Archivée - Vérification du Programme de sécurité
Renseignements archivés
Cette page a été archivée dans le Web. Les renseignements archivés sont fournis aux fins de référence, de recherche ou de tenue de documents. Ils ne sont pas assujettis aux normes Web du gouvernement du Canada et n'ont pas été modifiés ou mis à jour depuis leur archivage. Pour obtenir ces renseignements sous une autre forme, veuillez communiquer avec nous.
date : Mai 2010
Projet no 09-79
Format PDF (225 Ko, 43 pages)
Table des matières
- Sigles et abréviations
- Sommaire
- 1. Énoncé de conformité
- 2. Introduction
- 3. Objectifs et portée de la vérification
- 4. Démarche et méthodologie
- 5. Conclusions
- 6. Observations et recommandations
- 7. Recommandations
- 8. Plan d'action de gestion
- Annexe A : Critères de vérification
Sigles et abréviations
Sommaire
Contexte
La plus récente vérification du programme de sécurité d'AINC a été achevée en 2005. Une mission de vérification de suivi a été ajouté au Plan de vérification axé sur le risque 2010-2011 d'AINC, mais elle a été devancé en 2009-2010 à la demande de la directrice générale de la Direction générale des services des ressources humaines et du milieu de travail (DGSRHMT) et de l'agent de sécurité du Ministère (ASM). Il a été convenu d'un commun accord que le fait de devancer le moment de la vérification était approprié après avoir appris que l'ASM se préparait à élaborer un plan pour aborder les nouvelles exigences de la Politique sur la sécurité du gouvernement( PSG) du Conseil du Trésor (CT) qui prenait effet en juillet 2009. La nouvelle PSG mettait l'accent sur la nécessité, par tous les ministères, d'adopter une méthode axée sur un système de gestion de la sécurité, plutôt qu'une méthode classique stricte fondée sur la conformité.
Au cours des deux dernières années, on a réalisé des progrès importants en ce qui a trait à la mise en œuvre d'un programme de sécurité au sein d'AINC. L'actuelle DG de la DGSRHMT a été nommée en 2007, et à cette époque elle remplissait aussi le rôle d'ASM. Peu de temps après sa nomination, elle en a conclu que le programme de sécurité d'AINC était sous-financé et a reconnu le besoin de doter un poste d'ASM à temps plein. Ainsi, le poste de directeur de la Division de la Sureté de la Santé et de la Sécurité au Travail (DSSST) a été créé et doté en juin 2008 et on lui a assigné le rôle d'ASM. Depuis lors, l'ASM travaille à accroître la sensibilisation à la sécurité dans tout le Ministère, il a établi des contacts préliminaires avec les régions et les agents de sécurité régionaux (ASR). Il a aussi reçu l'approbation du SM pour établir un cadre de sécurité ministériel, un document plus complet et compréhensible que ce que l'on retrouve habituellement dans les autres ministères sociaux et culturels.
Par contre, il reste beaucoup de travail à accomplir. Les rapports sur la sécurité élaborés par les régions pour l'ASM est incomplet, seule une surveillance minimale des programmes de sécurité régionaux est faite. Les ASR, responsables d'appliquer le PSG et les procédures de sécurité ministérielles, sont souvent entièrement occupés par leur poste régional à temps plein non relié à la sécurité. Habituellement, ils n'ont pas assez de temps pour accomplir leurs tâches liées à la sécurité et ne rendent pas suffisamment compte à l'ASM. Ainsi, la mise en œuvre régionale du programme de sécurité n'est pas uniforme et la sensibilisation des employés aux politiques et procédures de sécurité est habituellement faible.
Objectifs et portée
La vérification vise à obtenir l'assurance que : le programme de sécurité du Ministère est conforme à la PSG; des ressources appropriées et suffisantes sont déployées afin de soutenir un programme de sécurité efficace à l'échelle nationale et régionale; les recommandations provenant de la vérification du programme de sécurité de 2005 ont été entièrement abordées; et des mesures d'atténuation sont mises en œuvre.
La portée de la vérification comprenait toutes les fonctions de sécurité, autres que la Planification de la continuité des activités (PCA) et la Sécurité des TI, de quatre régions sélectionnées, d'un secteur et de l'Administration centrale. La sécurité des TI et les fonctions de PCA du Ministère ont été retirées de la portée de la vérification, car elles tombent sous la responsabilité de la Division des TI, et le travail d'assurance relatif à ces secteurs est déjà planifié (Vérification de la planification de la continuité des activités) ou a été mené récemment (Vérification de la gestion de la sécurité des technologies de l'information).
Résultats et conclusions
La vérification a montré que le programme de sécurité d'AINC avait besoin d'être amélioré afin de satisfaire aux exigences de la nouvelle Politique sur la sécurité du gouvernement (juillet 2009). Un progrès constant a été réalisé au cours des dernières années en ce qui concerne les recommandations de la vérification du programme de sécurité de 2005 et l'amélioration de la portée et de l'efficacité des activités de sécurité menées par l'AC; par contre, le programme présente toujours des lacunes importantes. Parmi les faiblesses du programme, on retrouve des responsabilités et des rôles qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation à la sécurité chez les employés régionaux, des contrôles de protection de l'information inadéquats, une sécurité inadéquate et inefficace dans les processus de passation de marché, et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM. Les faiblesses observées indiquent un manque d'attention et de ressources affectées à la sécurité par les régions et les secteurs et la nécessité pour l'ASM de recentrer les ressources sur les secteurs présentant un risque élevé afin de mieux soutenir les régions et surveiller l'efficacité du programme de sécurité.
Plus particulièrement, nous avons observé ce qui suit :
- Les exigences et les procédures de la politique en matière de sécurité soulignées dans le Cadre de gestion de la sécurité (CGS) d'AINC sont en majorité conformes et harmonisées aux exigences de la PSG, même s'il reste du travail à accomplir afin de s'assurer que les responsabilités et les rôles à l'échelle de la politique sont clairs et que les normes opérationnelles sont entièrement définies.
- Plusieurs fonctions clés de sécurité indiquées dans le CGS ne sont pas accomplies de manière uniforme par tous les ASR, et cela se traduit par une mise en œuvre régionale inégale du programme de sécurité (c'est-à-dire, certaines régions ont mis en œuvre les éléments d'un programme de sécurité de haut niveau, tandis que d'autres ont fait peu de progrès).
- La mise en œuvre du programme de sécurité au sein des secteurs de l'AC est faible. Ces derniers se fient à la DSSST pour la prestation de tous les services liés au programme de sécurité. Cela s'est traduit par un manque de ressources disponibles à la DSSST pour veiller à la mise en œuvre du programme de sécurité élargi et soutenir entièrement les ASR dans les régions. Contrairement aux régions, les secteurs n'ont pas d'agents de sécurité ayant la responsabilité de soutenir la mise en œuvre du programme de sécurité.
- En conservant la méthode du système de gestion de la sécurité, le sous-ministre (SM) doit approuver un plan de sécurité ministériel en vertu de la nouvelle PSG. L'ASM s'est engagé à préparer un tel plan en 2010-2011.
- L'ASM a commencé à surveiller la mise en œuvre régionale du programme de sécurité en octobre 2009 en suivant la fréquence des incidents liés à la sécurité, les activités de sensibilisation et les inspections de conformité; il s'agit d'une première étape logique et positive. Étant donné qu'il s'agit principalement de mesures de rendement, la prochaine étape consistera à accroître l'attention portée sur l'efficacité des activités de sécurité et à suivre l'atténuation des écarts connus et des expositions au risque.
- Une plus grande présence de l'ASM est requise dans les régions afin de guider et soutenir les ASR et les DGR dans l'amélioration de leurs programmes de sécurité et la sensibilisation aux exigences de sécurité.
- La sensibilisation aux responsabilités liées à la sécurité chez les employés d'AINC dans les régions et le secteur visités est habituellement faible, particulièrement celle qui touche aux exigences de protection des renseignements. Au cours de la dernière année, l'ASM a consacré des efforts considérables à la sensibilisation à la sécurité dans les secteurs de l'AC; par contre, les efforts consacrés aux régions ont été limités.
- Les contrôles de protection des renseignements, visant à s'assurer que les documents critiques sur le plan de la sûreté sont correctement identifiés, manipulés et sécurisés dans des formats de stockage appropriés, ne sont pas efficaces.
- Dans le seul secteur visé par la vérification, les contrôles permettant de s'assurer que les contrats contiennent des clauses de sécurité appropriées et que les entrepreneurs ont obtenu les autorisations de sécurité avant de commencer leurs tâches, ne sont pas efficaces.
Recommandations
Notre rapport de vérification fournit un certain nombre de recommandations visant à aborder les résultats de la vérification.
- L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les responsabilités et les rôles existants qui incombent à l'ASM, aux SMA, aux DGR en matière de sécurité, et les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
- L'ASM devrait développer davantage les procédures et les directives afin de soutenir la mise en œuvre du programme de sécurité ministérielle et les diffuser dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité, et directives sur la manière d'établir et de maintenir des zones de sécurité physique).
- Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.
- AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
- L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.
- L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des ERM, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun, et effectuer des visites annuelles sur place afin de soutenir les intervenants en sécurité dans les régions et les secteurs).
- L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que des mesures de sécurité lors des passations de marché.
- L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences de sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel des mesures de sécurité de la fonction de passation de marché, est requis afin de s'assurer que les agents des contrats ont reçu une formation suffisante et examinent et approuvent les exigences ainsi que les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la sécurité lors des passation de marché et des rapports est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère.
1. Énoncé de conformité
Nous avons réalisé une vérification du programme de sécurité tel qu'il est géré par la directrice générale de la Direction générale des services des ressources humaines et du milieu de travail (DGRHMT) et l'agent de sécurité ministériel (ASM). La vérification vise à obtenir l'assurance que :
- le programme de sécurité du Ministère est conforme à la Politique sur la sécurité du gouvernement (PSG);
- des ressources suffisantes et appropriées sont déployées afin de soutenir un programme de sécurité efficace, à l'échelle régionale et nationale;
- les recommandations tirées de la vérification du programme de sécurité de 2005 ont été entièrement abordées et des mesures d'atténuation ont été mises en œuvre.
La vérification a été mené en conformité avec les exigences de la Politique sur la vérification interne du Conseil du Trésor (CT), et en respectant les Normes internationales pour la pratique professionnnelle de l'audit interne de l'Institut des vérificateurs internes (IVI).
La vérification a permis d'évaluer les contrôles du programme en les comparant avec les critères d'évaluation élaborés à partir des exigences soulignées dans la PSG, la Directive sur la gestion de la sécurité ministérielle (DGSM), la Norme de sécurité relative à l'organisation et l'administration, la Norme de sécurité et de gestion des marchés et la Norme opérationnelle sur la sécurité matérielle.
Selon mon jugement professionnel à titre de dirigeant principal de la vérification et de l'évaluation, des procédures de vérifications appropriées et suffisantes ont été menées et des preuves ont été recueillies pour corroborer l'exactitude des conclusions tirées, qui sont contenues dans ce rapport. Les conclusions sont fondées sur une comparaison des situations telles qu'elles existaient au moment de la vérification avec les critères de vérification. Il faut noter qu'elles s'appliquent seulement aux domaines examinés et aux régions et aux secteurs visités.
2. Introduction
La plus récente vérification du programme de sécurité d'AINC a été achevée en 2005. Une mission de vérification de suivi a été ajouté au Plan de vérification axé sur le risque d'AINC de 2010-2011, mais elle a été devancé en 2009-2010 à la demande du DG de la DGSRHMT et de l'ASM. Il a été convenu d'un commun accord que le fait de devancer le moment de la vérification était approprié, après avoir appris que l'ASM se préparait à élaborer un plan pour aborder les nouvelles exigences de la PSG, qui prenait effet en juillet 2009.
2.1 Politique sur la sécurité du gouvernement
Le programme de sécurité d'AINC est gouverné par la Politique sur la sécurité du gouvernement (PSG). Cette dernière remplace la Politique sur la sécurité du gouvernement (2002) et la Politique de gestion de l'Infrastructure à clé publique au gouvernement du Canada (2004), et elle présente une liste d'exigences de base en matière de sécurité à laquelle tous les ministères doivent se conformer afin de soutenir la protection des employés et des actifs et d'assurer la continuité des services. Particulièrement, la PSG exige que :
- la gestion de la sécurité soit une partie définie et intégrante de la gouvernance, des programmes et des services ministériels;
- les ministères adoptent une approche systématique et uniforme dans la planification, la réalisation et la supervision des activités de sécurité;
- des mesures de contrôle minimales soient en place dans les ministères pour appuyer l'interopérabilité et l'échange d'information;
- une gestion active des menaces, des vulnérabilités et des incidents appuie la prestation de services aux Canadiens et les activités du gouvernement;
- les activités de gestion de la sécurité dans un ministère ne fassent pas courir un risque accru à d'autres ministères ou à l'ensemble du gouvernement.
La PSG comprend l'obligation pour les ministères de nommer un ASM afin d'établir et de diriger un programme de sécurité; l'ASM sera aussi responsable d'assurer la mise en œuvre des exigences de la politique et la coordination de toutes les fonctions de la politique. Le passage d'une méthode de conformité de sécurité normative à une méthode par cadre de gestion est l'un des changements clés de la politique.
2.2 Historique du programme de sécurité au sein d'AINC
La vérification du programme de sécurité de 2005 a permis de découvrir des écarts importants dans le programme de sécurité d'AINC. Les politiques étaient désuètes, les rôles et les responsabilités n'étaient pas clairs, la communication entre l'AC et les régions était mauvaise et le degré de mise en œuvre du programme de sécurité variait d'une région à l'autre. En outre, il n'y avait aucun programme de sensibilisation à la sécurité en place; la sensibilisation à la sécurité des employés était déficiente, particulièrement en ce qui concerne la protection des renseignements, et le personnel affecté à la sécurité n'effectuait pas de surveillance ou de validation périodique des contrats, ni des contrôles en conformité avec la politique.
L'actuelle DG de la DGSRHMT a été nommée en 2007, et elle remplissait aussi le rôle d'ASM. Peu de temps après sa nomination, elle en a conclu que le programme de sécurité d'AINC était sous-financé et a reconnu le besoin d'avoir un ASM à temps plein. Conséquemment, le poste de directeur de la DSSST a été créé et doté en juin 2008 et on lui a assigné le rôle d'ASM.
Une fois nommé, le nouvel ASM s'est engagé à examiner les résultats de la vérification de 2005 qui n'avaient pas encore été abordés et à renforcer le programme de sécurité :
- en présentant une politique de sécurité et un cadre de gestion de la sécurité au sous-ministre afin d'obtenir son approbation;
- en augmentant la visibilité de la fonction de sécurité en sensibilisant de manière proactive la haute direction des régions et des secteurs;
- en faisant preuve de leadership pour la mise en œuvre régionale en engageant les ASR dans des communications courantes et officielles;
- en mettant en œuvre un projet pilote de coordonnateur de la sécurité sectorielle (CSS) dans cinq secteurs;
- en étendant de manière considérable les activités de sensibilisation à la sécurité à l'AC, particulièrement à l'aide de séances de formation accrues axées sur la sensibilisation, et données par le personnel de l'ASM.
Afin de renforcer davantage le programme de sécurité ministériel, le DG de la DGSRHMT a demandé à l'ASM de préparer un plan de sécurité afin d'identifier et de prioriser les activités de sécurité pour les trois prochaines années, et d'étudier les possibilités d'améliorer davantage la formation et la sensibilisation en matière de sécurité sans avoir à ajouter d'autres ressources à l'organisation de la sécurité.
2.3 Organisation de la sécurité d'AINC
À AINC, la responsabilité des fonctions de la politique sur la sécurité relève de deux unités organisationnelles :
- la Division de la sécurité et de la santé et sécurité au travail (DSSST) de la DGSRHMT;
- la Division de la sécurité des TI (DSTI) du Secteur du dirigeant principal des finances (DPF), responsable de la sécurité des TI et de la planification de la continuité des activités (PCA).
Le rôle d'ASM est attribué au directeur de la DSSST, et il a deux unités en charge des fonctions de sécurité : les services de sécurité du personnel, des contrats et de la sensibilisation à la sécurité et les services des opérations et de la sécurité matérielle. Une troisième unité est responsable, quant à elle, de la santé et de la sécurité du travail. L'ASM relève du sous-ministre (SM), même s'il rend compte de facon courante au DG de la DGSRHMT. Le chef de la sécurité ministérielle (DSTI) relève de l'ASM sur les questions touchant la sécurité.
Le Ministère comprend aussi d'autres ressources en matière de sécurité à temps partiel : les agents de sécurité régionaux (ASR) et les agents de sécurité régionaux adjoints (ASRA) affectés aux dix (10) bureaux régionaux du Ministère, au Secrétariat d'adjudication et au secteur du Ministère s'occupant du pétrole et du gaz des Premières nations. Les ASR et les ASRA sont responsables de l'exécution des activités liées à la sécurité dans les régions, et le financement de leurs salaires et des autres coûts est une responsabilité régionale. Les ASR sont habituellement embauchés dans des postes de services généraux dans les régions d'AINC, et ils ont d'autres rôles à temps plein. En ce qui concerne leurs responsabilités en matière de sécurité, on s'attend à ce que les ASR relèvent de l'ASM. Les secteurs d'AINC, principalement situés au sein de la région de la capitale nationale (RCN), n'ont pas à nommer ni à financer les agents de sécurité; il incombe au personnel de la DSSST de remplir ces rôles.
À la suite de la recommandation de l'ASM, cinq secteurs ont récemment nommé des coordonnateurs de la sécurité sectorielle (CSS); il s'agit d'un projet pilote visant à aider l'exécution des activités de manière sécuritaire dans leur secteur respectif. Ainsi, les CSS ont très peu participé à la mise en œuvre du programme de sécurité, ils n'ont agi qu'à titre de liaison entre le personnel de la DSSST et le secteur. Le personnel de la DSSST demeure responsable de la prestation de tous les services liés à la sécurité aux secteurs de l'AC.
L'organisation de la sécurité d'AINC est décrite dans la Figure 1. Les relations fonctionnelles sont représentées par les lignes pointillées.
Figure 1 – Organisation de la sécurité d'AINC
![Figure 1 - Organisation de la sécurité d'AINC](/DAM/DAM-CIRNAC-RCAANC/DAM-AEV/STAGING/images-images/aev_pubs_au_spa_f1_1321546673455_fra.jpg)
La figure nº1 représente un organigramme qui décrit les rapports hiérarchiques de tous les postes impliqués dans le programme de sécurité du ministère. Chaque poste dans l'organigramme est représenté par une zone de texte qui inclut et donne de l'information sur le titre du poste, l'unité organisationnelle, et lorsqu'applicable, le nombre de postes reliés. Les traits pleins sont utilisés pour identifier les liens hiérarchiques directs, tandis que les traits en pointillés représentent les relations fonctionnelles.
Le sous-ministre occupe le poste le plus élevé de l'organigramme, et il est responsable en bout de ligne de la mise en place du programme de sécurité du ministère. La directrice générale des services des ressources humaines et du milieu de travail (DGSRHMT), qui supervise la division de la sureté et de la santé et sécurité au travail (DSSST), rend directement compte au sous-ministre.
Le poste suivant dans l'organigramme est tenu par le directeur de la DSSST qui est aussi nommé agent de sécurité ministériel. L'agent de sécurité ministériel (ASM) rend directement compte à la DGSRHMT, qui agit aussi à titre d'agent de sécurité ministériel adjoint. Bien que l'ASM rende compte directement à la DGSRHMT, il peut se rapporter aussi au sous-ministre le cas échéant.
Relevant du directeur de la DSST, deux unités sont responsables des fonctions de sécurité - services de sécurité du personnel, contrat et sensibilisation et services des opérations et de la sécurité matérielle – une troisième unité est responsable des services de santé et sécurité au travail. Ces trois unités fonctionnelles relèvent directement du directeur de la DSSST.
L'unité des services des opérations et de la sécurité matérielle qui est dirigée par la chef des services des opérations et de la sécurité matérielle, comprend 4 postes permanents, 5 commissionnaires d'AINC et 10 commissionnaires de Travaux Publics et Services Gouvernementaux Canada qui rendent compte d'un point de vue fonctionnel à la chef de l'unité.
L'unité des services de sécurité du personnel, contrat et sensibilisation qui est dirigée par la chef des services de sécurité du personnel, contrat et sensibilisation, comprend 8 postes, dont un est toujours vacant, et rendent compte directement à la chef de l'unité.
L'unité de santé et sécurité au travail est dirigée par la gestionnaire des services de santé et sécurité au travail. Cette unité comprend 2 postes qui rendent directement compte à la gestionnaire.
En plus des ces liens hiérarchiques directs, le directeur de la DSSST, en tant qu'ASM, reçoit également de l'information des personnes suivantes qui se rapportent à lui d'un point de vue fonctionnel : le coordonnateur de la sécurité des technologies de l'information (STI), le coordonnateur de la planification de la continuité des opérations (PCO), le coordonnateur de la gestion de l'information (GI), le coordonnateur de l'accès à l'information et protection des renseignements personnels (AIPRP); 5 coordonnateurs localisés dans différents secteurs et directions générales des administrations centrales; et quatorze agents de sécurité régionale, dont dix qui supervisent directement des agents de sécurité régional adjoint.
3. Objectifs et portée de la vérification
Les objectifs de la vérification consistaient à obtenir l'assurance que :
- le programme de sécurité d'AINC est conforme à la PSG;
- des ressources suffisantes et appropriées sont déployées afin de soutenir un programme de sécurité efficace, à l'échelle régionale et nationale;
- les recommandations tirées de la vérification du programme de sécurité de 2005 ont été entièrement abordées et des mesures d'atténuation ont été mises en œuvre.
La vérification a permis d'examiner la pertinence (conception) et l'efficacité du programme de sécurité et des contrôles de gestion du Ministère. Cela permet de donner l'assurance qu'AINC est conforme à la PSG, et que les questions clés en matière de sécurité sont identifiées et rapportées afin de prendre des décisions appropriées et en temps opportun.
Le travail de vérification incluait l'évaluation du Programme de sécurité à livrer un programme en conformité avec les lois applicables et la structure organisationnelle de la fonction sécurité, et également conforme aux cadres de gouvernance et aux rôles et responsabilités, tant d'un point de vue régional que national.
La portée de la vérification comprenait toutes les fonctions de sécurité (sauf la PCA et la sécurité des TI), d'un certain nombre de régions déterminées et d'un secteur. La sécurité des TI et les fonctions de PCA du Ministère n'ont pas été soumises à la vérification, à l'exception de leur cadre de gouvernance et des liens avec le programme de sécurité. Ces fonctions ont été laissées de côté, car elles sont sous la responsabilité de la DSTI et le travail d'assurance dans ces domaines est planifié (vérification de la PCA) ou a été mené récemment (vérification de la GSTI).
4. Démarche et méthodologie
Notre vérification a été menée par la firme Orbis Risk Consulting en conformité avec les exigences de la Politique sur la vérification interne du CT et en respectant les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI). Des procédures de vérifications appropriées et suffisantes ont été menées et des preuves ont été recueillies pour corroborer l'exactitude des opinions exprimées et contenues dans ce rapport.
Des critères d'évaluation ont été élaboré à partir des exigences soulignées dans la PSG, la DGSM, la Norme de sécurité relative à l'organisation et l'administration, la Norme de sécurité et de gestion des marchés et la Norme opérationnelle sur la sécurité matérielle. Ces critères ont servi de fondements pour élaborer une méthode de vérification et un programme de vérification détaillé pour accomplir la phase d'exécution.
Au cours de l'étape de la planification, des entrevues ont été menées auprès du personnel de sécurité de l'AC d'AINC et des ASR provenant de cinq bureaux régionaux. En outre, on a examiné et analysé la documentation du programme. Ce travail a été accompli afin de soutenir le processus d'évaluation préliminaire du risque. La première étape du processus a permis de déterminer l'importance de chaque activité de contrôle (en relation avec chaque critère de vérification), tout en tenant compte à la fois du niveau de ressources affectées à l'activité et de sa contribution à un système de contrôle efficace. La deuxième étape a permis d'évaluer le risque résiduel associé à chaque activité de contrôle. Une note en matière de risque a ensuite été attribuée à chaque activité de contrôle et elle a servi à confirmer son inclusion dans la vérification et à déterminer les procédures de vérification à accomplir au cours de la phase d'exécution. Les étapes de la planification et de l'évaluation du risque ont pris fin avec la réalisation d'une évaluation détaillée du risque, d'une stratégie de vérification et d'un programme de vérification.
La phase d'exécution de la vérification comprenait la réalisation des procédures de vérification de bureaux régionaux et sectoriels, ainsi que de la DSSST. Particulièrement, les bureaux régionaux du Yukon, de l'Alberta, de l'Ontario (Toronto et Thunder Bay) et du Québec ont été visités, ainsi que les bureaux du Secteur des traités et du gouvernement autochtone de la RCN. Nous avons pris en considération la taille de l'organisation, la portée des activités et la maturité des programmes de sécurité pour choisir les quatre régions et le secteur. Notre vérification garantit uniquement la conformité et l'efficacité des contrôles pour les régions et le secteur s'inscrivant dans la portée et pour les responsabilités de la DSSST.
Les principales procédures de vérification réalisées par l'équipe de vérification comprenaient :
- Examen et analyse des documents : nous avons examiné les documents reliés afin d'évaluer si le programme de sécurité a été mis en œuvre en conformité avec les exigences de la PSG. L'examen de la documentation comprenait les éléments suivants (sans être restrictif) :les Politiques et Programmes; les directives, normes, procédures et politiques en matière de sécurité ministérielle; la documentation sur la sensibilisation à la sécurité et les dossiers de participation; les classes de sécurité et les guides de désignation; les manuels de sécurité des gestionnaires; le mandat des ASM; les listes de présence, le matériel de formation et les plans de formation en matière de sécurité; les procès-verbaux des comités; les rapports d'incident et d'enquête sur la sécurité; les évaluations des,menaces et des risques; les rapports sur les activités et les opérations en matière de sécurité, notamment les ratissages et les inspections; les descriptions de tâches pour les postes reliés à la sécurité; les organigrammes; les protocoles d'ententes, les accords de services et les contrats pour la prestation de services reliés à la sécurité.
- Examen des opérations : Nous avons examiné certaines opérations dans les régions et le secteur visés afin de s'assurer :
- que les cotes (autorisations) de sécurité ont été données avant que l'employé commence l'accomplissement de ses tâches, que les exigences en matière de cotes de sécurité étaient proportionnées à la nature du poste et que les employés recevaient une séance d'information sur la sécurité par un intervenant en sécurité;
- que les listes de vérification des exigences de sécurité (LVES) étaient bien complétées pour les contrats comportant des exigences en matière de sécurité, que ces listes semblaient raisonnables et que les obligations en matière de sécurité étaient incluses comme clauses contractuelles dans le contrat;
- que les combinaisons des rangements sécurisés étaient changées en conformité avec les exigences de la politique et que les personnes détenant ces combinaisons satisfaisaient à toutes les exigences pour accéder aux renseignements contenus à l'intérieur.
- Analyse de la capacité en matière de ressources : Un examen de l'organisation de la sécurité a été mené afin d'évaluer le degré de ressources consacrées à la fonction de sécurité en comparaison avec celles de ministères similaires. Une évaluation des compétences des ressources a aussi été réalisée afin d'évaluer si des ressources suffisantes et appropriées avaient été affectées à la fonction de sécurité.
- Observation du rendement des tâches : Nous avons examiné les procédures des régions et du secteur visités afin de vérifier la mise en œuvre des contrôles clés de sécurité matérielle dans les installations, en conformité avec les exigences de la politique. Nous avons également posé des questions aux employés afin d'évaluer la compréhension de leur obligations relativement aux questions de sécurité.
- Entrevues : Nous avons mené des entrevues avec la direction et le personnel de la DSSST, des régions et du secteur visités. Nous avons élaboré des guides d'entrevue en prenant en considération l'objectif de la vérification et les critères de vérification.
- Sondage : Nous avions planifié un sondage auprès des employés d'AINC afin d'évaluer leur sensibilisation générale aux activités, procédures et politiques en matière de sécurité, sans toutefois le faire passer étant donné que des données de vérification suffisantes avaient été obtenues au cours des entrevues et des revues de programme.
Le travail de vérification sur le terrain a été mené de janvier à mars 2010.
5. Conclusions
La vérification a permis de découvrir que le programme de sécurité d'AINC a besoin d'être amélioré afin de satisfaire aux exigences de la nouvelle PSG (juillet 2009). Même si l'on a observé une progression stable au cours des dernières années en ce qui concerne la mise en œuvre des recommandations de la vérification du programme de sécurité de 2005 et au niveau de l'étendue et l'efficacité des activités de sécurité menées par l'AC, des écarts importants demeurent. Parmi les faiblesses du programme, on retrouve des rôles et des responsabilités qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation relative à la sécurité chez les employés régionaux, des contrôles de protection des renseignements inadéquats à l'AC et dans les régions, une sécurité inadéquate et inefficace dans les processus de passation de marché et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM. Les faiblesses observées indiquent un manque d'attention et de ressources affectées à la sécurité par les régions et les secteurs, et le besoin pour l'ASM de recentrer les ressources au niveau des secteurs présentant un risque élevé afin de mieux soutenir les régions et surveiller l'efficacité du programme de sécurité.
6. Observations et recommandations
Ces observations tirées de notre vérification sont présentées en trois sections. La première aborde les observations de la vérification à l'échelle du programme, y compris la conception, la mise en œuvre et la surveillance du programme. La deuxième aborde les observations précises de la vérification liées à la conformité avec la PSG, y compris la sensibilisation à la sécurité, la protection des renseignements, la protection des employés et des actifs, la vérification de sécurité du personnel, la sécurité dans la passation de contrat/marché et les enquêtes administratives. La troisième aborde la conformité d'AINC aux recommandations de la vérification du programme de sécurité de 2005.
6.1 Programme de gestion de la sécurité
6.1.1 Cadre de gestion de la sécurité
Les exigences et les procédures de la politique en matière de sécurité soulignées dans le Cadre de gestion de la sécurité (CGS) d'AINC sont généralement satisfaisantes et harmonisées avec les exigences de la PSG, même s'il reste du travail à accomplir afin de s'assurer que les responsabilités et les rôles à l'échelle de la politique sont clairs et les normes opérationnelles sont suffisantes.
La PSG donne la responsabilité aux administrateurs généraux d'établir un programme de sécurité pour la coordination et la gestion des activités de sécurité ministérielles. Ce programme de sécurité doit comprendre une structure de gouvernance avec des responsabilités claires et des objectifs définis harmonisés avec les plans, les priorités et les politiques du gouvernement et du Ministère.
Observations clés de la vérification de 2005
- Les responsabilités en matière de sécurité doivent être clarifiées.
- Le manuel de sécurité d'AINC ne suit pas le rythme des changements de politique du gouvernement.
- Des écarts subsistent dans la politique de sécurité ministérielle et les procédures de signalement d'incident.
Le CGS d'AINC a été approuvé par le SM en juin 2008; il établissait le cadre de surveillance, les responsabilités, les rôles et les objectifs de la politique de sécurité du Ministère. La vérification a montré que le CGS et les exigences de la politique qu'il contient sont généralement adéquats pour un document de sécurité de niveau élevé et bien harmonisé avec les exigences de la PSG et des plans, priorités et objectifs du Ministère. Il s'agit aussi d'un document plus complet et compréhensible que celui que l'on retrouve habituellement dans les autres ministères sociaux et culturels.
Par contre, notre vérification a montré que les rôles et responsabilités des gestionnaires, du personnel, des ASR et des CSS n'étaient pas clairement compris ou définis dans la politique de sécurité actuelle d'AINC. Généralement, les employés trouvaient que le document du CGS était un mélange confus de politiques, de normes et de procédures.
Sous la direction du nouvel ASM, le personnel et la direction de la DSSST et de certaines régions ont fait un progrès appréciable au cours des deux dernières années dans le développement et la communication des procédures de sécurité. Par contre, un effort supplémentaire est requis pour s'assurer que toutes les directives, les normes et les procédures sont complètes et diffusées dans toute l'organisation, particulièrement celles qui touche le verrouillage à la fin de la journée (politique du « bureau propre »), les directives concernant les éléments à vérifier lors d'un ratissage de sécurité, le matériel de formation pour l'exécution d'activités de sensibilisation à la sécurité et l'établissement et l'entretien des zones de sécurité physique.
Recommandations :
- L'ASM devrait mettre à jour la politique de sécurité ministérielle concernant les rôles et responsabilités en matière de sécurité qui incombent à l'ASM, aux SMA, aux DGR, afin de les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
- L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité et directives sur la manière d'établir et de maintenir des zones de sécurité physique).
6.1.2 ASM et l'organisation de la sécurité
Le poste de l'ASM est bien positionné au sein de l'organisation pour remplir toutes les responsabilités de sécurité, et des mécanismes suffisants sont en place pour s'assurer que les cadres supérieurs sont au courant des questions relativesà la sécurité. Par contre, notre vérification a révélé que les régions ne rendent pas compte à l'ASM en ce qui a trait à la mise en œuvre des programmes de sécurité, et que les secteurs n'ont pas d'agents de sécurité nommés afin de soutenir leurs obligations en matière de sécurité.
Observations clés de la vérification de 2005
- La communication entre l'AC et les régions est déficiente, car il n'y a pas de cadre efficace en place.
- La mise en œuvre des normes de sécurité ministérielle est souvent non uniforme.
- Il n'y a pas de budget centralisé de formation pour tout le personnel de sécurité, et les budgets de formation ne tiennent pas correctement compte des exigences en matière de formation.
La PSG prévoit que l'ASM relève de l'administrateur général ou du comité de direction ministériel pour la gestion du programme de sécurité ministériel. Notre vérification a révélé que le poste de l'ASM est bien positionné dans l'organisation pour remplir toutes les responsabilités en matière de sécurité et pour conseiller l'organisation en matière de sécurité. Le cadre supérieur est tenu au courant des questions de sécurité à l'aide de rapports fréquents présentés au Comité de gestion des ressources humaines (CGRH) par l'ASM. L'ASM relève aussi directement du SM au besoin, tandis que le DG de la DGSRHMT présente en général des rapports au SM sur les questions courantes.
Au sein d'AINC, les fonctions et les responsabilités de la politique sur la sécurité incombent à deux unités : la DSTI, responsable de la sécurité des TI et du PCA, et la DSSST, dont le directeur joue le rôle d'ASM. La DSSST comprend deux unités responsables des fonctions de sécurité (les services de sécurité du personnel, des contrats et de la sensibilisation et les services des opérations et de la sécurité matérielle), et une troisième est responsable de la santé et sécurité au travail. Le chef de la sécurité ministérielle (DSTI) relève de l'ASM pour toutes les questions liées à la sécurité. L'ASM relève directement du DG de la DGSRHMT, qui agit aussi à titre d'agent de sécurité du Ministère adjoint (ASMA).
Même si ce partage des responsabilités de sécurité est courant dans les autres ministères, il ajoute de la complexité en ce qui a trait à la gestion des programmes de sécurité, étant donné que les efforts doivent être coordonnés entre les deux groupes. Une bonne communication régulière et continue est requise entre les deux divisions afin d'assurer le succès de la mise en œuvre du programme de sécurité. Notre vérification ne comprenait pas une évaluation de la sécurité des TI et des contrôles de PCA, mais elle a examiné la gouvernance et la communication entre ces fonctions et l'ASM. La vérification a révélé que la communication est efficace notamment grâce au comité de sécurité ministériel, dont le mandat consiste à conseiller, à orienter et formuler des recommandations en ce qui a trait à la sécurité ministérielle, et à s'assurer que le comité de direction ministériel gère correctement toutes les questions relatives à la sécurité du Ministère. Le comité de sécurité ministériel est présidé par l'ASM; il se réunit tous les mois et est composé de membres qui gèrent toute l'organisation de la sécurité afin de faciliter la mise en œuvre du programme de sécurité.
Agents de sécurité régionaux (ASR)
Les ASR et les ASRA soutiennent l'ASM dans la mise en œuvre du programme de sécurité; le financement de leur poste est assuré par les régions et ils ont habituellement un poste à temps plein en dehors de l'organisation de la sécurité, le plus souvent des fonctions de services régionaux.. Bien qu'ils relèvent de l'ASM, les ASR doivent rendre compte principalement à l'équipe de gestion régionale. En conséquence, les questions de sécurité ne sont habituellement pas traitées proactivement, mais seulement lorsque la charge de travail le permet ou lorsque des questions urgentes sont soulevées. Notre vérification a révélé que l'ASM n'a pas assez d'influence sur le niveau d'effort à consacrer au programme de sécurité dans les régions. Plusieurs fonctions de sécurité clés indiquées dans le CGS ne sont pas accomplies de manière uniforme par tous les ASR et cela se traduit par une mise en œuvre régionale inégale du programme de sécurité (certaines régions ont mis en œuvre des éléments d'un programme de sécurité de haut niveau, tandis que d'autres ont fait peu de progrès). Voici quelques exemples de fonctions de sécurité effectuées de manière satisfaisante dans certaines régions, mais insatisfaisante dans d'autres : activités de sensibilisation à la sécurité, tenue de ratissages de sécurité mensuels, présentation de rapports sur la mise en œuvre du programme de sécurité à l'ASM, contrôle des clés et des combinaisons pour un rangement sécurisé et autres activités de sécurité préventive.
Mise en œuvre de la sécurité dans les secteurs
La mise en œuvre du programme de sécurité au sein des secteurs est faible. Nous croyons que cela provient du fait que les secteurs ne portent pas une grande attention à la sécurité, qu'ils n'ont pas d'agents de sécurité nommés pour accomplir les tâches semblables à celles des ASR dans les régions et que la DSSST est trop occupée par la mise en œuvre des activités de sécurité pour superviser et conseiller les ASM de manière appropriée. Même si certains secteurs ont nommé des CSS, leur rôle n'est pas défini et leur participation à la mise en œuvre du programme de sécurité est minime.
L'absence d'agent de sécurité de secteur a eu un effet néfaste sur le programme de sécurité, étant donné qu'une partie importante des ressources de la fonction de sécurité ministérielle ont été consacrées à l'accomplissement de ces tâches. Cela a laissé peu de temps à la DSSST pour élaborer et surveiller la mise en œuvre du programme de sécurité et donner du soutien aux régions et aux secteurs.
La meilleure pratique au sein des ministères fédéraux consiste à ce que toutes les unités organisationnelles nomment des agents de sécurité, en harmonie avec le principe de sécurité d'un contrôle centralisé et d'une exécution décentralisée.
Formation des intervenants en sécurité
Notre vérification a révélé que les ressources consacrées à la formation des intervenants en sécurité sont insuffisantes et que l'ASM ne dispose pas d'outil pour évaluer officiellement les besoins en formation de sécurité des ASR afin que des plans de formation individuels puissent être élaborés.
L'ASM a un budget de 5 000 $ pour satisfaire les besoins en formation de 15 employés, soit moins de 350$ en moyenne par employé. Bien que la formation sur la sécurité offerte par AINC ait été considérée insuffisante, deux tiers du personnel de l'ASM interviewé a indiqué avoir reçu une formation adéquate dans d'autres ministères avant de se joindre à AINC, et se considèrent donc suffisamment formés pour accomplir les tâches au niveau requis. Par contre, notre vérification a révélé que deux tiers des intervenants en sécurité régionaux n'étaient pas assez formés pour accomplir leurs tâches selon le niveau requis. L'ASM, au courant de ce problème, aborde la question en tenant des séances de formation annuelles d'une semaine pour les ASR à l'AC au mois de mars de chaque année, il tient des appels-conférences avec les ASR chaque mois afin d'améliorer les communications et la direction des tâches liées à la sécurité et il offre sans frais des cours de formation de la GRC.
Ressources pour l'organisation de la sécurité
La nouvelle PSG exige une planification annuelle afin d'établir les objectifs et d'affecter les ressources en se basant sur les besoins uniques de chaque ministère. Notre vérification comprend l'examen de ces ressources et de leur affectation appropriée au programme de sécurité d'AINC. Dans le cadre de cet examen, nous avons analysé les ressources et les niveaux du personnel de sécurité d'autres ministères comparables en terme d'exigences en sécurité et de programme. Notre vérification n'a pas permis de tirer une conclusion sur la pertinence des ressources en raison du manque de renseignements importants et du fait que de nombreux autres ministères ne sont pas encore en conformité avec les exigences de la PSG.
Même si nous ne sommes pas en mesure de fournir une conclusion de vérification sur la pertinence des ressources, notre examen a permis de déterminer des domaines qui devraient retenir l'attention de la direction:
- les ressources de la DSSST sont consacrées à examiner toutes les LVES avec les exigences en matière de sécurité et les modalités de sécurité des contrats afin de compenser les contrôles de sécurité inadéquats dans la passation de marché au sein des secteurs du DPF, des secteurs et des régions;
- une formation et du matériel de formation inadéquats pour le personnel des contrats sur la sécurité dans les exigences de passation de marché;
- une formation inadéquate offerte aux intervenants en sécurité;
- un sous-financement des ressources de sécurité dans les secteurs;
- un sous-financement dans certaines régions du rôle d'ASR.
Recommandations :
3. Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.
4. AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
Observations clés de la vérification de 2005
- La planification de la sécurité est limitée à un plan de travail annuel établi par la sécurité de l'AC pour le personnel de la Division des mesures de sécurité et d'urgence et à un rapport national sur l'activité de sécurité qui fait une projection de cette activité dans l'avenir.
- Certaines régions ne participent pas entièrement; ainsi, le caractère exhaustif du rapport national annuel est douteux.
- La politique d'AINC et le cadre de planification ont été considérés comme inefficaces.
6.1.3 Planification de la sécurité
Aucun plan de sécurité ministériel officiel n'existe, mais on en planifie un pour 2010-2011.
La nouvelle PSG exige que le SM approuve un plan de sécurité ministériel qui détaille les décisions en ce qui a trait à la gestion des risques de la sécurité et qui présente les stratégies, les objectifs, les buts, les priorités et les échéances concernant l'amélioration de la sécurité du Ministère et qui soutient sa mise en œuvre. Étant donné que cette exigence n'est entrée en vigueur qu'en juillet 2009, AINC n'a pas encore de plan ministériel officiel sur le plan de la sécurité.
L'ASM fait un rapport de toutes les questions de sécurité ministérielle au CGRH et il établit un plan trimestriel des priorités et des activités qui est présenté au DG de la DGSRHMT. Ce plan n'aborde pas suffisamment les écarts entre les programmes de sécurité régionaux. Le mandat du comité de sécurité ministériel indique que la sécurité doit être intégrée au processus de planification stratégique du Ministère. Cependant, la surveillance globale de la mise en œuvre du programme de sécurité dans les régions est minimale, avec peu d'efforts consacrés aux mesures de rendement afin d'évaluer l'efficacité du programme (abordé dans la section 6.1.4). Les risques systémiques relatifs à la sécurité ne sont pas déterminés à l'échelle du Ministère, et la planification non officielle actuelle ne prend pas en considération la totalité du programme de sécurité.
À l'échelle régionale, les risques liés à la sécurité sont abordés au cas par cas. Les ASR présentent des rapports sur les risques émergents liés à la sécurité aux comités régionaux des opérations quand les problèmes surviennent, et les gestionnaires régionaux traitent habituellement les questions qui requièrent une attention immédiate. Cependant, en général les risques liés à la sécurité ne sont pas officiellement priorisés, ni les plans de sécurité annuels préparés par ou pour les régions.
L'ASM et le DG de la DGSRHMT se sont engagés à préparer un plan officiel de sécurité en 2010-2011 et ils souhaitent le baser sur les résultats de cette vérification.
Recommandation :
5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.
Observations clés de la vérification de 2005
- Il n'y a pas d'autorité centrale pour examiner les répercussions sur la sécurité des mesures de changement apportées aux installations, ce qui rend difficile d'évaluer l'exposition d'AINC à un risque à la sécurité des installations globales.
6.1.4 Surveillance du programme de sécurité
L'ASM a élaboré des mesures de rendement afin de surveiller les niveaux d'activités de sécurité dans les régions. Une amélioration est requise pour surveiller l'efficacité du programme de sécurité dans les régions et les secteurs afin de soutenir son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, suivre les problèmes soulevés dans les ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité dans les régions et les secteurs).
La PSG exige que des examens périodiques soient menés afin d'évaluer si le programme de sécurité ministériel est efficace, si les buts, les objectifs stratégiques et les objectifs de contrôle détaillés dans le plan de sécurité ministériel sont atteints et si le plan de sécurité ministériel demeure approprié pour les besoins du Ministère et du gouvernement dans son ensemble.
A partir d'octobre 2009, l'ASM a surveillé la mise en œuvre du programme de sécurité en faisant le suivi de la fréquence des incidents touchant la sécurité, des activités de sensibilisation et des inspections de conformité dans les régions et les secteurs. Cela représente une première étape logique et positive dans l'établissement d'un cadre de supervision et de surveillance. Puisque les mesures de rendement actuelles sont insuffisantes et ne satisfont pas aux exigences de la PSG en ce qui a trait à la surveillance du programme, la prochaine étape consistera à raffiner ces mesures pour se concentrer sur l'évaluation de l'efficacité du programme de sécurité.
Parmi les activités de surveillance actuelles effectuées par l'ASM, on retrouve les suivantes :
- Identifier les EMR réalisées dans les régions et les secteurs; la prochaine étape consistera à suivre les observations et les recommandations des EMR afin de s'assurer qu'elles sont traitées;
- examiner toutes les LVES des contrats de services professionnels et les modalités de sécurité des contrats avant de les signer;
- effectuer des vérifications ponctuelles des LVES et des contrats afin de s'assurer que les exigences de sécurité sont correctement identifiées, les autorisations de sécurité de l'entrepreneur sont faites et les clauses contractuelles requises sont incluses; en raison de la pression liée à la charge de travail, une seule vérification ponctuelle a été effectuée, en novembre 2009; à l'avenir, la DSSST espère les mener chaque mois;
- effectuer les vérifications de sécurité du personnel avant qu'une lettre d'offre soit émise;
- recueillir les rapports d'incident de sécurité de tous les incidents signalés au sein du Ministère (depuis avril 2009);
- ordonner aux ASR de mener des ratissages de sécurité mensuels; notre vérification a révélé que les ratissages ne sont pas menés dans toutes les régions et que le personnel de l'ASM ne fait pas le suivi des écarts identifiés ni de surveillance afin d'assurer une résolution efficace des incidents; les ASR indiquent habituellement ne pas avoir suffisamment de temps pour mener des ratissages mensuels.
L'ASM a rencontré personnellement la plupart des cadres supérieurs des régions et des secteurs et il se déplace à l'occasion dans les régions afin de discuter des questions de sécurité. Cette interaction managériale est importante. Des visites additionnelles sur le terrain du personnel de la DSSST seraient bénéfiques pour soutenir les ASR dans la détermination des risques liés à la sécurité et des écarts dans leur programme de sécurité régional.
Recommandation :
6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs afin de soutenir son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, suivre les problèmes soulevés dans les ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité dans les régions et les secteurs).
6.2 Conformité avec la Politique sur la sécurité du gouvernement
Notre vérification a aussi étudié la conformité à des sections spécifiques de la PSG, y compris la sensibilisation à la sécurité, la protection des renseignements, la protection des employés et des actifs, la vérification de sécurité du personnel, la sécurité dans la passation de contrat et les enquêtes administratives.
Observations clés de la vérification de 2005
- Même si les efforts de communication sont évidents, aucun programme officiel de formation et de sensibilisation à la sécurité n'existe.
- Le manque de pertinence de la sensibilisation et de la formation en sécurité est démontré par un manque de connaissance généralisée de la sécurité au sein d'AINC.
- Il n'y a aucun programme d'orientation obligatoire pour les nouveaux employés qui comprend la sécurité.
6.2.1 Sensibilisation à la sécurité
L'ASM a élaboré du matériel de sensibilisation à la sécurité et a commencé à mettre en œuvre des activités au sein de la RCN; pourtant, la sensibilisation aux responsabilités liées à la sécurité chez les employés d'AINC demeure faible, particulièrement en ce qui a trait à la protection des renseignements. Les niveaux de sensibilisation dans les régions visitées varient de faible à satisfaisant, et ces efforts de sensibilisation résultent principalement des activités initiées par les régions. Les régions visitées n'utilisaient pas le matériel de sensibilisation préparé par la DSSST pour offrir aux employés des séances officielles de sensibilisation à la sécurité.
L'objectif d'un programme de sensibilisation à la sécurité consiste à attirer l'attention des employés sur la confidentialité, l'intégrité et la disponibilité des informations et à encourager la conformité avec toutes les procédures, les normes et les politiques en matière de sécurité. Un programme de sensibiliation efficace est essentiel au succès de n'importe quel programme de sécurité.
L'ASM a fait quelques progrès au cours des deux dernières années dans l'amélioration des niveaux de sensibilisation à la sécurité des employés à l'AC en augmentant de manière importante la fréquence des séances officielles de sensibilisation à la sécurité dans la RCN et en soutenant d'autres aspects du programme de sécurité (p. ex. la semaine de la sensibilisation à la sécurité, des affiches et des courriels périodiques/rappels Express d'AINC). Ce qui n'est pas le cas pour le personnel régional pour lequel très peu de choses ont été faites. Même s'il s'agit d'améliorations importantes et positives, il est clairement ressorti au cours des entrevues et des revues de programme de site que la majorité des employés ne sont toujours pas au courant d'un grand nombre de leurs responsabilités reliées à la sécurité, et qu'un effort durable est nécessaire pour améliorer les niveaux de sensibilisation à la sécurité.
Au total, 56 séances de sensibilisation à la sécurité ont été offertes dans la RCN en 2009, auxquelles 1 029 employés ont participé. À l'inverse, la vérification n'a trouvé aucune preuve d'actions de sensibilisation similaires offertes aux employés des régions visitées, même si les ASR ont affirmé avoir offert des séances brèves de 5 à 10 minutes aux nouveaux employés. En novembre 2009, l'ASM a distribué du matériel de sensibilisation à la sécurité aux ASR avec la directive qu'il pouvait être personnalisé pour être présenté dans chaque région. Les ASR ont indiqué ne pas avoir suffisamment de temps pour le personnaliser et le présenter aux sessions de formation du personnel des régions. En outre, bien que les nouveaux employés reçoivent une brève introduction à la sécurité dans le cadre du programme d'orientation d'AINC, un examen de la documentation de ces sessions a révélé que seul un aperçu de la classification de documents et des procédures de catégorisation était donné. Ainsi, la formation de la sensibilisation à la sécurité des nouveaux employés est incomplète et insuffisante.
Finalement, la vérification a révélé que la participation aux séances de sensibilisation n'est pas obligatoire; ainsi, il n'y a aucun mécanisme en place pour s'assurer que les employés reçoivent une formation suffisante sur la sensibilisation à la sécurité, et ce, sur une base régulière ou continue.
Recommandation :
7. L'ASM devrait élaborer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements et de la sécurité dans les exigences de passation de marché.
6.2.2 Protection des renseignements
Les procédures et les politiques de protection des renseignements ne sont pas mises en œuvre de manière uniforme dans tout le Ministère, et la sensibilisation des employés aux exigences relatives à la protection des renseignements est habituellement faible.
Observations clés de la vérification de 2005
- La désignation, la classification et le contrôle des documents représentent un problème au sein du Ministère.
- Les employés ne comprennent pas les procédures de classification des documents, et la classification n'est pas mise en œuvre de manière uniforme dans tout le Ministère.
Un des énoncés clé de la PSG exige que la protection des renseignements, des actifs et des services ne soit pas compromise. L'ASM a formulé des mesures et des processus de sécurité dans le CGS et dans le Guide de la sécurité pour la désignation et la classication (GSDC) afin de s'assurer de bien protéger les renseignements. Cependant, ces politiques et procédures ne sont pas mises en œuvre de manière uniforme dans tout le Ministère en raison de documents d'orientation fragmentés, incomplets et insuffisamment normatifs; d'une faible sensibilisation à la sécurité des employés et d'une supervision insuffisante de l'ASM.
Les documents d'orientation sont fragmentés et incomplets, et les procédures et politiques de protection des renseignements sont éparpillées à travers le CGS, le GSDC et une affiche sommaire de deux pages, ainsi que dans d'autres documents de procédures et de politiques sur la sécurité du gouvernement du Canada. Des portions du CGS concernant la protection des renseignements sont incomplètes et font référence à d'autres politiques et procédures, ce qui ajoute une complexité supplémentaire aux utilisateurs qui ne sont pas familiers avec leurs obligations en matière de sécurité. Par exemple, l'affiche du GSDC à laquelle les employés font le plus référence indique que les renseignements PROTÉGÉ B, dans les zones opérationnelles, doivent être conservés dans un coffre de sécurité approuvée muni d'un cadenas à combinaison. Aucune description n'est fournie pour définir en quoi consiste un coffre de sécurité approuvé ou un cadenas à combinaison. Le CGS est aussi incomplet dans ce domaine, car il comprend seulement un signet qui indique qu'une annexe sur la sécurité des renseignements sera insérée ultérieurement. La vérification a révélé que la majorité des ASR n'étaient pas au courant de la définition exacte d'un coffre de sécurité approuvé ou un cadenas à combinaison et elle a révélé que des coffres de sécurité inappropriés étaient utilisés dans toutes les régions et le secteur visités.
Une mauvaise observation des politiques de bureau propre représentait aussi un problème dans toutes les régions et le secteur visités. Des renseignements PROTÉGÉ A et PROTÉGÉ B étaient habituellement trouvés sans protection sur des bureaux vacants ou sans surveillance, dans des rangements non verrouillés ou dans des boîtes laissées sur le plancher de zones publiques et opérationnelles. Dans l'un des sites visités, des documents SECRET ont été retrouvés sur des tablettes, dans des armoires non verrouillées, temporairement stockées dans les allées, dans des zones opérationnelles et sur des bureaux sans surveillance. Dans deux régions, des dossiers de RH d'employés (PROTEGÉ A et PROTÉGÉ B) étaient rangés dans des armoires situées dans des zones ou plusieurs personnes circulent. Même si ce type d'armoires utilisées étaient appropriées, elles ont été laissées déverrouillées et sans surveillance pendant la journée, permettant à n'importe qui d'y avoir facilement accès et sans être vu. Dans les deux cas, les ASR et les gestionnaires n'étaient pas au courant que ces endroits d'entreposage étaient inappropriés.
Aucune norme n'est indiquée dans le CGS ou ailleurs sur la manière de transporter, de transmettre ou de détruire des renseignements importants, et on a observé un manque généralisé de sensibilisation chez les employés. Des déchiqueteuses, des contenants pour déchiquetage par des services externes ou des procédures d'aliénation/élimination inappropriés étaient observés dans tous les lieux visités et les ASR n'étaient pas au courant de ce problème de non-conformité.
La vérification a aussi révélé qu'il y avait habituellement une mauvaise pratique dans la gestion du contrôle des clés et des combinaisons dans les régions et le secteur visités. Aucun dossier sur les changements de clés et de combinaisons des coffres de sécurité n'était conservé dans les sites visités, et seulement un site a signalé avoir changé les clés et les combinaisons de manière appropriée tel que requis. Finalement, nous avons relevé que les personnes connaissant les combinaisons ou qui avaient des clés des coffres de sécurité avaient été correctement contrôlées et avaient été autorisées à avoir accès à ces renseignements.
Aucune recommandation précise n'est fournie pour les éléments de cette section, car ils sont abordés dans les recommandations 1 à 7.
6.2.3 Sécurité physique – protection des employés et des actifs
Les contrôles de sécurité physique sont habituellement adéquats dans toutes les régions et le secteur compris dans la portée de notre vérification.
Observations clés de la vérification de 2005
- La sécurité physique générale varie d'un endroit à l'autre. Une méthode normalisée pour mettre en œuvre la sécurité physique dans tout le Ministère permettrait d'améliorer les résultats.
- Ce ne sont pas tous les systèmes et les secteurs à risque qui ont des ERM de préparées et celles qui ont été menées n'ont pas été conservées à jour. Une meilleure direction centrale pour le processus des ERM est requise.
La PSG définit les exigences de base en matière de sécurité physique afin de contrer les menaces aux employés du gouvernement, aux actifs et à la prestation de services et de fournir une protection constante et uniforme au gouvernement du Canada. L'équipe de vérification a effectué des revues de programme dans chaque région et dans le secteur visités afin d'évaluer la conformité aux normes. Bien que les pratiques de sécurité physique varient d'une région à l'autre, globalement, la vérification a révélé que des contrôles de sécurité physique généralement adéquats étaient en place.
Dans tous les sites visités, les employés se sentaient en sécurité, les mesures d'urgence étaient définies et appliquées et des procédures de zonage et des contrôles d'accès adéquats étaient habituellement établis, avec quelques exceptions. Même si des pratiques ou des contrôles non conformes ont été observés dans toutes les régions visitées, aucun n'indiquait un problème systémique. Les exceptions étaient habituellement uniques et elles étaient le résultat d'employés qui contournaient les procédures et les politiques en place, comme le fait de ne pas porter les cartes d'identité de manière visibles, l'entreposage inapproprié des clés des coffres de sécurité et des portes de zones d'accès contrôlé laissées ouvertes ou déverrouillées. Ces infractions indiquaient davantage la faiblesse du programme de sensibilisation à la sécurité et un manque de supervision de la part des ASR, plutôt que des procédures ou des politiques inadéquates.
Toutes les régions visitées avaient mené des EMR récemment dans le cadre du projet de Certificat sécurisé de statut indien (CSSI), qui couvre les principaux bureaux de chaque région. Par contre, les EMR n'étaient pas effectuées pour tous les actifs et toutes les opérations des sites visités, ainsi, le personnel de l'ASM n'était pas en mesure d'évaluer la pertinence des protections de sécurité mises en œuvre. Un examen de toutes les EMR disponibles a révélé que les EMR n'étaient pas disponibles pour près de la moitié des immeubles d'AINC. Tel qu'il est indiqué dans le CGS, les EMR doivent être menées pour tous les actifs et toutes les opérations et mises à jour annuellement. Les normes de sécurité du gouvernement exigent que les ERM soient réalisées ou mises à jour pour tous les actifs et les opérations au moins une fois tous les cinq ans.
Une recommandation spécifique n'est pas donnée pour les observations identifiées dans cette section, car ces observations sont indirectement abordées dans la recommandation 5 (prioriser la réalisation des EMR) et la recommandation 7 (améliorer le programme de sensibilisation à la sécurité).
6.2.4 Vérification de sécurité du personnel
Notre vérification a révélé que la vérification de sécurité des employés est effectuée de manière uniforme avant le commencement des tâches. Par contre, les ASR ne donnent pas de séances d'information sur la sécurité aux employés une fois les autorisations de sécurité accordées ou quand leurs tâches changent.
Observations clés de la vérification de 2005
- On a observé à quelques reprises que des employés avaient commencé leurs tâches avant d'avoir reçu l'autorisation officielle.
- Aucun rapprochement n'a été tenté afin de déterminer si les employés avaient reçu une autorisation adéquate ou si les postes avaient été classés de manière appropriée.
La PSG exige qu'une vérification de sécurité au niveau approprié soit effectuée pour toutes les personnes qui ont accès aux renseignements et aux actifs avant le commencement de leurs tâches. Ce processus demande habituellement la vérification des références, des qualifications, d'un éventuel dossier criminel et, le cas échéant, de crédit. À AINC, la vérification de sécurité des employés et des entrepreneurs est centralisée au niveau de la DSSST. Les ASR ont la responsabilité de soumettre les demandes de vérification de sécurité à la DSSST et la coordination de collecte de renseignements à l'échelle régionale.
L'équipe de vérification a été avisée par le personnel de sécurité que, dans le passé, certaines personnes avaient commencé leurs tâches sans avoir fait l'objet d'une vérification appropriée. En 2009, l'ASM a mis en œuvre un processus exigeant que la vérification de sécurité soit en place avant qu'une lettre d'offre soit transmise. Dans le cadre de ce processus, le service des RH a obtenu un accès au système de vérification de sécurité afin de s'assurer que les autorisations de sécurité ont été accordées avant d'émettre les lettres d'offre. La vérification a permis de réaliser que ce nouveau processus fonctionnait efficacement.
Le deuxième élément de la vérification consistait à savoir si les niveaux de sécurité des postes désignés étaient appropriés pra rapport à la nature du travail et des renseignements manipulés. Globalement, les niveaux de sécurité étaient appropriés. Par contre, à l'un des sites visités, à de multiples occasions nous avons observé que le niveau désigné de sécurité des postes était insuffisant par rapport à la nature des renseignements et des actifs exigeants une protection. Dans ces cas-là, le personnel en poste était vérifié en vertu d'un niveau de sécurité approprié plus élevé ou les gestionnaires étaient au courant du manquement et le processus d'obtention de l'autorisation appropriée pour l'employé était en cours.
Le troisième élément évalué consistait à déterminer si les ASR donnaient des séances d'information sur la sécurité aux employés au moment où ces derniers recevaient leur autorisation de sécurité. On exige que l'employé et le professionnel de la sécurité signent tous les deux les formulaires d'autorisation de sécurité afin de confirmer qu'une séance d'information a été donnée. La vérification a révélé que tous les formulaires d'information étaient correctement signés; par contre, les entrevues et les revues de programme des sites indiquent que de nombreux employés n'avaient pas reçu ces séances d'information officielles et on leur avait simplement demandé de signer le formulaire.
Une recommandation précise n'est pas faite pour les observations identifiées dans cette section, car ces observations sont indirectement abordées dans la recommandation 3 (stratégie pour assurer un investissement suffisant dans le programme de sécurité des régions) et la recommandation 7 (améliorer la sensibilisation à la sécurité).
6.2.5 Sécurité dans la passation de marché
Le processus pour déterminer les exigences en matière de sécurité des contrats à l'AC d'AINC est inadéquat et inefficace.
Observations clés de la vérification de 2005
- Le personnel de sécurité n'effectue pas de validation ou de surveillance périodique de la conformité avec la politique sur la sécurité des contrats.
Notre vérification a révélé que les contrôles dans les quatre régions visitées étaient efficaces pour s'assurer que les LVES étaient réalisées correctement et que les modalités de sécurité des contrats étaient appropriées. Notre vérification ne couvrait qu'un secteur de l'AC et, ainsi, nous ne pouvons pas tirer de conclusion sur la pertinence et l'efficacité des contrôles de tous les secteurs. Dans le secteur visité, nous avons conclu que les gestionnaires de centre de responsabilité (GCR) et les administrateurs du secteur des contrats n'étaient pas formés correctement à l'utilisation des LVES afin de déterminer adéquatement les exigences en matière de sécurité.
On a observé une non-conformité importante dans le secteur visité, où une grande proportion des contrats sont accordés pour des services professionnels. Notre vérification a révélé que 23 des 25 contrats examinés avaient des exigences en matière de sécurité, mais que seulement 3 des 23 contrats étaient accompagnés par des LVES dûment complétées. En outre, seulement 6 des 23 contrats exigeant des modalités de sécurité contenaient des exigences de sécurité appropriées pour le travail effectué.
À ce jour, la DSSST a consacré deux ressources à temps plein et une à temps partiel afin d'examiner les LVES et élaborer des modalités de contrat. La DSSST nous a informé qu'en 2009-2010, seulement 10 % de tous les contrats (400 sur 4 000) passaient par elle. On s'attend à ce que cette charge de travail double ou triple en 2010-2011 si un changement de processus planifié est mis en œuvre afin de s'assurer que toutes les LVES et les exigences de sécurité passent par la DSSST.
Au sein d'AINC, les GCR doivent déterminer si un contrat proposé comporte des exigences de sécurité et remplir une LVES. Les LVES remplies sont habituellement examinées par le personnel de la région et du secteur ou le personnel des contrats pour vérifier si elles sont correctement remplies et suffisamment précises. Les GCR doivent ensuite transmettre les LVES directement à la DSSST pour obtenir son approbation, avant de les envoyer au personnel des contrats. Dans le cadre de ce processus, une grande portion des contrats (principalement les contrats de faible valeur en dollars) qui devraient comporter des modalités de sécurité ne sont pas envoyées de manière proactive à la DSSST par les GCR et ils ne contiennent pas les modalités de sécurité appropriées. Si ce changement de processus planifié est mis en œuvre, les LVES doivent être envoyées directement aux agents de contrats du secteur du DPF avec les demandes de contrat et ensuite transmises à la DSSST pour être examinées et approuvées.
Quand les LVES arrivent à la DSSST, elles sont examinées par l'agent de sécurité qui élabore aussi les modalités de sécurité pour le contrat. Avant d'être renvoyées à l'agent de contrat, toutes les LVES et les modalités de sécurité de contrat sont examinées et autorisées par le chef des Services de sécurité du personnel, des contrats et de la sensibilisation à la sécurité et la DSSST
Malgré une amélioration de la conformité liée à la sécurité, nous croyons que ce nouveau processus restera toujours inadéquat et inefficace. Plus particulièrement, nous croyons que :
- des délais considérables surviendront fort probablement dans le processus de passation de marché, car deux agents de sécurité de la DSSST devront examiner des volumes beaucoup plus importants de LVES;
- les contrats de faible valeur ne feront toujours pas l'objet d'un contrôle de sécurité, et c'était notre plus grande inquiétude lors de nos vérifications;
- la DSSST aura moins de temps pour donner des formations de sensibilisation aux GCR et aux membres du personnel des contrats dans les secteurs déjà mal formés et équipés pour déterminer si des exigences de sécurité existent et remplir les LVES;
- les agents de sécurité de la DSSST auront moins de temps disponible pour effectuer des vérifications ponctuelles des contrats qui semblent ne pas comporter des exigences de sécurité;
- le chef des Services de sécurité du personnel, des contrats et de la sensibilisation à la sécurité sera entièrement occupé par les tâches administratives courantes qui consistent à examiner et à signer les LVES relativement peu compliquées et n'aura pas de temps à consacrer aux vérifications de sécurité et aux responsabilités en matière de sensibilisation à la sécurité;
- il n'est pas nécessaire ou efficace de demander à une organisation de sécurité ministérielle d'examiner et d'approuver toutes les LVES comportant des exigences de sécurité. Dans la plupart des ministères fédéraux, cette fonction est effectuée par des agents de contrats ayant reçu une formation sur la sécurité et qui sont aussi affectés à la fonction de passation de marché et qui relèvent, d'une certaine manière, de l'ASM.
Afin d'améliorer l'efficacité des processus de passation de marché, d'autres ministères fédéraux ayant des volumes élevés de contrats ont élaboré des LVES normalisées préremplies accompagnées de clauses contractuelles. Un arbre décisionnel est élaboré afin d'aider les GCR à déterminer si une LVES normalisée et une clause de sécurité peuvent être utilisées et si des commentaires des intervenants en sécurité sont nécessaires. En plus d'améliorer l'efficacité, ce processus peut réduire les erreurs et améliorer la vitesse du processus de passation de marché.
Recommandation :
8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son implication directe dans l'examen des listes de vérification des exigences de sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel de la sécurité de la fonction de passation de marché est requis afin de s'assurer que des agents de contrats qui ont reçu une formation suffisante examinent et approuvent les exigences et les clauses relatives à la sécurité. En outre, une sécurité efficace et complète dans la surveillance de la conformité dans la passation de marché et dans le programme de signalement est requise afin de s'assurer que la conformité est atteinte et maintenue dans tout le Ministère.
6.2.6 Enquêtes administratives
Les enquêtes administratives sont habituellement menées en vertu des exigences de la PSG, même si nous avons noté quelques exceptions.
La tenue d'enquêtes administratives est un élément important de la supervision et de la surveillance de la sécurité et elle sert à déterminer les expositions au risque afin que les protections soient modifiées selon le cas. La vérification a révélé que les enquêtes administratives sont habituellement menées en vertu des exigences de la PSG.
Le mandat de mener des enquêtes administratives complexes à la DSSST est accordé à des enquêteurs tiers qualifiés et ces enquêtes sont menées en vertu des exigences de la PSG. Les enquêtes moins complexes et courantes sont menées par l'ASM et le personnel régional, et la vérification a révélé qu'elles n'étaient pas toujours menées en respectant les exigences de la PSG. Bien que le personnel de l'ASM soit suffisamment équipé pour mener ce genre d'enquête, ce ne sont pas tous les ASR qui sont formés adéquatement pour le faire. Ainsi, ce ne sont pas tous les ASR qui conservent les dossiers requis des enquêtes menées ou qui fournissent des rapports complets à l'ASM sur les enquêtes. En outre, nous avons observé que des incidents « mineurs » (vol d'objets personnels, visiteurs escortés sans carte de visiteur) n'étaient pas signalés à l'occasion par les employés. Une plus grande sensibilisation aux pratiques de sécurité est requise chez les employés afin de s'assurer que tous les incidents de sécurité sont signalés pour être en mesure de faire une enquête adéquate sur ces incidents.
Observations clés de la vérification de 2005
- Les incidents de sécurité étaient souvent signalés de manière non officielle et les enquêtes sont arrivées à peu de résultats.
- es incidents de sécurité souvent ne sont pas signalés à l'ASM avant qu'un incident s'avère plus sérieux que ce que l'on pensait au début et que les répercussions prennent de l'envergure.
Les questions relatives aux enquêtes administratives seront abordées lors de programmes de formation améliorés pour les ASR; cela sera possible si un investissement suffisant pour la sécurité est fait dans les régions (recommandation 3).
6.3 Progrès réalisé en ce qui concerne les recommandations de la vérification de 2005
Un progrès constant a été réalisé au cours des dernières années en ce qui concerne les recommandations de la vérification du programme de sécurité de 2005 ainsi que l'amélioration, la portée et l'efficacité des activités de sécurité menées par l'AC; par contre, le programme présente toujours des lacunes importantes. Parmi les faiblesses du programme, on retrouve des rôles et des responsabilités qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation à la sécurité chez les employés régionaux, des contrôles de protection des renseignements inadéquats, une sécurité inadéquate et inefficace dans les processus de passation de marché et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM.
Voici les détails des mesures prises pour aborder les recommandations de la vérification de 2005.
Recommandation de 2005 :
1. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, affecte/mette en œuvre les rôles et responsabilités fonctionnels et opérationnels reliés à tous les secteurs de la sécurité, notamment, mais sans s'y limiter : la sécurité physique, la sécurité des renseignements et des actifs, la sécurité du personnel, la sécurité des TI, la sécurité des communications, la sensibilisation et la formation. En outre, il doit s'assurer que tout le personnel qui joue un rôle, qui exerce une responsabilité en matière de sécurité recoive les outils et la formation requise. Pour terminer, il doit s'assurer qu'un cadre officiel soit mis en œuvre afin de renforcer les mécanismes de communication entre les partenaires régionaux et l'AC nationale.
Progrès à ce jour :
AINC a investi considérablement dans les ressources de la fonction de sécurité, en nommant un ASM à temps plein (l'ASM devait antérieurement remplir des rôles multiples en plus de ses tâches reliées à la sécurité) et en affectant des ressources à la sécurité physique, à la sécurité du personnel, à la sécurité dans la passation de marché et aux fonctions de sensibilisation à la sécurité. L'ASM a demandé et reçu l'approbation du SM concernant le CGS, un document complet qui définit les rôles et responsabilités fonctionnels et opérationnels reliés à tous les secteurs de la sécurité, ainsi que le document qui définit le mandat de l'ASR qui souligne les rôles et responsabilités de l'ASR dans le cadre du programme de sécurité. L'ASM a fait des progrès importants en abordant la recommandation relative à l'examen, la définition et l'affectation et la mise en œuvre des rôles et responsabilités fonctionnels et opérationnels liés à tous les secteurs de la sécurité, même s'il reste du travail à faire afin de s'assurer que les rôles et responsabilités de la politique sont clairs.
La formation en sécurité était considérée comme un problème en 2005, et depuis, l'ASM a mis en place une session de formation d'une semaine à l'AC afin de former les ASR à leurs rôles et responsabilités. L'ASM a aussi mis en place des cours de la GRC sur la sécurité, principalement pour la sécurité physique, offerts sans frais à tous les intervenants en matière de sécurité. Malgré ce progrès, la formation en sécurité demeure insuffisante pour les ASR et le personnel de l'ASM. Nous avons observé qu'une majorité d'ASR était insuffisamment formée pour accomplir les tâches reliées à la sécurité et nous avons déterminé que le budget de formation pour le personnel de l'ASMA était inadéquat. Plus de travail doit être accompli afin de s'assurer que les ASR et le personnel de sécurité sont correctement formés et que leurs connaissances en matière de sécurité sont à jour.
La communication au sein de l'organisation de la sécurité s'est considérablement améliorée depuis 2005. En 2008, l'ASM a instauré des téléconférences mensuelles officielles avec les ASR et toutes les parties ont noté que les communications entre la DSSST et les régions s'étaient améliorées de manière considérable. Toutes les régions visitées ont indiqué que le personnel de l'ASM répondait rapidement à leurs demandes. Par contre, il reste du travail à faire pour officialiser et améliorer la présentation à la DSSST par les régions des rapports sur les activités et les incidents de sécurité.
Afin d'améliorer la communication entre les fonctions de sécurité, l'ASM à mis sur pied le comité de sécurité ministériel. Ce comité alimente un forum de communication officiel pour toutes les fonctions de sécurité qui sert à améliorer les communications et la coordination des activités de sécurité entre l'ASM, les TI et les fonctions de PCA.
Recommandation de 2005 :
2. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, mette en œuvre un cadre de planification et une évaluation officiels du risque comprenant : une évaluation du risque du programme de sécurité ministériel, une évaluation des EMR physiques et des technologies de l'information, un plan stratégique pluriannuel, un plan de sécurité opérationnel annuel comprenant des jalons, un processus de surveillance des livrables en matière de sécurité et une mise à jour/publication des politiques de sécurité ministérielle. En outre, il doit examiner et réviser le PCA.
Progrès à ce jour :
Aucune évaluation officielle du risque du programme de sécurité ministériel n'a été entreprise à ce jour. Les ERM ont été menées pour certaines installations, mais pas pour toutes et les résultats n'ont pas été regroupé, analysé ou suivi par l'ASM au niveau du Ministère.
La planification de la sécurité demeure un processus largement non officiel et aucun plan stratégique pluriannuel n'a été élaboré. Aucun plan opérationnel annuel de sécurité intégrant les activités ministérielles et régionales et comprenant des jalons n'est en place, même si l'ASM présente des rapports d'activités avec des jalons à la DSSST dans le cadre du processus d'examen trimestriel. Du travail reste à faire pour intégrer les activités régionales de sécurité, et l'ASM s'est engagé à présenter un plan stratégique en 2010-2011. L'ASM a indiqué que les résultats de notre vérification serviront à déterminer les écarts qui seront abordés dans le plan.
La surveillance et l'examen du programme de sécurité demeurent des processus officieux et incomplets. Bien que certains mécanismes de surveillance et l'examen des livrables en matière de sécurité ont été définis dans le CGS, ils n'ont pas été mis en œuvre et ne sont pas complets. La surveillance actuelle comprend seulement l'évaluation des activités mais n'évalue pas l'efficacité du programme de sécurité. D'autres efforts sont requis afin d'améliorer le régime de supervision actuel pour inclure les mesures de l'efficacité du programme de sécurité.
Même si le programme de PCA a été exclu de la portée de notre vérification, nous avons observé que le programme de PCA ministériel était réalisé et que chaque région visitée avait récemment mis à jour son programme de PCA dans le cadre de l'exercice concernant le H1N1.
Recommandation de 2005 :
3. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, mette en œuvre et surveille les procédures de sécurité reliées à : la sécurité physique, la sécurité des TI, la sécurité des contrats et autres le cas échéant ou selon les exigences publiées par le CT. En outre, il doit examiner, réviser/élaborer, mettre en œuvre et surveiller un programme d'éducation/sensibilisation afin d'informer les employés et la haute direction de ces exigences et des autres procédures de sécurité, ainsi que leurs rôles et responsabilités.
Progrès à ce jour :
Un progrès considérable a été réalisé dans l'élaboration de procédures afin de mettre en œuvre le programme de sécurité. L'ASM a inclus des procédures à de nombreuses fonctions de sécurité et nous avons noté une amélioration depuis 2005 dans plusieurs domaines, particulièrement dans la vérification de sécurité du personnel. Des efforts ont également été fait dans l'amélioration de la sécurité dans la passation de marché, même si des problèmes importants demeurent. Les procédures de sécurité qui demandent un développement supplémentaire comprennent, entre autre, le verrouillage en fin de journée (bureau propre), le programme de sensibilisation à la sécurité, la protection des renseignements, la tenue de ratissage/inspection de sécurité et la mise en place et le maintien de zones de sécurité physiques.
Certaines améliorations ont été réalisées en ce qui a trait à la sensibilisation à la sécurité à l'AC, même si la sensibilisation globale demeure insuffisante dans les régions. L'ASM a multiplié les activités de sensibilisation et il a mené de nombreuses sessions de sensibilisation dans la RCN. Ces nombreuses actions n'ont pas été reprise dans les régions et un travail considérable reste à faire pour concevoir et mettre en œuvre un programme de sensibilisation à la sécurité complet et officiel.
7. Recommandations
Voici les recommandations tirées de notre vérification :
- L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les responsabilités et les rôles existants en matière de sécurité qui incombent à l'ASM, aux SMA, aux DGR, et de les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
- L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité; directives sur la manière d'établir et de maintenir des zones de sécurité physique).
- Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.
- AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
- L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire les exigences minimales du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.
- L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des ERM, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité des régions et des secteurs).
- L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que les mesures de sécurité des passations de marché.
- L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences relatives à la sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel de la sécurité dans le processus de passation de marché est requis afin de s'assurer que des agents des contrats ayant reçu une formation suffisante examinent et approuvent les exigences et les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la conformité dans le processus de passation de marché et dans l'élaboration des programmes est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère.
8. Plan d'action de gestion
Recommandations | Réponse de la direction/mesures | Gestionnaire responsable (titre) | Date prévue de mise en œuvre |
---|---|---|---|
1. L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les rôles et responsabilités existants qui incombent à l'ASM, aux SMA, aux DGR en matière de sécurité, et les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés. |
La DSSST :
|
Agent de sécurité du Ministère (ASM) | Décembre 2010 |
|
Décembre 2010 | ||
|
Juin 2011 | ||
2. L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée; directives sur les vérifications à mener lors d'un ratissage de sécurité; matériel de formation pour les activités de sensibilisation à la sécurité; directives sur la manière d'établir et de maintenir des zones de sécurité physique) |
La DSSST
|
Agent de sécurité du Ministère (ASM) | Mars 2011 |
En attendant les ressources financières et de RH, l'expertise et les normes de la nouvelle PSG, la DSSST :
|
Mars 2012 | ||
|
Mars 2012 | ||
3. Les SMA responsables des activités/opérations et du personnel à l'échelle régionale devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité. |
Dans le cadre de la recommandation 1, l'ASM devra obtenir l'appui des SMA responsables des activités/opérations et du personnel à l'échelle régionale :
|
Agent de sécurité du Ministère (ASM), en collaboration avec les SMA responsables des activités, des opérations et du personnel à l'échelle régionale (SMA OAN, SMA ASR) |
Mars 2011 |
4. AINC devrait penser à nommer des agents de sécurité dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle. |
|
ASM, en collaboration avec les gestionnaires de secteur | Décembre 2010 |
|
Mars 2011 | ||
5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal. |
L'ASM élaborera un plan ministériel triennal de sécurité selon la Politique de Sécurité du Gouvernement :
|
Agent de sécurité du Ministère (ASM) | Août 2010 |
6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun, et effectuer des visites annuelles sur place afin de soutenir les intervenants en sécurité dans les régions et les secteurs). |
|
||
|
ASR | Avril 2011 | |
|
ASM | Mai 2011 | |
|
ASM | Mars 2011 | |
|
ASM | Juin 2011 | |
7. L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que les mesures de sécurité des passations de marché. |
DSSST :
|
Agent de sécurité du Ministère (ASM) | Mars 2011 |
|
Juin 2011 | ||
|
Juin 2011 | ||
|
Juin 2011 | ||
|
Juin 2011 | ||
|
Décembre 2011 | ||
|
Décembre 2011 | ||
8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences relatives à la sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel des mesures de sécurité de la fonction de passation de marché est requis afin de s'assurer que les agents de contrats ont reçu une formation suffisante et examinent et approuvent les exigences ainsi que les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la sécurité lors de passation de marché et des rapports établis est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère. | L'ASM doit consulter le dirigeant principal des finances (DPF) afin de :
|
L'ASM en collaboration avec le DPF | Septembre 2010 |
L'ASM :
DPF
Remarque : Les listes de vérification et les clauses de sécurité comprennent cette activité partagée (ASM-DPF) dans l'Énoncé des rôles et des responsabilités en vertu de la recommandation no 1. |
Mars 2011 |
Annexe A : Critères de vérification
Même si la vérification comporte trois objectifs, l'objectif 1 représente principalement l'objectif global de la vérification, tandis que les objectifs 2 et 3 font partie de la gestion du programme de sécurité. Les critères de vérification sont tirés de la PSG du CT ou de la PSG (juillet 2009) et de ses normes et directives connexes; particulièrement la DGSM – Annexe C, Objectifs en matière de contrôles de sécurité (juillet 2009).
Critères de vérification | Référence |
---|---|
Cadre de gestion de la sécurité | |
Un programme de gestion de la sécurité est en place et comporte des responsabilités, des rôles et des objectifs pertinents et clairement définis. | PSG 6.1.1 |
L'ASM et l'organisation de la sécurité doivent s'assurer que les gestionnaires à tous les échelons intègrent la sécurité et la gestion de l'identité dans les plans, les programmes, les activités et les services. | PSG 6.1.4 |
Un programme efficace de sensibilisation à la sécurité est en place. | DGSM, Annexe C |
Le programme de gestion du risque du Ministère comprend des processus afin de déterminer et d'évaluer officiellement les risques liés à la sécurité et de sélectionner les protections appropriées. | NSROA 9.1 |
La gestion des risques liés à la sécurité est intégrée dans les pratiques ministérielles afin de s'adapter systématiquement aux menaces et aux besoins changeants. | PSG 6.1.7 |
Du personnel suffisant et approprié est affecté afin de soutenir la mise en œuvre d'un programme de gestion de la sécurité efficace, à l'échelle régionale et nationale. | DGSM, Annexe C |
Des enquêtes administratives liées aux incidents de sécurité sont menées en vertu des exigences de la PSG. |
PSG 6.1.7 DGSM, Annexe C NSROA 16 |
Le programme de gestion de la sécurité est surveillé et évalué afin de comparer les réalisations aux résultats attendus. |
PSG 6.1.1 DGSM, Annexe C |
Sécurité du personnel | |
Une vérification de sécurité est menée sur toutes les personnes qui ont accès à des renseignements et aux actifs du gouvernement avant le début de leur fonction. | PSG 6.1.5 |
Sécurité dans la passation de marché | |
Les exigences de sécurité pour les entrepreneurs sont déterminées, documentées, abordées et surveillées dans le processus d'approvisionnement. | DGSM, Annexe C |
Sécurité physique | |
Des contrôles de sécurité physique appropriés sont en place dans les installations afin d'assurer la protection du personnel, des renseignements et des actifs. | DGSM, Annexe C |
Protection des renseignements | |
Les renseignements sont protégés contre un accès, une utilisation, une diffusion, une modification, une aliénation/élimination, une transmission ou une destruction non autorisés tout au long du cycle de vie. | DGSM, Annexe C |
Les renseignements sont déterminés et classés selon le degré de dommage auquel on pourrait s'attendre si la confidentialité, la disponibilité ou l'intégrité est compromise. | DGSM, Annexe C |
Des mesures de sécurité appropriées sont en place afin d'assurer l'aliénation/élimination autorisée des renseignements. | DGSM, Annexe C |
Sigles reliés aux références du CT
PSG : Politique sur la sécurité du gouvernement (PSG), diffusée en juillet 2009
DGSM : Directive sur la gestion de la sécurité ministérielle, diffusée en juillet 2009.
NOSM : Norme opérationnelle sur la sécurité matérielle, 2004
NSGM : Norme de sécurité et de gestion des marchés, 1996
NSROA : Norme de sécurité relative à l'organisation et l'administration, 1995
NSP : Norme sur la sécurité du personnel