évaluer les risques les plus importants pour le Programme de PCA. Pour chacun de ces risques, l'équipe de vérification a déterminé des éléments de contrôle propres à atténuer les risques que l'on s'attendrait à voir en place.
Les critères de la vérification ont été élaborés de manière à couvrir les zones présentant les risques les plus élevés, tout en tenant compte des exigences de la PSG et de la NSO-PPCA, ainsi que des pratiques généralement reconnues pour le Réseau d'Échange en Continuité des Opérations (RÉCO) [Note 6]. Ces critères ont servi de base à l'élaboration du programme détaillé de vérification pour la phase de déroulement de la vérification.
La phase de déroulement incluait l'achèvement des procédures de vérification à l'AC et dans trois régions et trois secteurs. Les régions et les secteurs ont été choisis en vue d'assurer une couverture adéquate des trois services ministériels essentiels.
Le travail sur le terrain de la vérification a été effectué entre janvier 2011 et mars 2011. Les principales procédures de vérification réalisées par l'équipe de vérification comprenaient :
- Examen et analyse des documents – La documentation examinée comprenait, entre autres : les politiques, procédures et normes ministérielles sur la planification de la continuité des activités; les ARO, PCA et autres documents connexes pour les services essentiels et les services de soutien essentiels; les documents pour la formation et la sensibilisation à la PCA; la documentation sur la pratique et les essais des plans de continuité des activités (PCA).
- Entrevues – Pour chaque région et secteur, des entrevues ont été conduites avec les gestionnaires et le personnel jouant un rôle dans le Programme de PCA, afin de jauger leur compréhension des exigences de la PCA et l'état du Programme de PCA.
- Enquête itinérante – Des enquêtes itinérantes ont été conduites dans toutes les régions et tous les secteurs pour évaluer les niveaux de sensibilisation à la planification de la continuité des activités (PCA) parmi les membres du personnel. Lorsque c'était possible, des membres du personnel travaillant dans les services essentiels et les services de soutien essentiels ont été sélectionnés pour participer à l'enquête.
4. Conclusions
Les cadres supérieurs d'AINC démontrent leur appui ferme du Programme de PCA en soulignant régulièrement son importance aux gestionnaires régionaux et sectoriels. Par conséquent, le degré de sensibilisation à l'importance du programme est élevé et les régions et secteurs sont engagés dans sa mise en œuvre. Pourtant, en dépit de cet engagement, plusieurs éléments essentiels du Programme de PCA ne fonctionnent pas comme ils le devraient ou ne sont pas en place. Nous avons conclu que ces lacunes de contrôle exposent le Ministère au risque que des services essentiels et des services de soutien essentiels ne puissent pas reprendre dans les délais de récupération voulus par suite d'une interruption.
Les rôles et les responsabilités tels qu'ils sont définis par la Politique sur la GCA d'AINC ne sont pas en conformité avec la manière dont le programme est effectivement géré. La NSO-PPCA et la Politique sur la GCA d'AINC rendent toutes les deux l'ASM responsable fonctionnellement envers l'administrateur général de la gestion du programme de la GCA. Mais dans la pratique, c'est le directeur, DSTI, qui gère le programme et l'ASM ne joue pas de rôle significatif.
Alors que la NSO-PPCA exige des ministères qu'ils élaborent des PCA seulement pour les services essentiels, AINC a choisi de faire élaborer et tester des PCA à tous ses programmes et services internes en réaction à la pandémie de grippe A (H1N1) de 2009. À ce moment-là, le personnel du Programme de PCA à l'AC et les coordonnateurs de la PCA pour les régions et les secteurs (coordonnateurs de la PCA) ont été utiles pour soutenir l'élaboration rapide et les essais des PCA. Le coordonnateur ministériel de la PCA et le conseiller principal pour la sécurité de la TI ont investi des efforts considérables dans des visites de régions et de secteurs, afin d'augmenter leur sensibilisation à l'importance de la planification de la continuité des activités et d'aider à tester les plans. Malgré ce soutien, le simple volume de travail et les échéances rapprochées rendaient nécessaire l'utilisation d'un processus fondé sur un modèle. Par conséquent, la plupart des PCA d'AINC ont été élaborés par des gestionnaires régionaux et sectoriels n'ayant pas suivi de formation en planification de la continuité des activités, et sans une analyse critique efficace du coordonnateur ministériel de la PCA.
En mars 2010, AINC a déterminé ses services essentiels et ses services de soutien essentiels, grâce à un exercice efficace mené dans tout le Ministère sous la direction des cadres supérieurs. Bien que des PCA datant de 2009 soient en place pour tous les services essentiels et les services de soutien essentiels, les plans et les arrangements se concentrent surtout sur la réponse à un événement pandémique. Actuellement, il n'est guère certain que les PCA pour les services essentiels et les services de soutien essentiels soient adéquats pour garantir la préparation à d'autres formes de perturbation. Le personnel du PCA à l'AC et les gestionnaires des services les plus essentiels reconnaissent qu'une évaluation plus large des menaces et des vulnérabilités est nécessaire avant de pouvoir procéder à une mise à jour appropriée des PCA.
Alors que le personnel du Programme de PCA à l'administration centrale a mobilisé des cadres supérieurs pour l'élaboration du Programme de PCA, nous avons constaté que les rapports fournis sur l'état du programme étaient inadéquats. Afin de mieux soutenir l'administrateur général et les cadres supérieurs dans leur rôle de surveillance, l'ASM ou le directeur de la sécurité de la TI doit participer de manière plus active au contrôle du Programme de PCA, et le coordonnateur ministériel de la PCA doit produire des rapports solides sur la mise en œuvre du programme.
5. Observations et recommandations
5.1 Gouvernance et gestion du programme
5.1.1 Participation des cadres supérieurs
Les cadres supérieurs ont participé activement au soutien du Programme de PCA, mais ils ne reçoivent pas suffisamment d'information pour appuyer leurs responsabilités de supervision du programme.
Le SM fournit un leadership fort et soutient activement le Programme de PCA. En août 2008, il a approuvé la Politique sur la GCA d'AINC et en mai 2009 il a enjoint à tous les services et services de soutien ministériels, y compris les services non essentiels, d'élaborer et de tester les PCA.
D'autres cadres supérieurs ont également participé au dossier, aussi bien par le truchement du Comité des opérations (CO), présidé par le SMA, que dans leurs propres secteurs et régions. Depuis 2009, le Programme de PCA a présenté des rapports au CO sur une base semestrielle et plus fréquemment pendant les périodes d'activité accrue, y compris huit fois avant et pendant la pandémie de grippe H1N1, et trois fois pour aider à la détermination et à l'approbation des services essentiels du Ministère. Nos entrevues avec le personnel dans toutes les régions et tous les secteurs ont démontré que la plupart des membres du personnel sont conscients de l'importance accordée à la PCA par la haute direction.
Bien que l'engagement des cadres de la haute direction ait été manifeste, notre vérification a constaté qu'ils ne recevaient pas d'information adéquate sur l'état du Programme de PCA dans son ensemble. Des rapports présentés à la haute direction ont reconnu certaines des lacunes les plus importantes dans le Programme de PCA, mais n'ont pas transmis de manière adéquate la signification de ces lacunes et les exigences en matière de ressources. En guise d'exemple, les discussions tenues au CO au cours de l'année 2009 tournaient surtout autour de la préparation à la pandémie de grippe H1N1, alors que d'importantes lacunes et restrictions en ressources cernées lors de l'évaluation de la criticité et des manques en mars 2009 n'ont pas été soulignées et que des ressources supplémentaires n'ont pas été demandées pour traiter les lacunes connues. Le Programme de PCA a indiqué que cette information n'avait pas été rapportée à cause de l'effort important de planification en vue de la pandémie de grippe H1N1 pendant cette période, suivi par un effort pour cerner les services ministériels essentiels. Bien que le Programme de PCA ait pris des mesures pour aborder une majorité des lacunes, comme nous le remarquons dans les sections suivantes du présent rapport, nous avons constaté que toutes les actions n'étaient pas adéquates pour traiter suffisamment des lacunes connues.
Faute d'un cadre de présentation de rapports sur les résultats qui soit efficace et régulier, la haute direction avait peu de raison de suspecter l'existence de lacunes majeures dans le programme. Le Programme de PCA d'AINC s'est vu attribuer des cotes de passage par les évaluations du CRG en novembre 2008 et 2009 (rondes VI et VII), et par Sécurité publique Canada en novembre 2009 pour le travail de préparation à la pandémie du Ministère. Aucune lacune notoire du programme n'avait été cernée dans ces rapports.
5.1.2 Politique sur la GCA d'AINC
Bien que la politique sur la GCA d'AINC s'harmonise aux exigences de la PSG et de la NSO-PPCA, elle doit être revue parce qu'elle ne correspond pas aux véritables rôles et responsabilités ni à la manière dont le programme est exécuté.
La politique sur la GCA d'AINC correspond de façon appropriée aux exigences de la PSG et de la NSO-PPCA, et définit clairement les objectifs du programme. Des points faibles ont cependant été notés en ce qui concerne les rôles, les responsabilités et la reddition de comptes.
La politique sur la GCA d'AINC rend l'ASM responsable de la direction du Programme de PCA et confère au coordonnateur ministériel de la PCA la responsabilité de présenter les rapports sur l'état actuel du programme à la haute direction, mais elle ne définit pas de rôle ou de responsabilité pour le directeur, DSTI. En pratique, c'est le directeur, DSTI, qui a la responsabilité de diriger le Programme de PCA et qui soumet des rapports opérationnels à la haute direction par l'intermédiaire du Comité des opérations. La nature et les problèmes inhérents à cette structure complexe de rapports hiérarchiques ne sont pas adéquatement pris en compte dans la politique sur la GCA d'AINC et, par conséquent, la politique actuelle ne permet pas d'appuyer de manière adéquate le fonctionnement efficace du Programme de PCA.
5.1.3 Programme de PCA
5.1.3.1 Formation et sensibilisation
Les cadres supérieurs sont fortement sensibilisés à la planification de la continuité des activités, mais un programme de formation officiel est nécessaire pour s'assurer que les coordonnateurs de la PCA et les gestionnaires des services essentiels ont des connaissances suffisantes pour élaborer des PCA adéquats.
La politique sur la GCA d'AINC exige qu'un programme de formation et de sensibilisation soit mis en œuvre par le coordonnateur ministériel de la PCA. Compte tenu du roulement élevé du personnel au sein du Ministère et des changements fréquents apportés aux programmes, systèmes et processus, il est nécessaire d'avoir une formation régulière sur la PCA à Affaires indiennes et du Nord Canada. Notre vérification a constaté qu'une formation officielle et un programme de sensibilisation à la PCA n'existaient pas, bien que certaines activités de sensibilisation aient été menées.
Nous avons constaté une forte sensibilisation à la PCA parmi les cadres supérieurs, tant à l'administration centrale que dans deux des trois régions visitées. Les coordonnateurs de la PCA et les gestionnaires des services essentiels ont également démontré une solide compréhension de l'importance du Programme de PCA, mais ils n'ont généralement pas reçu une formation suffisante pour leur permettre d'élaborer des plans adéquats. Il est à remarquer que deux des trois régions visitées avaient des membres du personnel qui étaient des professionnels associés en continuité des affaires pour assister le coordonnateur de la PCA.
L'absence de programme de formation et de sensibilisation officiel a contribué aux insuffisances repérées dans les contrôles de la continuité des activités du Ministère. Ce point est détaillé plus avant dans la section 6.2 du présent rapport.
5.1.3.2 Soutien aux régions et aux secteurs
Le coordonnateur ministériel de la PCA n'a pas fourni un soutien adéquat aux coordonnateurs de la PCA et aux gestionnaires des services essentiels dans l'élaboration des plans pour les services essentiels. Cette lacune était traitée de manière proactive au moment de notre vérification.
Une responsabilité cruciale du coordonnateur ministériel de la PCA consiste à fournir une fonction d'analyse critique afin de s'assurer que les ARO et les PCA sont adéquats. Ce rôle revêt encore plus d'importance à défaut de formation officielle destinée aux coordonnateurs de la PCA et aux gestionnaires des services essentiels. Notre vérification a déterminé que le coordonnateur ministériel de la PCA n'avait pas fourni suffisamment d'analyse critique au cours de l'élaboration des ARO et des PCA pour permettre de s'assurer que les plans abordaient les risques significatifs et que les plans interreliés étaient bien coordonnés.
Le coordonnateur ministériel de la PCA a examiné les plans pour les services essentiels et les services de soutien essentiels, mais il n'a pas systématiquement fourni de rétroaction aux gestionnaires ni assuré la cohérence entre les PCA visant les services essentiels et les PCA associés visant les services de soutien essentiels. Par exemple, un PCA de service essentiel indiquait la nécessité de pouvoir accéder aux applications de TI régionales; cependant, le PCA régional associé pour les TI notait comme priorité en tête de liste d'interrompre le fonctionnement du serveur. Notre vérification a constaté un manque général de coordination entre les plans et a déterminé que les plans dans toutes les régions visitées sauf une étaient généralement inadéquats aux fins d'assurer la continuité des services en cas de perturbation importante (discuté en détail à la section 6.2.2). Il est à remarquer que les ARO et les PCA ont été élaborés avant la désignation des services ministériels essentiels et que, par conséquent, tous les PCA ont reçu la même attention dans leur élaboration.
Un groupe de travail sur la PCA a été créé afin de fournir un forum pour soutenir l'élaboration, les essais et la mise à jour des plans. Ce groupe de travail a tenu des réunions régulières en 2009, mais il n'y a pas eu de réunion depuis.
5.1.3.3 Contrôle et rapports
Les rapports présentés à l'ASM et aux comités de haute direction par le coordonnateur ministériel de la PCA n'ont pas couvert de manière adéquate l'état de la mise en œuvre du Programme de PCA.
Le contrôle de l'élaboration des PCA par le personnel du Programme de PCA à l'AC en vue de la pandémie de grippe H1N1 était très solide et a aidé à s'assurer que tous les programmes et services avaient des plans en place. Depuis ce temps-là, le contrôle a été très limité, particulièrement en ce qui concerne les plans pour les services essentiels et les services de soutien essentiels.
Le contrôle et les rapports sont des éléments cruciaux de tout système de gestion efficace, garantissant qu'un programme fonctionne comme prévu et atteint ses objectifs.En 2009, le coordonnateur ministériel de la PCA et le conseiller principal de la sécurité des TI ont rencontré les coordonnateurs de la PCA et les gestionnaires de la plupart des régions et des secteurs pour accroître leur sensibilisation au Programme de PCA et apporter de l'assistance dans la mise à l'épreuve des plans. Cette approche a aidé à faire en sorte que des PCA soient en place pour tous les programmes et les services, et cela a été reconnu par Sécurité publique Canada lors de l'évaluation de la préparation à la pandémie d'AINC.
En 2010, aucune visite sur place n'a été effectuée et les activités de contrôle se sont bornées à suivre l'achèvement des plans. Plus particulièrement, le contrôle n'incluait pas d'examens ou d'évaluations de la qualité des plans, de l'adéquation des essais et des exercices, ni d'autres mesures de l'efficacité des plans. Des visites sur place ont repris en 2011 de manière ponctuelle, mais sans plan ni calendrier pour garantir que tous les services essentiels et services de soutien essentiels soient couverts.
Le Programme de PCA informe la haute direction de ses activités actuelles par l'intermédiaire du Comité des opérations et sollicite de la rétroaction sur des aspects importants du programme (p. ex. repérer les services ministériels essentiels). Cependant, les rapports fournis aux cadres supérieurs sur l'état global du Programme de PCA se sont avérés limités. Certains exemples de types de rapports qui n'ont pas été fournis à la haute direction comprennent les lacunes du Programme de PCA (et des plans pour les aborder), des évaluations afin de déterminer si les PCA sont en adéquation avec les services essentiels et les services de soutien essentiels, et les expositions significatives à des risques non atténués par les PCA et les arrangements existants.
5.2 Planification et arrangements de continuité des activités
5.2.1 Identification des services essentiels
Le Ministère a récemment repéré ses services essentiels en fonction des commentaires pertinents du SM et des cadres supérieurs.
Dans l'ensemble, le processus utilisé dans l'identification des services essentiels était approprié.
En octobre 2009, le coordonnateur ministériel de la PCA a compilé les résultats de tous les ARO, repérant ainsi plus de 100 services potentiels essentiels. Cette liste a été regroupée et affinée par le coordonnateur ministériel de la PCA et, en décembre 2009, une liste révisée de 14 services essentiels a été présentée au Comité des opérations. Le Comité a fourni une critique des services repérés et a invité le coordonnateur ministériel de la PCA à affiner davantage la liste et à passer en revue les services essentiels par comparaison avec ceux des autres ministères.
En mars 2010, une liste définitive de trois services essentiels et neuf services de soutien essentiels a été approuvée par le Comité des opérations. Ces services ont été relevés en fonction de la définition d'un service essentiel de la PSG et des directives de la NSO-PPCA. La définition de la PSG décrit les critères pour qu'un service soit jugé essentiel et la NSO-PPCA permet aux ministères de se fonder sur un temps d'arrêt maximal admissible pour déterminer quels sont les services essentiels. AINC a fixé son seuil à 24 heures (c.-à-d. les services qui ne peuvent être interrompus pendant plus de 24 heures sont jugés essentiels). Notre vérification a conclu que le processus utilisé par le coordonnateur ministériel de la PCA et les cadres supérieurs pour déterminer les services essentiels était approprié.
Bien que le processus visant à déterminer les services essentiels à l'échelle ministérielle soit approprié dans l'ensemble, nous avons constaté que les régions et les secteurs n'avaient pas révisé leurs ARO et leurs PCA afin de les harmoniser à la liste définitive des services ministériels essentiels. Plus précisément, les régions et les secteurs avaient relevé de nombreux services essentiels qui ne figuraient pas sur la liste ministérielle, et les trois régions visitées n'avaient pas élaboré de plan pour au moins l'un des services essentiels ou services de soutien essentiels du Ministère.
5.2.2 Élaboration des PCA
5.2.2.1 Processus d'élaboration des PCA
Le Programme de PCA d'AINC a réussi à élaborer et tester un grand nombre de plans sur une courte période avant et pendant la pandémie de grippe A (H1N1). Le processus d'élaboration des plans a été précipité et l'on n'a pas consacré suffisamment de temps et de processus pour cerner d'autres interruptions potentielles de services et élaborer des stratégies de rechange pour la récupération.
Plusieurs étapes clés doivent être effectuées pour élaborer un PCA efficace. Tout d'abord, l'organisme doit déterminer ses services essentiels, définir les durées et les exigences pour la récupération et réaliser une évaluation des menaces, des risques et des vulnérabilités. Il faut ensuite élaborer des stratégies de rechange pour la récupération par suite d'interruptions et les évaluer afin d'inclure les plus appropriées au PCA. Ensuite, il faut élaborer et documenter des plans détaillés, en fournissant suffisamment de détails pour permettre à quelqu'un qui ne connaît pas bien les opérations de procéder à la reprise des services pendant ou après une perturbation. Finalement, les arrangements nécessaires sont pris pour garantir que les plans puissent être aisément exécutés en cas de perturbation.
L'ensemble des régions et des secteurs d'AINC avaient élaboré des PCA en très peu de temps avant et pendant la pandémie de grippe H1N1 de 2009, alors que le Ministère n'avait pas encore relevé ses services ministériels essentiels. Comme plus de 100 plans ont été réalisés durant cette période de six mois, il a fallu que le processus se déroule selon un canevas, avec une participation limitée du personnel du Programme de PCA à l'AC et du coordonnateur ministériel de la PCA. Par conséquent, plusieurs étapes clés ont été omises ou effectuées inadéquatement.
Bien que le coordonnateur ministériel de la PCA ait élaboré un cadre robuste d'évaluation des menaces et des risques en juin 2009, celui-ci n'a pas été remis aux coordonnateurs de la PCA ou aux gestionnaires des services essentiels et en est resté au stade de la version provisoire. Nos entretiens ont indiqué que même si les gestionnaires des services essentiels et des services de soutien essentiels ont tenté de prendre en compte les menaces et les vulnérabilités en élaborant leurs PCA, le processus était généralement ponctuel et non étayé. L'un des trois services essentiels a bien réalisé une évaluation officielle des risques aux fins de gestion des urgences, mais sans aborder complètement toutes les menaces significatives de perturbation du service. Par conséquent, il y peu d'assurance que les PCA élaborés pour les services essentiels et les services de soutien essentiels prennent adéquatement en compte les menaces les plus probables et les plus importantes.
Nous avons aussi constaté que les processus de détermination et de sélection des stratégies de rechange pour la récupération étaient informels et non documentés. Les plans établis pour les services essentiels et les services de soutien essentiels n'incluaient pas plusieurs stratégies de récupération et ni les régions ni les secteurs n'étaient en mesure de fournir de la documentation à l'appui du processus utilisé pour évaluer et sélectionner les stratégies. Faute d'une documentation adéquate pour étayer ces discussions et faute d'avoir un processus structuré en place, il n'y a guère d'assurance que les solutions les meilleures et les plus rentables aient été choisies et mises en œuvre. Ce manque de documentation rend aussi la tâche très difficile pour les nouveaux gestionnaires qui s'efforcent de comprendre la raison du choix de certaines stratégies de récupération par leurs prédécesseurs, ce qui peut entraîner une charge de travail supplémentaire considérable à l'avenir.
5.2.2.2 État d'achèvement des PCA pour les services essentiels
Sans oublier que le Ministère n'a déterminé ses services essentiels que récemment, les PCA qui appuient deux des trois services ministériels essentiels ne sont pas appropriés pour régler les perturbations autres que celles provenant d'une crise de pandémie. Les entretiens réalisés auprès des gestionnaires des services essentiels indiquent que de nombreux aspects de leurs plans de continuité n'étaient pas consignés et n'étaient pas inclus dans leurs PCA (p. ex. procédures opérationnelles non mentionnées dans le PCA).
Alors que les PCA pour les services essentiels et les services de soutien essentiels étaient en général adéquats pour remplir leur dessein d'origine de garantir la continuité pendant une crise pandémique, d'autres perturbations potentielles n'ont pas été adéquatement prises en compte ou abordées. Par conséquent, il n'est pas certain que les stratégies de récupération actuelles soient adéquates et que tous les arrangements nécessaires soient en place. Il y avait trois exceptions à ces constatations : premièrement, les plans de communication du Ministère sont bien élaborés, ils ont été mis à jour récemment en vue de tenir compte des leçons tirées de perturbations précédentes; deuxièmement, l'une des régions visitées avait bien élaboré et intégré les plans pour les services essentiels et les services de soutien essentiels; troisièmement, le PCA de l'un des services ministériels essentiels était bien élaboré.
L'évaluation a déterminé que le processus et le modèle standards de PCA proposés par le Programme de PCA de l'AC sont adaptés à la planification générale en cas de pandémie, mais excessivement simplifiés au regard de la complexité des services essentiels. Les PCA que suivaient le modèle d'AINC ne fournissaient généralement qu'une orientation vague et ne mentionnaient aucune autre procédure opérationnelle. Dans le cas de deux des trois services ministériels essentiels, les PCA régionaux et ceux de l'AC ne contenaient pas suffisamment de procédures pour permettre une récupération et une reprise des services en temps voulu. Les entretiens menés auprès des gestionnaires des services essentiels indiquaient que leurs idées et leurs plans non consignés pour faire face aux interruptions de services étaient mieux élaborés que ne l'indiquaient leurs plans écrits.
Nous avons constaté qu'en général, les besoins des services ministériels essentiels n'était pas pris en compte ou abordés dans les plans des services de soutien essentiels. Par exemple, les besoins en TI relevés pour deux des trois services ministériels essentiels n'ont pas été abordés ou pris en compte dans les PCA de TI régionaux ou de l'AC.
Pendant la vérification, le Programme de PCA de l'AC a entrepris une collaboration plus étroite avec un service essentiel pour appuyer la mise à jour de ses PCA et garantir que les services de soutien essentiels comprennent les besoins de la DGUE et en tiennent compte dans leurs propres PCA. Cette interaction étroite entre le coordonnateur ministériel de la PCA et les gestionnaires des services essentiels et des services de soutien essentiels est fondamentale pour s'assurer que les gestionnaires comprennent bien et reconnaissent l'importance et les particularités d'une bonne planification de la continuité des activités.
5.2.3 Mise à l'essai des plans de continuité des activités
Des essais simulés d'un scénario de pandémie de grippe H1N1 ont été réalisés dans tout le Ministère en 2009. Des essais portant sur d'autres scénarios et des exercices plus approfondis auxquels on pourrait raisonnablement s'attendre pour des services essentiels n'ont pas encore été effectués.
La mise à l'essai des PCA permet aux gestionnaires de repérer les insuffisances et les lacunes et de garantir la préparation à des perturbations potentielles. Pour être efficace, la sévérité des tests doit augmenter graduellement, simulant des scénarios de plus en plus complexes et passant graduellement des exercices simulés sur une échelle réduite [Note 7] à un test intégré d'interruption complète [Note 8]. Des comptes rendus doivent être effectués après chaque exercice et les leçons tirées doivent être documentées dans les comptes rendus post-action, afin de permettre aux gestionnaires actuels et futurs d'améliorer leurs plans.
La vérification effectuée indique que la mise à l'essai du scénario de pandémie de grippe H1N1 réalisée par les régions et les secteurs en octobre et novembre 2009 était adaptée aux circonstances et adéquate en tant que test initial. Cette mise à l'essai consistait en un exercice de base sur maquette simulant un scénario de pandémie de grippe H1N1 et comprenait un test des capacités de connectivité à distance pour deux des trois services essentiels. Aucun autre essai n'a été mené en 2010. Des essais supplémentaires avaient été planifiés au niveau de la haute direction en 2010, mais ils ont été repoussés à plus tard en 2011.
Des tests plus complexes d'autres scénarios sont nécessaires afin d'évaluer complètement les PCA des services essentiels et de garantir un état de préparation adéquat pour faire face aux perturbations potentielles. Le coordonnateur ministériel de la PCA a remis un bon modèle pour les tests à toutes les régions et tous les secteurs en septembre 2009 en vue de guider les tests et de s'assurer que les résultats soient officiellement documentés. Toutefois, les gestionnaires et le personnel interrogés ont démontré peu de compréhension des exigences relatives aux tests et se sont avérés généralement mal équipés pour tester leurs plans. Même si nous avons observé des cas où le modèle pour les tests était utilisé dans les trois régions visitées, la documentation fait défaut pour préserver les résultats des essais et permettre d'effectuer une évaluation et un suivi appropriés.
Nous avons constaté que le coordonnateur ministériel de la PCA et les coordonnateurs de la PCA ne tiennent pas les gestionnaires des PCA responsables de fournir un suivi et des rapports sur les tests et la résolution des lacunes cernées. Dans deux des trois régions visitées, nous avons trouvé des PCA qui n'avaient pas été révisés en vue d'aborder toutes les mesures approuvées.
6. Recommandations
Nos recommandations au directeur, DSTI, et à l'ASM pour prendre en compte les résultats de la vérification sont les suivantes :
- Élaborer un plan pluriannuel afin de traiter les lacunes dans le Programme de PCA, et le présenter à un comité de la haute direction pour examen et approbation. Le processus de planification devrait inclure une réévaluation des objectifs du programme, l'établissement de buts et de cibles mesurables, l'élaboration de stratégies entièrement chiffrées pour la mise en œuvre du programme, et une réévaluation de la gouvernance du Programme de PCA.
- Réviser la politique sur la GCA d'AINC afin de s'assurer que les rôles et les responsabilités relatifs à la direction du Programme de PCA et aux rapports sont clairement établis.
- S'assurer que le coordonnateur ministériel de la PCA joue un rôle plus actif pour ce qui est d'apporter des conseils et une analyse critique aux gestionnaires des services essentiels et des services de soutien essentiels tout au long du processus d'élaboration, d'essai et de mise à jour des ARO et des PCA.
- Développer un programme de formation et de sensibilisation officiel pour les coordonnateurs de la PCA et les gestionnaires des services essentiels (et des services de soutien essentiels). Le niveau de formation officielle devrait tenir compte de la mesure dans laquelle le coordonnateur ministériel de la PCA fournit aussi des conseils et du soutien pratique tout au long du processus d'élaboration et de mise à l'essai des ARO et des PCA.
- Améliorer le suivi et les rapports sur l'efficacité du Programme de PCA dans les régions et les secteurs, afin d'appuyer l'amélioration et la surveillance permanentes (p. ex. rapports semestriels à un comité de la haute direction sur l'état du Programme de PCA, y compris les lacunes notoires dans le programme, les taux de résolution des problèmes repérés au cours des essais du PCA et des perturbations, les taux d'achèvement des différents niveaux d'essai du PCA et les taux d'achèvement de la formation sur la PCA).
7. Plan d'action de la direction
Recommandations | Réponse/Mesures de la Direction |
Gestionnaires responsables (Titres) |
Date prévue de mise en œuvre |
---|---|---|---|
1. Élaborer un plan pluriannuel qui permettra de combler les lacunes dans le Programme de PCA, et le présenter à un comité de la haute direction pour examen et approbation. Le processus de planification devrait inclure une réévaluation des objectifs du programme, l'établissement de buts et de cibles mesurables, l'élaboration de stratégies entièrement chiffrées pour la mise en œuvre du programme, et une réévaluation de la gouvernance du Programme de PCA. | Le directeur de la DSTI, en collaboration avec l'ASM :
i. l'établissement de buts/cibles mesurables; |
Le directeur de la DSTI et l'ASM | |
Mesures
|
Fin du 2e trimestre, 2011-2012 | ||
|
Milieu du 3e trimestre, 2011 2012 | ||
|
Fin du 3e trimestre, 2011-2012 | ||
2. Réviser la politique sur la GCA d'AINC de manière à bien établir les rôles et les responsabilités relativement à la direction du Programme de PCA et à la production des rapports connexes. | Le directeur de la DSTI, en collaboration avec l'ASM :
|
Le directeur de la DSTI et l'ASM | |
Actions
|
Milieu du 2e trimestre, 2011 2012 | ||
|
Milieu du 4e trimestre, 2011 2012 | ||
3. S'assurer que le coordonnateur ministériel de la PCA joue un rôle plus actif de remise en question et d'expert-conseil auprès des gestionnaires des services essentiels et des services de soutien essentiels, tout au long du processus d'élaboration, d'essai et de mise à jour des ARO et des PCA. | Le directeur de la DSTI, en collaboration avec l'ASM :
|
Le directeur de la DSTI et l'ASM | |
Mesures
|
Fin du 3e trimestre, 2011-2012 | ||
|
Milieu du 4e trimestre, 2011 2012 | ||
4. Élaborer un programme de formation et de sensibilisation officiel pour les coordonnateurs de la PCA et les gestionnaires des services essentiels (et des services de soutien essentiels). Le niveau de formation officielle devrait tenir compte de la mesure dans laquelle le coordonnateur ministériel de la PCA fournit aussi des conseils et du soutien pratique tout au long du processus d'élaboration et de mise à l'essai des ARO et des PCA. | Le directeur de la DSTI, en collaboration avec l'ASM :
|
Le directeur de la DSTI et l'ASM | |
Mesures
|
Fin du 1er trimestre, 2011-2012 | ||
|
Début du 4e trimestre, 2011 2012 | ||
|
Début du 4e trimestre, 2011 2012 | ||
5. Améliorer le suivi et les rapports sur l'efficacité du Programme de PCA dans les régions et les secteurs, afin d'appuyer l'amélioration et la surveillance permanentes (p. ex., rapports semestriels à un comité de la haute direction sur l'état du Programme de PCA, y compris les lacunes notoires du programme, le taux de règlement des problèmes repérés au cours des essais et des perturbations de la PCA, les taux d'achèvement des différents niveaux d'essai de la PCA les taux d'achèvement de la formation sur la PCA, etc.). | Le directeur de la DSTI, en collaboration avec le ASM :
|
Le directeur de la DSTI et l'ASM | |
Mesures
|
Milieu du 4e trimestre, 2011 2012 | ||
|
Exercice 2012 | ||
|
Exercice 2012 |
Annexe A : Critères de vérification
Critères de vérification et contrôles | Référence (voir la dernière page pour les abbres) |
---|---|
Gouvernance du Programme de PCA | |
1. Un Programme ministériel de PCA est en place avec des objectifs, des rôles, des responsabilités et une reddition de comptes adaptés et clairement définis. | NSO-PPCA 3.1 |
1.1. Une politique, des NSO et une documentation technique appropriées de la PCA sont élaborées au sein du Ministère ou adaptées en fonction de la politique du gouvernement du Canada. La politique de PCA a été approuvée par la haute direction et énonce les rôles et les responsabilités clés en matière de gestion des activités de PCA de l'organisation ainsi que l'approche de l'organisation pour effectuer les ARO, élaborer les plans et les arrangements et maintenir l'état de préparation. |
NSO-PPCA 3.1 RC PPCA 1.3 |
1.2. L'ASM dirige et coordonne le Programme de PCA. |
NSO-PPCA 3.1 |
1.3. Un coordonnateur ministériel de la PCA a été officiellement nommé pour remplir les rôles et les responsabilités déterminés dans la NSO-PPCA. |
NSO-PPCA 3.1 RC PPCA 1.1 |
1.4. Un groupe de travail chargé de la PCA a été nommé par la haute direction, ses rôles et responsabilités ont été clairement définis et il rencontre régulièrement le Comité de la haute direction. |
NSO-PPCA 3.1 RC PPCA 1.4 |
1.5. Le coordonnateur ministériel de la PCA assure une communication régulière et une coordination des activités de PCA avec le coordonnateur de la sécurité de la TI et l'ASM. |
NSO-PPCA 3.1 |
2. La haute direction appuie activement et adéquatement l'élaboration et la mise en œuvre du Programme de PCA. | NSO-PPCA 3.1 RC PPCA 1.2 |
2.1. La haute direction est responsable de soutenir, de superviser, de diriger, d'approuver et de financer l'élaboration, la mise en œuvre et les tests du programme, de la politique, des plans, des activités et des arrangements de PCA. |
NSO-PPCA 3.1 RC PPCA 1.2 |
2.2. Des ressources suffisantes, financières et autres, sont dédiées à la PCA. |
NSO-PPCA 3.1 RC PPCA 1.2 RC PPCA 3.2 |
Analyse des répercussions sur les opérations | |
3. Les activités et les services essentiels du Ministère ont été cernés et une analyse des répercussions sur les opérations a été effectuée. | NSO-PPCA 3.2 |
3.1. Des processus sont en place afin de déterminer la nature des activités du Ministère (p. ex. rôle, mandat) et les services qu'il doit fournir en vertu de sa loi constitutive ou d'autres lois, de la politique du gouvernement, des engagements envers d'autres ministères et des ententes, traités, contrats, protocoles d'entente ou autres accords. |
NSO-PPCA 3.2 RC PPCA 2.1 |
3.2. Les services essentiels ont été cernés et sont classés par ordre de priorité selon :
|
NSO-PPCA 3.2 RC PPCA 2.2 DGSM App. C PGA 3 ST3.4 |
3.3. Une évaluation récente des menaces et des risques/vulnérabilités a été menée pour les services essentiels afin de déterminer et d'évaluer :
|
NSO-PPCA 3.2 |
3.4. Les services d'appui dont dépendent directement ou indirectement les services essentiels, tant à l'intérieur qu'à l'extérieur du Ministère, ont été relevés. |
NSO-PPCA 3.2 RC PPCA 2.3 |
3.5. La haute direction examine et approuve l'analyse des répercussions sur les opérations du Ministère. |
NSO-PPCA 3.2 RC PPCA 2.4 |
Plans et arrangements de continuité des activités | |
4. Les stratégies de continuité et de reprise des activités ont été déterminées, évaluées, choisies et approuvées pour chaque service essentiel. | DGSM App. C NSO-PPCA 3.3 |
4.1. Les options de continuité et de reprise des activités ont été déterminées pour tous les services essentiels. |
NSO-PPCA 3.3 RC PPCA 3.2 |
4.2. Une évaluation pour chaque option a été menée en tenant compte des répercussions sur le Ministère, des avantages, des risques, de la faisabilité, des exigences en capacité et des coûts. |
NSO-PPCA 3.3 PGA 6 ST62.1 |
5. Les PCA sont élaborés afin de soutenir la mise en œuvre des stratégies approuvées et sont conformes aux exigences en matière de politique. | PSG 5 NSO-PPCA 3.3 |
5.1. Les PCA élaborés indiquent :
|
NSO-PPCA 3.3 PGA 5 ST2.7 PGA 5 ST2.8 PGA 6 ST1.2 |
5.2. Tous les points de défaillance individuels ont été cernés et abordés dans les PCA. |
PGA 2 ST3 |
5.3. Des plans et du matériel de communication appropriés sont élaborés afin d'appuyer les communications de crise avec les employés, les partenaires, les fournisseurs, le gouvernement, les médias extérieurs et d'autres intervenants clés. |
NSO-PPCA 3.3 PGA 9 ST1 PGA 9 ST2 |
5.4. La haute direction examine, approuve et finance les plans de continuité choisis, ce qui comprend l'examen et l'approbation des plans de tiers. |
NSO-PPCA 3.3 |
5.5. Les PCA sont disponibles dans des endroits et sous des formats faciles d'accès en cas de perturbation. |
PGA 3 ST3.6 |
6. Des arrangements sont pris afin de veiller à ce que les plans puissent être mis en œuvre et, au besoin, des contrats officiels ou des protocoles d'entente (PE) sont en place. | NSO-PPCA 3.3 RC PPCA 3.6 |
6.1. Toutes les ententes nécessaires ont été conclues et officialisées afin de garantir que les plans puissent être mis en œuvre et, au besoin, des contrats et des PE sont en place afin d'officialiser les ententes et de déterminer les priorités d'accès entre intérêts concurrents. |
NSO-PPCA 3.3 RC PPCA 3.6 |
6.2. Lorsque des ministères et/ou des tiers interviennent dans la prestation d'un service essentiel, des ententes sont conclues afin de veiller à ce que les plans des ministères soient concertés. |
NSO-PPCA 3.3 RC PPCA 3.6 |
Mise à jour de l'état de préparation du Programme de PCA | |
7. Un programme de formation et de sensibilisation efficace pour la PCA est en place. | NSO-PPCA 3.4 RC PPCA 3.5 |
7.1. Le coordonnateur ministériel de la PCA a reçu la formation nécessaire en vue de remplir les fonctions et de s'acquitter des responsabilités qui lui ont été attribuées. |
NSO-PPCA 3.4 RC PPCA 3.5 PGA 7 |
7.2. Une formation appropriée en PCA (y compris une formation polyvalente) et un programme de sensibilisation sont en place et documentés, comprennent un plan de formation et de sensibilisation, et ont été offerts à tous les niveaux de l'organisation. |
NSO-PPCA 3.4 RC PPCA 3.5 PGA 7 |
7.3. La formation en PCA et la sensibilisation au PCA (dont la formation polyvalente) sont continuellement améliorées et régulièrement vérifiées et validées. |
NSO-PPCA 3.4 RC PPCA 3.5 PGA 7 |
8. Les PCA sont examinés et mis à jour régulièrement. | NSO-PPCA 3.4 RC PPCA 4.1 |
8.1. Des processus existent pour garantir que les PCA sont mis à jour et validés par rapport à tout changement comme les listes de contacts, les nouveaux programmes, les cadres de planification stratégique, les changements législatifs et les déménagements physiques, et sont révisés annuellement par la direction et le coordonnateur de la PCA. |
NSO-PPCA 3.4 RC PPCA 4.1 |
8.2. Un inventaire à jour des services essentiels comprenant les renseignements, les biens et les services d'appui est maintenu et fourni à Sécurité publique Canada sur demande. |
DGSM App. C |
9. Les PCA sont régulièrement testés et validés au moyen d'exercices afin de garantir une réponse et une reprise efficientes et efficaces. | NSO-PPCA 3.4 DGSM App. C |
9.1. Les tests et la validation de tous les plans sont effectués régulièrement et comprennent des tests de stress et une documentation sur les exercices. |
NSO-PPCA 3.4 RC PPCA 4.3 |
9.2. Un compte rendu post-action (CRPA) ainsi qu'un plan d'action sont préparés après chaque exercice et perturbation et des plans d'action ont été approuvés par la haute direction et exécutés. |
NSO-PPCA 3.4 RC PPCA 4.4 |
9.3. Les PCA sont révisés afin de rendre compte des leçons tirées. |
NSO-PPCA 3.4 RC PPCA 4.4 |
10. Au besoin, des centre des opérations d'urgence (COU) et des sites de rechange sont fournis et maintenus en état de préparation. | PGA 5 ST2.10 PGA 5 ST2.11 |
10.1. Des procédures sont en place afin de veiller à l'acquisition et au maintien des approvisionnements et des ressources d'urgence pour les COU et les sites de rechange. |
PGA 5 ST2.10 PGA 5 ST2.11 |
11. Le coordonnateur ministériel de la PCA supervise l'ensemble des activités du Programme de PCA, dont les ARO, les PCA, les exercices, les CRPA et les programmes de formation et de sensibilisation. | PGA 3 PGA 6 PGA 7 |
11.1. Le coordonnateur ministériel de la PCA examine toutes les ARO afin de veiller à l'exhaustivité des justifications et des spécifications (NSM, TAMA, ODR et OPR). |
|
11.2. Le coordonnateur ministériel de la PCA examine tous les PCA pour s'assurer que leur contenu est exhaustif et à jour. |
|
11.3. Le coordonnateur ministériel de la PCA révise l'ensemble de l'équipement d'exercice et des CRPA afin de veiller à leur pertinence et à leur exhaustivité. |
|
11.4. Le coordonnateur ministériel de la PCA supervise les activités de formation et de sensibilisation afin de s'assurer qu'elles ont été effectuées comme prévu. |
Acronymes liés aux références du SCT :
RC PPCA : Rapport de conformité – Programme de planification de la continuité des activités – Politique sur la sécurité du gouvernement
DGSM : Directive sur la gestion de la sécurité ministérielle, publiée en juillet 2009
NSO-PPCA : Norme de sécurité opérationnelle - Programme de planification de la continuité des activités, publiée en 2004
PSG : Politique sur la sécurité du gouvernement, publiée en juillet 2009
SPPCC : Sécurité publique et Protection civile Canada - Guide de planification de la continuité des activités
Acronymes liés aux PGA de DRIE :
PGA 2 : Pratiques généralement admises – Évaluation et contrôle des risques
PGA 3 : Pratiques généralement admises – Analyse des répercussions sur les opérations
PGA 5 : Pratiques généralement admises – Intervention et opérations en cas d'urgence
PGA 6 : Pratiques généralement admises – Élaboration et mise en œuvre de la planification de la continuité des activités
PGA 7 : Pratiques généralement admises – Sensibilisation et formation
PGA 9 : Pratiques généralement admises – Relations publiques et coordination de crises
PGA 10 : Pratiques généralement admises – Coordination avec les organismes externes
Notes en bas de page :
- Sécurité publique Canada : Guide de planification de la continuité des activités (retourner au paragraphe source)
- Les services essentiels sont les services dont la compromission porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. Les services de soutien essentiels sont les services qui sont nécessaires à la continuité des services essentiels ou qui soutiennent le processus décisionnel de la haute direction et l'interaction avec les autres ministères. (retourner au paragraphe source)
- Sécurité publique Canada : Guide de planification de la continuité des activités (retourner au paragraphe source)
- Ibid. (retourner au paragraphe source)
- ARO - Une analyse des répercussions sur les opérations évalue les incidences des perturbations dans le ministère, repère les services essentiels et les classe par ordre de priorité. Elle comprend une évaluation des menaces et des risques pour déterminer les sources potentielles de perturbation. Les PCA sont élaborés en fonction des résultats de l'analyse des répercussions sur les opérations. (retourner au paragraphe source)
- Le Réseau d'Échange en Continuité des Opérations (RÉCO) [ou Disaster Recovery Information Exchange (DRIE)] est une association à but non lucratif de professionnels dédiée à la mise en commun d'information et de connaissances sur l'ensemble des aspects de la continuité des opérations, et ce, des mesures d'urgence à la reprise des activités. (retourner au paragraphe source)
- Un exercice simulé est un exercice préparatoire structuré qui simule un incident dans un contexte officieux. Cela s'accomplit habituellement en une séance de trois ou quatre heures, les participants étant rassemblés dans une salle de conférence ou une salle de formation. (retourner au paragraphe source)
- Un test d'interruption complète comprend une récupération simulée dans le pire des scénarios. Le test comprend également les services de soutien essentiels, les fournisseurs de services externes, les premiers intervenants et les autres partenaires sur lesquels repose le service essentiel en question. (retourner au paragraphe source)