Vérification de la Sécurité Matérielle

Décembre 2017

Format PDF (124 Ko, 26 pages)

Table des matières

Acronymes
Sommaire
1. Contexte
2. Objectif et portée de la vérification
3. Approche et méthodologie
4. Conclusion
5. Observations et recommandations
6. Plan d'action de la direction
Annexe A : Critères de vérification
Annexe B : Politiques, directives et orientation pertinentes

Acronymes

ASM	Agent de sécurité ministériel
ASR	Agent de sécurité régional
CSS	Coordonnateur de la sécurité sectorielle
EMR	Évaluation des menaces et des risques
PSG	Politique sur la sécurité du gouvernement
RCAANC	Relations Couronne-Autochtones et Affaires du Nord Canada
SAC	Services aux Autochtones Canada
SISS	Système d’information sur les services de sécurité
SCT	Secrétariat du Conseil du Trésor
TI	Technologies de l’information

Sommaire

Contexte

La Direction générale des services de vérification et d'assurance de Relations Couronne-Autochtones et Affaires du Nord Canada (RCAANC) et de Services aux Autochtones Canada (SAC) a inclus la vérification de la sécurité matérielle dans le Plan de vérification axé sur le risque de 2017-2018 à 2019-2020, approuvé par la sous-ministre le 13 mars 2017. Cette vérification a été jugée à priorité élevée étant donné que la sécurité matérielle et le bien-être des employés ainsi que la protection des biens sont importants pour l'atteinte des objectifs opérationnels de RCAANC/SAC. La vérification a commencé en juin 2017 et le travail sur le terrain a pris fin en septembre 2017. Le présent rapport expose les résultats de cette vérification.

Objectif et portée de la vérification

La vérification avait pour objectif d'évaluer la pertinence et l'efficacité du cadre de contrôle de gestion mis en place à l'appui de la fonction de sécurité matérielle à RCAANC/SAC, ainsi que sa conformité avec la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT) et à d'autres politiques, directives et normes pertinentes.

La vérification devait permettre d'examiner le cadre de contrôle de gestion, y compris la gouvernance, la gestion des risques et les contrôles internes conçus pour assurer la protection du personnel et celle des biens et de l'information.

Puisque d'autres travaux de vérification sont terminés ou en cours, certains éléments ont été exclus de la portée. L'équipe de vérification s'est concentrée sur la sécurité matérielle et a exclu certaines composantes de la sécurité du gouvernement comme la sécurité des technologies de l'information (TI), la santé et sécurité au travail et la planification de la continuité des activités. De plus, même si les travaux de vérification ont permis d'évaluer les processus et les contrôles en place pour protéger les biens, les pratiques de gestion des biens ont été exclues. La vérification n'a pas inclus l'évaluation des biens environnementaux, des biens immobiliers et des véhicules, ni des immeubles et des installations qui ne sont pas occupés par des employés de RCAANC/SAC.

Énoncé de conformité

La présente vérification est conforme aux Normes internationales pour la pratique professionnelle de l'audit interne, comme l'ont démontré les résultats du programme d'assurance et d'amélioration de la qualité.

Conclusion

Un cadre de contrôle de gestion est en place pour appuyer la fonction de sécurité matérielle à RCAANC/SAC et il est en conformité avec la Politique sur la sécurité du gouvernement du SCT et avec d'autres politiques, directives et normes pertinentes. Des possibilités d'amélioration ont toutefois été relevées dans les domaines suivants : rôles et responsabilités, surveillance et supervision, formation et sensibilisation, et gestion des risques, afin de permettre à RCAANC/SAC de réduire les menaces matérielles à l'endroit de ses employés et de ses biens.

Recommandations

Sur la base des observations faites lors de la vérification, les trois recommandations suivantes ont été formulées :

La directrice générale de la Direction générale des services des ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l'Organisation des affaires du Nord ainsi qu'avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :
- veiller à ce que les rôles et responsabilités ainsi que les exigences en matière de sécurité approuvés soient respectés comme il est prévu dans l'ensemble des ministères;
- renforcer la surveillance et la supervision afin de favoriser l'atteinte des objectifs et le respect des exigences en matière de sécurité matérielle.
La directrice générale de la Direction générale des services des ressources humaines et du milieu de travail devrait renforcer la gestion des risques de la sécurité matérielle en faisant ce qui suit :
- officialiser et communiquer la méthodologie des ministères visant à soutenir la réalisation des évaluations des menaces et des risques (EMR), y compris la diffusion aux intervenants des indicateurs utilisés pour évaluer la menace et les risques;
- mettre en place un processus officiel pour surveiller la réalisation des EMR ainsi que la mise en œuvre des recommandations découlant des EMR.
La directrice générale de la Direction générale des services des ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l'Organisation des affaires du Nord ainsi qu'avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :
- renforcer et communiquer les politiques et les procédures visant à promouvoir l'amélioration de la communication et de la collaboration entre les fonctions des services des relations de travail et des services des locaux dans l'exercice d'activités liées à la sécurité matérielle;
- évaluer les disparités régionales dans les mesures de sécurité matérielle et confirmer si elles sont appropriées et fondées sur les risques;
- procéder à un examen pour recenser les besoins de formation prioritaires en matière de sécurité et mettre à jour le programme de formation et de sensibilisation en matière de sécurité des ministères basé sur les résultats.

Réponse de la direction

La direction a approuvé les constatations, accepté les recommandations contenues dans le rapport et élaboré un plan d'action de la direction afin d'y répondre. Le plan d'action de la direction a été intégré au présent rapport.

1. Contexte

La Direction générale des services de vérification et d'assurance de Relations Couronne-Autochtones et Affaires du Nord Canada (RCAANC) et de Services aux Autochtones Canada (SAC) a inclus la vérification de la sécurité matérielle dans le Plan de vérification axé sur le risque de 2017-2018 à 2019-2020, approuvé par la sous-ministre le 13 mars 2017. Cette vérification a été jugée à priorité élevée étant donné que la sécurité matérielle et le bien-être des employés ainsi que la protection des biens sont importants pour l'atteinte des objectifs opérationnels de RCAANC/SAC. La vérification a commencé en juin 2017, et le travail sur le terrain a pris fin en septembre 2017. Le présent rapport expose les résultats de cette vérification.

1.1 Cadre général

La sécurité matérielle regroupe les mesures de protection matérielle visant à empêcher ou à limiter l'accès non autorisé aux biens, à détecter les tentatives d'accès non autorisé et les accès non autorisés réels et à déclencher les interventions appropriées. Il s'agit des mesures en place afin de réduire le risque de violence au travail et de s'assurer que les renseignements, les biens et les installations sont protégés contre l'accès, la divulgation, la modification ou la destruction non autorisés, en fonction de leur niveau de sensibilité, de leur pertinence et de leur valeur. La sécurité matérielle permet également de protéger les personnes qui travaillent au sein de l'organisation et en collaboration avec elle. Les ministères doivent s'assurer que leur stratégie en matière de sécurité matérielle comprend des éléments identifiables de protection, de détection, d'intervention et de reprise des activités.

Une fonction de sécurité matérielle rigoureuse est essentielle pour protéger le personnel ainsi que les biens et l'information. La gestion de la sécurité, y compris de la sécurité matérielle, est liée à d'autres fonctions de gestion, comme l'accès à l'information, la protection des renseignements personnels, la gestion des risques, la gestion des incidents et des urgences et la planification de la continuité des opérations, la santé et la sécurité au travail, la gestion des biens immobiliers, la gestion du matériel, les technologies de l'information (TI) et les finances. La gestion de la sécurité exige aussi une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle de gestion interne en matière de prévention, de détection, d'atténuation et de mise en œuvre de mesures correctives.

La Politique sur la sécurité du gouvernement (PSG) du Secrétariat du Conseil du Trésor (SCT) requiert que les administrateurs généraux gèrent efficacement les activités de sécurité au sein de leur ministère et contribuent à la gestion efficace de la sécurité du gouvernement dans son ensemble^{Note de bas de page 1}. Les responsabilités des administrateurs généraux comprennent la mise en œuvre d'un programme de sécurité pour la coordination et la gestion des activités en matière de sécurité au niveau du ministère, l'approbation du plan ministériel de sécurité, l'intégration des exigences en matière de sécurité dans les activités ministérielles et la conduite d'enquêtes lorsque des problèmes en matière de sécurité se produisent. Les administrateurs généraux sont aussi responsables de nommer un agent de sécurité ministériel (ASM) qui assure la mise en place et la direction d'un programme de sécurité.

La PSG est complétée par la Directive sur la gestion de la sécurité ministérielle (DGSM) du SCT. L'objectif de cette directive est d'assurer la gestion efficiente, efficace et responsable de la sécurité, notamment des rôles et responsabilités à différents échelons au sein des ministères^{Note de bas de page 2}. En conformité avec la PSG et la DGSM, la Norme opérationnelle sur la sécurité matérielle du SCT énonce les exigences de base relatives à la sécurité matérielle concernant des menaces courantes auxquelles pourraient devoir faire face les ministères^{Note de bas de page 3}.

1.2 Sécurité matérielle à RCAANC/SAC

Pour se conformer à la PSG et à la DGSM, les ministères ont mis au point un Plan de sécurité ministériel triennal pour satisfaire aux exigences de sécurité ministérielles, y compris de sécurité matérielle, selon une évaluation des risques de sécurité. Ce plan fournit au sous-ministre et aux hauts fonctionnaires des stratégies priorisées axées sur le risque, des objectifs et des échéanciers visant à améliorer la posture de sécurité des ministères, tout en respectant ses priorités stratégiques, programmes, plans et processus. Le Cadre de gestion de la sécurité de RCAANC/SAC inclut différentes politiques et procédures des ministères, qui comportent des conseils en matière de sécurité propres aux ministères sur la façon de satisfaire aux exigences de sécurité énoncées dans la PSG.

À RCAANC/SAC, la responsabilité de la sécurité matérielle relève de la Division de la sécurité et des locaux (également appelé dans le présent rapport « administration centrale ») au sein de la Direction générale des services des ressources humaines et du milieu de travail. Les ministères ont également des ressources de sécurité ailleurs qu'à la Division, soit dans chacune des régions et chacun des secteurs. Les directeurs généraux régionaux assument la responsabilité générale de la sécurité matérielle à leurs bureaux régionaux, et les activités de sécurité sont exercées par les agents de sécurité régionaux (ASR). De plus, chaque secteur dispose d'un coordonnateur de la sécurité sectorielle (CSS). Les CSS et les ASR relèvent, sur le plan fonctionnel, de l'ASM.

RCAANC/SAC disposent d'un vaste réseau décentralisé de bureaux, dont un bon nombre partagent l'espace avec d'autres locataires gouvernementaux et non gouvernementaux. Le maintien d'un contrôle approprié de ces environnements est par nature une opération difficile et complexe, particulièrement lorsque RCAANC/SAC ne contrôlent pas l'accès central à ses installations.

2. Objectif et portée de la vérification

2.1 Objectif de la vérification

L'objectif de la vérification consiste à évaluer la pertinence et l'efficacité du cadre de contrôle de gestion mis en place à l'appui de la fonction de sécurité matérielle à RCAANC/SAC, ainsi que sa conformité à la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT) et à d'autres politiques, directives et normes pertinentes.

2.2 Portée de la vérification

La vérification visait à examiner le cadre de contrôle de gestion, y compris la gouvernance, la gestion des risques et les contrôles internes conçus pour assurer la protection du personnel et celle des biens et de l'information. Les travaux de vérification ont permis d'analyser les aspects prioritaires suivants, d'après l'évaluation des risques effectuée pendant la phase de planification :

la gouvernance, y compris les obligations redditionnelles, les rôles et les responsabilités des employés des ministères qui assument des responsabilités en matière de sécurité ainsi que les structures de gouvernance en place pour la supervision et la gestion de la fonction de sécurité matérielle;
la gestion du risque, y compris les processus en vigueur pour repérer systématiquement, documenter, évaluer et atténuer les menaces et les risques à la sécurité matérielle;
les contrôles internes, notamment les politiques et les procédures, les activités de formation et de sensibilisation et les processus et les contrôles physiques en place pour protéger le personnel, l'information et les biens ainsi que pour assurer la surveillance, l'établissement de rapports et la mesure du rendement par rapport aux objectifs des ministères en matière de sécurité matérielle.

Comme d'autres travaux de vérification sont terminés ou en cours, il y a eu certaines exclusions à la portée. Le plan de continuité des activités des ministères n'ont pas été examinés, étant donné qu'ils ont fait l'objet d'une vérification en 2016-2017. De plus, la santé et sécurité au travail a été exclue puisque cette vérification est prévue pour l'exercice 2018-2019. Par ailleurs, une vérification de la sécurité des TI a été réalisée en parallèle avec la présente vérification de la sécurité matérielle et a donc été exclue de la portée.

La présente vérification était axée sur la gouvernance, la gestion des risques et les contrôles internes en place pour appuyer la protection des biens, mais l'évaluation des pratiques de gestion des biens a été exclue de la portée, tout comme les biens environnementaux, les biens immobiliers et les véhicules ainsi que les immeubles et les installations qui ne sont pas occupés par des employés de RCAANC/SAC.

3. Approche et méthodologie

La vérification de la sécurité matérielle a été planifiée et réalisée conformément aux exigences du Cadre international de référence des pratiques professionnelles de l'Institut des vérificateurs internes et de la Politique sur la vérification interne du SCT.

La vérification s'est déroulée en trois phases de juin 2017 à octobre 2017 : la planification, le déroulement, et la production du rapport. À la lumière des données recueillies au cours de la phase de planification, une évaluation des risques a été réalisée afin de déterminer les risques les plus élevés à l'égard de la sécurité matérielle de RCAANC/SAC. Les critères de la vérification ont été définis pour couvrir les aspects prioritaires d'après l'évaluation des risques, et ils ont servi de base à l'élaboration du programme détaillé de vérification pour la phase de déroulement. Ces critères sont énoncés à l'annexe A, alors que les politiques, les normes et les orientations pertinentes qui ont servi à leur définition sont énumérées à l'annexe B.

La phase sur le terrain s'est déroulée à l'administration centrale ainsi que dans trois régions (l'Ontario, la Saskatchewan et le Manitoba). Trois autres régions (les Territoires du Nord-Ouest, le Nunavut et la Colombie-Britannique) ont également été revues via des appels conférences. Au cours de la phase sur le terrain, en août et en septembre 2017, l'équipe de vérification a examiné suffisamment d'éléments probants pertinents et fiables et obtenu assez de données pour garantir un niveau d'assurance raisonnable à ses conclusions. Les principales techniques de vérification utilisées étaient les suivantes :

Entrevues avec les intervenants clés
Test de cheminement
Inspections physiques
Examen de la documentation
Analyses des risques

4. Conclusion

Un cadre de contrôle de gestion est en place pour appuyer la fonction de sécurité matérielle à RCAANC/SAC et il est conforme à la Politique sur la sécurité du gouvernement du SCT et aux autres politiques, directives et normes pertinentes. Des possibilités d'amélioration ont toutefois été relevées dans les domaines suivants : rôles et responsabilités, surveillance et supervision, formation et sensibilisation, et gestion des risques, afin de permettre à RCAANC/SAC de réduire les menaces matérielles à l'endroit de ses employés et de ses biens.

5. Observations et recommandations

À partir des éléments probants recueillis au cours des entrevues, du passage en revue des installations, de l'observation, de l'examen de la documentation et de l'analyse des risques, chacun des critères de vérification a été évalué et certaines observations ont été faites. Lorsque l'équipe de vérification a relevé une différence importante entre le critère de vérification appliqué et la pratique observée, le risque résultant de cette lacune était évalué et servait alors à formuler des recommandations pertinentes en vue d'apporter des améliorations.

Les observations et les recommandations suivantes portent sur le cadre de contrôle de gestion établi pour la sécurité matérielle, y compris la gouvernance, la gestion des risques et les contrôles internes conçus pour assurer la protection du personnel et celle des biens et de l'information.

5.1 Gouvernance

Des structures et des mécanismes de supervision devraient être mis en place pour assurer la gestion efficace et efficiente de la sécurité matérielle au sein d'un ministère^{Note de bas de page 4}. Une structure de gouvernance efficace de la sécurité matérielle exige des obligations redditionnelles, des rapports hiérarchiques et des rôles et responsabilités définis, documentés et communiqués. De plus, des mécanismes de gouvernance de la sécurité matérielle (p. ex. des comités de surveillance) doivent être établis pour assurer la coordination et l'intégration des activités de sécurité matérielle avec les opérations, les plans et les priorités du Ministère^{Note de bas de page 5}.

Dans le cadre de la PSG, l'administratrice générale a officiellement nommé un agent de sécurité ministériel pour assurer le respect des exigences de sécurité du gouvernement, y compris de la sécurité matérielle. La structure de gouvernance de la sécurité matérielle est documentée dans le Cadre de gestion de la sécurité des ministères, et de ses documents incorporés, y compris la politique de sécurité ministérielle, collectivement désignée comme le « Cadre ». Le Cadre concorde avec les exigences de la PGS et de la Directive sur la gestion de la sécurité ministérielle connexe.

Les obligations redditionnelles, les rôles et les responsabilités des praticiens de la sécurité sont définis plus en détail dans des documents incluant, sans s'y limiter, le guide du Plan de sécurité ministériel, le mandat de l'ASR et le document sur les rôles et les responsabilités du CSS.

Par ailleurs, les ministères ont mis sur pied des comités qui assument un rôle de supervision de la sécurité ministérielle, y compris de la sécurité matérielle. En particulier, il existe un comité de sécurité ministériel dont le mandat consiste à conseiller, à orienter et à formuler des recommandations en ce qui a trait à la sécurité ministérielle. Il y a également d'autres comités de la haute direction (p. ex. le Comité des opérations et le Comité des affaires internes) qui s'occupent de la supervision et de la prise de décisions liées à la sécurité; ces comités ont toutefois des mandats plus larges et sont concernés par les questions ayant trait à la sécurité matérielle de façon ponctuelle. Les ministères ont également instaurés la tenue d'une téléconférence mensuelle présidée par l'ASM à laquelle participent les praticiens de la sécurité de l'administration centrale, des secteurs et des régions. Cette téléconférence fournit une tribune pour faire d'importantes mises à jour et pour discuter de questions relatives à la sécurité.

Rôles et responsabilités

Même si les rôles et les responsabilités sont définis dans la documentation, il serait opportun de les renforcer en pratique. Par exemple, le mandat de l'ASR contient une liste exhaustive des différentes responsabilités à exercer. Nous avons toutefois relevé plusieurs cas où ces rôles ne sont pas exercés de façon uniforme, notamment en ce qui concerne la réalisation des inspections de routine (p. ex. les ratissages de sécurité) pour promouvoir la conformité et la sensibilisation à l'exigence de sécurité matérielle, et le maintien d'un programme permanent de sensibilisation à la sécurité.

Chaque région a nommé un ASR qui relève fonctionnellement de l'ASM, mais ce rôle est généralement exercé à temps partiel, car l'ASR assume habituellement multiples fonctions administratives qui ne sont pas liées à la sécurité. Les rôles et responsabilités ne sont habituellement pas exercés de façon proactive, et dans plusieurs cas les ASR ne considéraient pas comme étant possible de remplir pro activement tous les rôles et responsabilités qui leur ont été définis. Par exemple, les entrevues ont montré que l'exercice des responsabilités des ASR telles que la conduite des enquêtes, l'exécution des énoncés de la conception de la sécurité et la mise en œuvres de sessions de formation en matière de sécurité représentent un défi en raison de fortes exigences en matière de savoir, d'expérience et de capacité.

De plus, chaque secteur dispose d'un CSS qui supporte la Division de la sécurité et des locaux à s'acquitter de ses responsabilités en matière de sécurité. Contrairement aux ASR qui sont directement responsables de la mise en œuvre des activités de sécurité matérielle, les rôles des CSS sont plus concentrés sur la sensibilisation et la coordination des activités de sécurité tel que rapporter les problèmes identifiés et les déficiences à l'ASM et faire le suivi des demandes relatives à la sécurité (demande de carte d'accès, rapports d'incidents, etc.). Bien que ces rôles soient documentés, l'équipe de vérification a noté un exemple où le CSS n'était pas complétement au courant des responsabilités associées à son rôle.

Les rôles et les responsabilités des ASR et des CSS sont essentiels pour la gestion d'un système de processus et de contrôles permettant d'assurer une protection, de détecter les risques et les problèmes en matière de sécurité matérielle auxquels doit faire face les ministères et d'y réagir ainsi que de promouvoir la sensibilisation en matière de sécurité matérielle. Les ministères ne peuvent s'acquitter de ses exigences en matière de sécurité matérielle que si le personnel de la sécurité met en œuvre les rôles et les responsabilités qui leur ont été définis.

Surveillance et supervision

La responsabilité générale de la gestion du programme ministériel de sécurité matérielle relève de la Division de la sécurité et des locaux. Toutefois, la majeure partie des activités liées à la sécurité matérielle sont menées à l'échelle régionale. Même si les ministères ont établis des mécanismes pour superviser la gestion de la sécurité matérielle et communiquer les renseignements liés à la sécurité aux intervenants concernés, les processus de surveillance ministériels pour surveiller le respect des exigences en matière de sécurité matérielle dans l'ensemble des deux ministères sont limités et informels. Par exemple, les renseignements provenant des régions (p. ex. les statistiques sur les incidents) ne font pas souvent l'objet d'une surveillance et d'un suivi de la part de l'administration centrale. Dans certains cas (examinés plus en détail dans les sections Gestion des risques et Contrôles internes), nous avons constaté que les exigences en matière de sécurité matérielle, comme les ratissages de sécurité et les évaluations des menaces et des risques, n'ont pas été respectées à certaines installations, ce qui peut être attribuable à une supervision limitée pour ces activités.

Étant donné la structure organisationnelle décentralisée, de solides pratiques de surveillance et de supervision sont essentielles pour s'assurer que les activités de sécurité matérielle sont menées de manière coordonnée et intégrée dans l'ensemble de ministères et que les contrôles de sécurité matérielle demeurent à jour et remédient aux menaces et aux risques importants. Plus précisément, un solide processus de surveillance et de supervision permettra d'identifier, d'informer la hiérarchie et de solutionner les problèmes dus à des exigences ou des responsabilités non remplis. Cela renforcera la mise en œuvre des responsabilités individuelles pour mener les activités de sécurité matérielle dans l'ensemble des secteurs et des régions.

Recommandation

1. La directrice générale de la Direction générale des services des ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l'Organisation des affaires du Nord ainsi qu'avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :

veiller à ce que les rôles et responsabilités ainsi que les exigences en matière de sécurité approuvés soient respectés comme il est prévu dans l'ensemble des ministères;
renforcer la surveillance et la supervision afin de favoriser l'atteinte des objectifs et le respect des exigences en matière de sécurité matérielle.

5.2 Gestion des risques

La gestion de la sécurité matérielle exige une évaluation continue des risques ainsi que la mise en place, la surveillance et le maintien de mécanismes appropriés de contrôle de la gestion interne^{Note de bas de page 6}. De plus, les ministères doivent élaborer, documenter, mettre en œuvre et actualiser les processus de gestion systématique des risques pour la sécurité afin d'assurer une adaptation continue aux besoins changeants du ministère et au contexte des menaces^{Note de bas de page 7}. Une évaluation des menaces et des risques (EMR) constitue une activité essentielle exercée pour soutenir la gestion des risques liés à la sécurité matérielle. Pour guider les ministères dans le processus de l'EMR, le gouvernement du Canada a adopté la méthodologie harmonisée de l'évaluation des menaces et des risques^{Note de bas de page 8}.

Dans le cadre du processus d'EMR, les menaces et les risques associés à un lieu particulier sont détectés et évalués. Selon les résultats de l'évaluation, des recommandations peuvent être formulées pour fournir des protections supplémentaires ou modifier les protections existantes afin d'atteindre un niveau acceptable de risque résiduel.

Méthodologie ministérielle

Le EMR peuvent être faits soit par des firmes externes de sécurité ou par l'équipe de sécurité matérielle de l'administration centrale. Selon le Cadre de gestion de la sécurité de RCAANC/SAC, la méthodologie harmonisée de l'EMR doit être adoptée et toujours appliquée lorsque des EMR sont effectués pour les installations des ministères, et même pour l'identification des biens et des menaces. Même si la Division de la sécurité et des locaux a établi une méthodologie pour mener des EMR, elle n'est pas alignée avec la méthodologie harmonisée et n'a pas été officiellement approuvée. De plus, la méthodologie et les critères d'évaluation ne sont pas communiqués ouvertement aux personnes concernées notamment celles qui décident de l'acception ou non des recommandations qui découlent des EMR (par exemple la direction des régions)

Obtenir l'approbation de la direction renforcera la crédibilité des EMR et renforcera la gestion des risques en matière de sécurité matérielle. En renforçant la transparence, les personnes concernées seront plus sensibilisées et auront plus de confiance dans le processus des EMR utilisé pour développer les observations et les recommandations.

Surveillance et suivi

L'orientation ministérielle concernant la conduite ou la mise à jour des EMR n'est pas clairement établie et communiquée. Les différents intervenants incluant les directions régionales et les praticiens de la sécurité de l'administration centrale ne sont pas au courant ni d'une politique établie ni des différentes raisons qui devraient mener à effectuer une nouvelle EMR ou de mettre à jour une EMR. En l'absence d'une politique et d'une communication claire à ce sujet, les intervenants ne savent pas si une EMR doit être effectuée ou mise à jour sur une base régulière ou définie (par exemple tous les 5 ans) suite à des menaces et des émergents identifiés au niveau régional ou national ou suite à un changement physique de l'environnement de travail.

De plus, la surveillance de la réalisation des EMR n'est pas assurée par l'administration centrale. Certaines installations de RCAANC/SAC ont fait l'objet de plusieurs EMR, tandis que d'autres n'ont jamais été visées.

Par ailleurs, l'administration centrale ne dispose pas de processus formel de suivi de la mise en place des recommandations qui découlent des EMR effectuées par l'équipe interne ou par des firmes externes. L'équipe de vérification a observé des cas où les recommandations liées aux EMR n'ont pas fait l'objet d'un suivi afin de résoudre les lacunes détectées.

Conformément au Cadre de gestion de la sécurité de RCAANC/SAC, des plans d'action doivent être créés et approuvés lorsqu'un rapport d'EMR recommande la mise en œuvre de mesures de protection pour atténuer le risque résiduel à un niveau acceptable. À l'échelle régionale, il y a toutefois eu des cas où les recommandations n'ont pas été mises en application et où il n'y avait pas de plan d'action à l'appui ni de document d'acceptation des risques.

Bien que l'équipe de vérification a observé des exemples de bonnes pratiques régionales de suivi dans deux des régions visitées, où des plans d'action ont été créés relatifs aux recommandations découlant d'EMR prévoyant des échéanciers à respecter, des obligations redditionnelles attribuées et une surveillance active (incluant des exemples de surveillance active par la Division des locaux et de la sécurité), un processus formel de surveillance et de supervision pour les EMR n'a pas été établi à l'échelle des ministères.

Sans une surveillance proactive ni un suivi efficaces de la mise en œuvre des EMR, les ministères ne sont pas en mesure de s'assurer que les risques relatifs à la sécurité matérielle soient gérés de manière continue et efficace dans l'ensemble des ministères. Par exemple, une surveillance proactive permet de s'assurer que les EMR sont bien effectués lorsque nécessaire et que les recommandations qui découlent des EMR sont mises en œuvre en temps voulu et de manière efficace. Par ailleurs, grâce à une gestion efficace et une surveillance des EMR, les ministères seront mieux à même d'identifier et de réduire les lacunes et les vulnérabilités qui pourraient exister au sein des ministères.

Recommandation

2. La directrice général de la Direction générale des services des ressources humaines et du milieu de travail devrait renforcer la gestion des risques de la sécurité matérielle en faisant ce qui suit :

officialiser et communiquer la méthodologie des ministères visant à soutenir la réalisation des EMR, y compris la diffusion aux intervenants des indicateurs utilisés pour évaluer la menace et les risques;
mettre en place un processus officiel pour surveiller la réalisation des EMR en temps requis ainsi que la mise en œuvre des recommandations découlant des EMR.

5.3 Contrôles internes

Les objectifs minimaux de contrôle de la sécurité matérielle qu'un ministère doit atteindre pour s'assurer de remplir son mandat et de respecter ses exigences en matière de sécurité sont établis dans la DGSM et sont exposés de façon plus détaillée dans la Norme opérationnelle sur la sécurité matérielle du SCT^{Note de bas de page 9}. Les contrôles de sécurité matérielle incluent ceux qui sont fondés sur des mesures de prévention, de détection et d'intervention, et ils doivent être adaptés pour permettre d'atténuer les menaces, les risques et les vulnérabilités propres au Ministère (comme indiqué dans la section Gestion des risques)^{Note de bas de page 10}.

Tant les praticiens de la sécurité que les non-praticiens ont des rôles à jouer pour assurer la mise en œuvre efficace des contrôles de la sécurité matérielle. Comme il a été mentionné précédemment, il incombe à l'administration centrale d'assurer la surveillance des contrôles de la sécurité matérielle à l'échelle des ministères pour faire en sorte qu'ils demeurent efficaces pour satisfaire aux exigences actuelles en matière de sécurité matérielle ainsi que pour traiter des risques particuliers aux ministères mentionnés dans les évaluations des risques^{Note de bas de page 11}. L'approche du gouvernement du Canada à l'égard de la sécurité matérielle repose sur le principe selon lequel la conception des installations et les mesures de protection de la sécurité matérielle doivent créer des conditions qui réduiront le risque que des employés soient victimes de violence, offriront une protection contre tout accès non autorisé, décèleront les tentatives d'accès non autorisé ou les accès non autorisés, et permettront de déclencher une intervention efficace^{Note de bas de page 12}.

Toutefois, à différentes installations de RCAANC/SAC, la mise en place de mesures de sécurité matérielle doit être approuvée par le locateur ou le gestionnaire immobilier (p. ex. Services publics et Approvisionnement Canada, Brookfield Solutions Globales Intégrées), et peut impliquer Services partagés Canada dans certains cas. RCAANC/SAC ne détient donc pas toujours le plein contrôle de la mise en place de mesures de sécurité matérielle, et on a noté que les dépendances envers des tiers ont entraîné des retards ou ont empêché leur mise en place dans certains cas.

Formation et sensibilisation

L'offre d'activités de formation pertinentes et à jour réduit le risque de compromettre la sécurité matérielle par inadvertance en permettant aux employés de posséder les connaissances et les compétences nécessaires pour s'acquitter efficacement de leurs responsabilités en matière de sécurité matérielle. De plus, un programme de sensibilisation à la sécurité ministérielle permet de s'assurer de renseigner tous les employés, à tous les niveaux, et de leur rappeler régulièrement les questions liées à la sécurité ainsi que leurs responsabilités à ce titre^{Note de bas de page 13}.

RCAANC/SAC a établi un programme de sensibilisation à la sécurité ministérielle qui couvre la sécurité matérielle. Par exemple, il a instauré une semaine annuelle de sensibilisation en matière de sécurité, dans le cadre de laquelle des conseils et du matériel de sensibilisation concernant la sécurité sont envoyés par courriel à l'ensemble des employés de RCAANC/SAC. Du matériel de formation en sécurité ainsi que des indications qu'une formation est offerte aux nouveaux ASR existe. Une formation à des fins de sensibilisation à la sécurité est aussi offerte aux nouveaux employés.

Bien que des activités de formation soient offertes, il existe des possibilités d'amélioration. Par exemple, plusieurs ASR ont mentionné vouloir davantage d'activités de formation qui leur permettraient d'être mieux outillés pour s'acquitter du large éventail de leurs responsabilités (p. ex. la conduite d'enquêtes et la prestation d'activités de formation régionales en matière de sécurité) qui s'inscrivent dans la gestion des activités de sécurité au niveau régionale. La formation est essentielle pour garantir que les praticiens de la sécurité possèdent les connaissances et les compétences nécessaires pour non seulement assumer leurs rôles et leurs responsabilités, mais également pour transférer les connaissances et favoriser la sensibilisation de tous les employés.

Il arrive aussi que des membres du personnel dans les régions ne reçoivent pas une formation appropriée sur la sécurité matérielle en dehors de la séance d'information sur la sécurité qui leur est offerte à leur arrivée à RCAANC/SAC. Parmi les exemples de formation propre à l'emploi qui pourrait être assurée, mentionnons la formation en matière de sécurité sur la manière de gérer des situations conflictuelles impliquant des interactions avec le public ainsi que sur la manière de repérer et d'éviter les situations potentiellement dangereuses lors des déplacements. Une formation devrait être offerte aux employés qui, en raison des fonctions qu'ils assument, pourraient être exposés à des situations de violence au lieu de travail^{Note de bas de page 14}.

Protection

La sécurité matérielle devrait être pleinement intégrée aux processus de planification et de conception des installations^{Note de bas de page 15}. Pour satisfaire à cette exigence, le Cadre de gestion de la sécurité de RCAANC/SAC indique que le personnel de sécurité doit participer à l'élaboration d'énoncés de conception de la sécurité, des documents visant à s'assurer que les considérations et les exigences de sécurité sont prises en compte dans les phases de planification et de conception des nouvelles installations ou dans les rénovations apportées aux installations existantes. On a toutefois relevé des cas où l'équipe de sécurité n'a pas participé à la planification et à la conception de nouvelles installations ni à la rénovation d'installations.

De façon générale, on a constaté que des contrôles de sécurité matérielle de base étaient en place dans les régions visitées, mais on a relevé plusieurs cas de disparité régionale dans les mesures de sécurité dont la justification n'était pas connue ou documentée. Voici quelques exemples :

Configuration et protections des bureaux d'inscription. Les mesures de sécurité prévues pour les bureaux d'inscription différaient d'une installation à l'autre. Par exemple, une installation ne disposait pas de route d'évacuation vers un espace sûr, et il n'y avait pas d'écran de plexiglas ni de bouton d'alarme en place pour atténuer la menace d'un client hostile, alors que dans certaines régions, les bureaux d'inscriptions sont situés à l'extérieur des zones opérationnelles.
Protections pour le versement des paiements de traités. Les mesures de sécurité matérielle en place pour les processus des paiements de traités varient selon les régions. Plus spécifiquement, l'équipe de vérification a observé des mesures beaucoup plus limitées dans certaines régions (absence d'escorte) ce qui pourrait augmenter le degré de risque pour les employés régionaux.
Engagement à l'égard des rôles liés à la sécurité. Certaines régions ont créé ou sont en train de créer des postes à temps plein pour assumer des rôles liés à la sécurité, alors que dans d'autres régions, ces rôles (p. ex. ASR, ASR adjoints) sont exercés à temps partiel.
Contrôles d'accès des visiteurs. Certaines installations ne disposaient d'aucun processus d'inscription des visiteurs permettant de vérifier leur identité et de leur faire signer un registre des visiteurs. De plus, on ne remet pas toujours aux visiteurs un insigne d'identité permettant de les identifier comme visiteur admis à l'installation.
Présence de commissionnaires aux installations. Pour surveiller le contrôle d'accès à l'intérieur de l'installation, des commissionnaires sont affectés à certaines installations, mais pas à tous les locaux de RCAANC/SAC.

On ne s'attend pas à avoir une approche uniforme à l'égard de la sécurité dans l'ensemble des ministères, mais on s'attend à ce que les mesures de sécurité mises en place soient adaptées au niveau des menaces et des risques détectés. La justification des disparités dans les mesures de sécurité n'était pas toujours fournie par les personnes interviewées ou connue d'eux. De plus, on s'attendait généralement de la part des personnes interviewées que leur bureau soit doté de niveau de sécurité similaire à celui des autres bureaux régionaux. Il est essentiel de mettre en œuvre un processus ministériel de gestion des risques (à savoir des EMR) pour analyser les menaces et les risques détectés et faire en sorte que des contrôles et des mesures de sécurité matérielle soient mis en place en fonction du niveau de risque détecté. Adopter une approche fondée sur les risques peut aider à s'assurer que la direction répond aux besoins de sécurité matérielle en fonction des priorités.

Détection et intervention

La détection et l'intervention sont des éléments importants d'une stratégie de défense active contre les menaces, vulnérabilités et incidents de sécurité. Un processus utilisé par les ministères pour détecter les cas de non-respect des exigences en matière de sécurité matérielle (ainsi que pour favoriser la sensibilisation à la sécurité matérielle) est le recours aux ratissages de sécurité des installations, qui sont régis par les procédures ministérielles d'inspection de sécurité matérielle et qui doivent être appliqués sur une base régulière conformément à la Directive sur la gestion de la sécurité ministérielle^{Note de bas de page 16}. Les procédures ministérielles documentées étaient considérées comme solides, mais on a constaté des problèmes liés à la fréquence, aux responsabilités confiées et à la documentation des ratissages de sécurité.

On a relevé plusieurs cas où les ratissages de sécurité n'étaient pas effectués régulièrement aux installations. De plus, les ratissages étaient généralement effectués par des employés qui assumaient des rôles liés à la sécurité (p. ex.. ASR, praticiens de la sécurité de l'administration centrale); on a toutefois relevé un cas où cette tâche a été confiée de façon informelle à du personnel administratif et les résultats n'ont pas été documentés. De plus, certaines installations visitées avaient compilé des statistiques sur les ratissages, comme le nombre et le pourcentage des résultats insatisfaisants par fonction, alors que d'autres installations visitées n'avaient pas compilé de statistiques. Les procédures ministérielles d'inspection de sécurité matérielle exigent que des statistiques sur les ratissages (p. ex. le nombre d'avis annuels, les défaillances les plus fréquentes) soient recueillies et communiquées au personnel de sécurité, et utilisées pour suivre les tendances à long terme.

Lorsque les ratissages de sécurité ne sont pas effectués, des exemples de violations à la sécurité ou des tendances peuvent passés inaperçus durant une longue période tant au niveau national que régional.

Une autre mesure de contrôle de la détection et de l'intervention utilisée par RCAANC/SAC est le Système d'information sur les services de sécurité (SISS)^{Note de bas de page 17}. Le SISS est le principal mécanisme utilisé pour surveiller les activités de sécurité matérielle dans l'ensemble des ministères et en faire rapport (i.e. nombre d'incidents par région/secteur). Cependant, comme l'on fait remarquer les praticiens de la sécurité de l'administration centrale, cette surveillance n'est en général pas exercée sur les données téléchargées dans le système. Les intervenants régionaux ont aussi indiqué un manque de clarté quant à la façon dont les données téléchargées dans le SISS étaient utilisées par l'administration centrale aux fins de la surveillance et de la prise de décisions. Nous avons aussi constaté un manque d'uniformité dans les pratiques de saisie des données relatives aux incidents dans SISS. À titre d'exemple, une région saisissait les données liées aux incidents de sécurité peu fréquemment par lots, quand le temps le permettait, et certains membres du personnel de l'administration centrale ont souligné que les régions ne téléchargeaient pas toujours leurs données relatives aux incidents en respectant le calendrier établi (soit tous les 3 mois). Par ailleurs, l'équipe de vérification a observé que le module de verrouillage des systèmes (qui permet l'inventaire des clés, des alarmes, des téléphones sécurisés, etc.) était utilisé de façon limitée (c'est-à-dire que l'information n'était pas fournie par les régions) et ne faisait pas l'objet d'une surveillance proactive ni de mise à jour.

Si les pratiques ne sont pas uniformes en matière de mise à jour de l'information et de sa surveillance dans SISS, la fiabilité du système en tant que banque de données centrale pour surveiller et faire des rapports sur les activités de sécurité pourrait être impactée en raison d'information incomplètes ou inexactes.

En alignement avec la DGSM, RCAANC/SAC a mis en place des procédures concernant la conduite d'enquêtes administratives sur les incidents de sécurité; nous avons toutefois été mis au fait de problèmes liés à la mise en œuvre de ces procédures^{Note de bas de page 18}. Il existe des procédures normalisées de fonctionnement décrivant comment le personnel de sécurité devrait être informé des enquêtes et y participer pleinement, mais on a constaté que le personnel de sécurité n'est pas toujours avisé des enquêtes administratives, y compris celles effectuées par les services des relations de travail tant à l'échelle régionale que nationale. Il est important qu'il y ait une communication et une collaboration avec le personnel de sécurité lors des enquêtes de manière à ce que les informations en matière de sécurité puissent être utilisées pour des activités variées (collecte de l'information, conduite des entrevues, clôture des dossiers) et que les responsabilités propres à la sécurité, comme la désactivation des cartes d'accès et la récupération des biens des ministères auprès des employés faisant l'objet d'une suspension ou d'un congédiement, puissent être exercées.

Recommandation

3. La directrice générale de la Direction générale des services des ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l'Organisation des affaires du Nord ainsi qu'avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :

renforcer et communiquer les politiques et les procédures visant à promouvoir l'amélioration de la communication et de la collaboration entre les fonctions des services des relations de travail et des services des locaux dans l'exercice d'activités liées à la sécurité matérielle;
évaluer les disparités régionales dans les mesures de sécurité matérielle et confirmer si elles sont appropriées et fondées sur les risques;
procéder à un examen pour recenser les besoins de formation prioritaires en matière de sécurité et mettre à jour le programme de formation et de sensibilisation en matière de sécurité des ministères basé sur les résultats.

6. Plan d'action de la direction

Recommandations	Réponse de la direction/ mesures à prendre (en consultation avec les régions)	Gestionnaire responsable (titre)	Date prévue de mise en œuvre
1. La directrice générale de la Direction générale des services de ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l'Organisation des affaires du Nord ainsi qu'avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :		Directrice générale, Services de ressources humaines et du milieu de travail en collaboration avec : Sous-ministre adjointe principale, Opérations régionales Sous-ministre adjoint, Organisation des affaires du Nord et Directeurs généraux régionaux
Veiller à ce que les rôles et responsabilités ainsi que les exigences en matière de sécurité approuvés soient respectés comme il est prévu dans l’ensemble des ministères;	1(1) Les rôles et les responsabilités des agents de sécurité régional (ASR) ont été révisés et approuvés lors de la réunion du Comité des opérations, en juillet 2017. Des consultations régionales sont en cours pour déterminer la meilleure façon de mettre en place les fonctions des ASR dans chaque région : fonctions désignées vs descriptions de travail génériques. Deux régions, la Colombie-Britannique et le Québec, ont déjà choisi de consacrer un poste à la prestation des services. Une description de travail générique détaillant les fonctions des ASR est mise à disposition des régions pour les niveaux AS-5 et AS-3.		T2 2018-2019
Renforcer la surveillance et la supervision afin de favoriser l’atteinte des objectifs et le respect des exigences en matière de sécurité matérielle.	1(2) L’équipe de la sécurité, à l’administration centrale (AC), va établir un plan d’action pour accroître cette capacité au sein de son organisation. La consultation des régions sera nécessaire afin de définir les indicateurs de rendement clé pour la surveillance des activités de sécurité.		EF : 2018-2019
2. La directrice général de la Direction générale des services de ressources humaines et du milieu de travail devrait renforcer la gestion des risques de la sécurité matérielle en faisant ce qui suit :		Directrice générale, Services des ressources humaines et du milieu de travail
Officialiser et communiquer la méthodologie des ministères visant à soutenir la réalisation des EMR, y compris la diffusion aux intervenants des indicateurs utilisés pour évaluer la menace et les risques;	2(1) La méthodologie utilisée pour mener les évaluations des menaces et des risques (EMR) sera communiquée à tous les DGR responsables de leur immeuble. Deux rapports d’EMR ont été réalisés : un au Manitoba, l’autre en Colombie-Britannique. La méthodologie leur sera transmise.		T1 2018-2019
Mettre en place un processus officiel pour surveiller la réalisation des EMR ainsi que la mise en œuvre des recommandations découlant des EMR.	2(2) Des plans d’action sont élaborés par les régions en réponse à leur EMR respective. L’équipe de la sécurité de l’administration centrale fait le suivi de ces plans d’action, et des réunions périodiques sont organisées afin d’assurer une compréhension et une approche commune. La mise en œuvre d’un processus officiel de suivi de l’achèvement des EMR et de la mise en œuvre de leurs recommandations figurera comme un objectif précis dans la nouvelle mouture du Plan de sécurité ministérielle (PSM). Conformément à la Politique sur la sécurité du gouvernement, l’ASM doit rapporter les progrès du PSM au sous-ministre au moins une fois par année.		EF : 2018-2019
3. La directrice général de la Direction générale des services de ressources humaines et du milieu de travail, en consultation avec la sous-ministre adjointe principale des Opérations régionales et le sous-ministre adjoint de l’Organisation des affaires du Nord ainsi qu’avec les directeurs généraux régionaux, devrait renforcer le cadre de gouvernance de la sécurité matérielle en faisant ce qui suit :		Directrice générale, Services de ressources humaines et du milieu de travail, en collaboration avec : Sous-ministre adjointe principale, Opérations régionales Sous-ministre adjoint, Organisation des affaires du Nord et Directeurs généraux régionaux
Renforcer et communiquer les politiques et les procédures visant à promouvoir l’amélioration de la communication et de la collaboration entre les fonctions des services des relations de travail et des services des locaux dans l’exercice d’activités liées à la sécurité matérielle;	3(1) Établir des mécanismes tels que de la formation (séances d’information en matière de sécurité, confinement et abri sur place, etc.), des séances de sensibilisation (messages dans l’Express, Semaine de sensibilisation à la sécurité en février, Semaine de la sécurité civile en mai) et des partenariats avec des intervenants clés pour améliorer la communication, la collaboration et la mise en commun de l’information.		Activités en cours Faire un suivi auprès du Comité ministériel de la vérification T1 2018-2019
Évaluer les disparités régionales dans les mesures de sécurité matérielle et confirmer si elles sont appropriées et fondées sur les risques;	3(2) Les services de la sécurité vont lancer un examen des pratiques et mesures de sécurité régionales en place afin d’évaluer les disparités (p. ex. des commissionnaires à certains endroits et pas ailleurs) et de déterminer si elles sont appropriées à leur environnement et à l’évaluation des risques. Ce point sera consigné dans le renouvellement du PSM.		EF : 2018-2019
	De plus, des mesures de sécurité matérielle de base, dont celles pour les niveaux de préparation des installations du gouvernement fédéral, ont été examinées lors de l’Atelier sur la sécurité 2017, qui s’est tenu du 24 au 26 octobre, à Winnipeg. Cet événement a contribué à améliorer la compréhension des mesures de sécurité matérielle minimales à mettre en place. L’équipe des services de la sécurité a créé une trousse d’accueil pour la sécurité, qui sera fournie à chaque nouvel employé. Le programme de formation et de sensibilisation en matière de sécurité sera mis à jour en conséquence.		Partiellement réalisé : La formation de base figure dans le mandat des ASR.
	L’équipe de la sécurité de l’administration centrale va travailler avec les régions à déceler les lacunes dans la formation. Les lacunes identifiées seront comblées grâce à une approche au cas par cas qui permettra de fournir de la formation adaptée et sur mesure aux ASR.		T4 2018-2019
Procéder à un examen pour recenser les besoins de formation prioritaires en matière de sécurité et mettre à jour le programme de formation et de sensibilisation en matière de sécurité des ministères basé sur les résultats.	3(3) Le programme de formation et de sensibilisation en matière de sécurité sera mis à jour en conséquence. De plus, des jumelages avec les autres régions et l’administration centrale pourraient être offerts sous réserve de l’attribution du financement nécessaire.		EF : 2018-2019

Annexe A : Critères de vérification

Afin d’atteindre le niveau d’assurance approprié pour répondre à l’objectif de la vérification, les critères de vérification suivants ont été élaborés.

Critères de vérification et objectifs de contrôle

1. Gouvernance

1.1 Les obligations redditionnelles, les rôles et responsabilités des employés ayant des responsabilités relatives à la sécurité sont définis, documentés et communiqués aux personnes concernées.

1.2 Une structure organisationnelle pour la sécurité matérielle a été établie et fonctionne en conformité avec les activités, les plans et les priorités des ministères.

1.3 Une fonction de supervision a été établie afin d’assurer la coordination et l’intégration des activités de sécurité avec les activités, les plans et les priorités des ministères et de mesurer les résultats.

2. Gestion des risques

2.1 Les ministères ont documenté et mis en œuvre des approches de la gestion des risques de la sécurité matérielle, qui comprennent des processus de détermination, d’évaluation, de communication et de surveillance des risques et d’intervention à leur égard.

3. Contrôles internes

3.1 Des politiques et des procédures ont été mises en place pour favoriser le respect des exigences des ministères en matière de sécurité matérielle.

3.2 Un programme de formation et de sensibilisation en matière de sécurité des ministères couvrant la sécurité matérielle est établi pour s’assurer de renseigner les employés et de leur rappeler régulièrement les questions et les préoccupations liées à la sécurité, ainsi que pour les former afin qu’ils s’acquittent de leurs responsabilités à ce titre.

3.3 Les renseignements, les biens et les installations sont protégés contre l’accès, la divulgation, la modification ou la destruction non autorisés, en fonction de leur niveau de sensibilité, de leur pertinence et de leur valeur.

3.4 La direction adopte une approche systématique et uniforme dans la planification et la surveillance des activités et des résultats liés à la sécurité matérielle et dans l’établissement de rapports les concernant.

3.5 Un processus de gestion des incidents est en place pour détecter et signaler les incidents touchant la sécurité matérielle, et y réagir.

Annexe B : Politiques, directives et orientation pertinente

Les sources autorisées suivantes ont été examinées et ont servi de fondements à cette vérification :

Publications d'ASIS International (dont Effective Physical Security, 4e édition)
Référentiel COBIT d'ISACA du domaine Delivery and Support (DS) 12 : Manage the Physical Environment
Directive sur la gestion de la sécurité ministérielle (DGSM) du Conseil du Trésor
Norme opérationnelle sur la sécurité matérielle du Conseil du Trésor
Politique sur la vérification interne du Conseil du Trésor
Cadre de responsabilisation de gestion (CRG) du Conseil du Trésor
Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor
Norme sur le filtrage de sécurité du Conseil du Trésor,
Lignes directrices et outils de la GRC [notamment, Méthodologie harmonisée d'évaluation des menaces et des risques (EMR); Guide pour la préparation d'un énoncé de sécurité matérielle; Contrôle de l'accès; et Protection, détection et intervention]

Les principales politiques, directives des ministères qui ont été examiné durant la vérification sont les suivantes :

Le Cadre de gestion de la sécurité
La politique en matière de sécurité du Ministère
Les procédures ministérielles d'inspection en matière de sécurité matérielle
Le plan ministériel de sécurité
La directive sur l'application des mesures administratives suite à des violations de sécurité
Les procédures opérationnelles en matière d'enquêtes administratives

Avez-vous trouvé ce que vous cherchiez?

Qu’est-ce qui n’allait pas?

Je ne peux pas trouver l’information

L'information est difficile à comprendre

Il y avait une erreur / quelque chose ne fonctionnait pas

Autre raison

Veuillez fournir plus de détails

Vous ne recevrez aucune réponse. N'incluez pas de renseignements personnels (téléphone, courriel, NAS, renseignements financiers, médicaux ou professionnels)
Maximum de 300 caractères

Date de modification :: 2018-08-15