Vérification de suivi de la gestion de la continuité des activités

Rapport final
Le 19 décembre 2014

[ * ] Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'Information et de la Loi sur la protection des renseignements personnels.

[PDF 68 Ko]

Table des matières

  1. Énoncé de conformité
  2. 1.0 Introduction
    1. 1.1 Autorisation
    2. 1.2 Objectif
    3. 1.3 Étendue
    4. 1.4 Critères de vérification
    5. 1.5 Approche et méthode
  3. 2.0 Conclusion
  4. 3.0 Constatations et recommandations
    1. 3.1 Structure de gouvernance
    2. 3.2 Établissement de rapports sur la GCA
    3. 3.3 Plans de continuité des activités et activités de validation
    4. 3.4 Information et outils
  5. 4.0 Réponse et plan d’action de la direction

Sigles utilisés dans le rapport

BCP Bureau du Conseil privé
CPM Cabinet du Premier ministre
DIST Division de l’informatique et des services techniques
GCA Gestion de la continuité des activités
GSU Gestion de la sécurité et des urgences
OPSEC Opérations de la sécurité (Division)
PCA Planification de la continuité des activités
PMGSU Plan ministériel de gestion de la sécurité et des urgences
PSG Politique sur la sécurité du gouvernement
SCT Secrétariat du Conseil du Trésor
SPP Services partagés Canada
TI Technologies de l’information

Énoncé de conformité

En ma qualité de dirigeant principal de la vérification, je suis d’avis que la présente vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme le prouvent les résultats du programme d’assurance et d’amélioration de la qualité du BCP.

Originale signé par

Dirigeant principal de la vérification
Jim Hamer
Directeur, Vérification et évaluation

1.0 Introduction

La gestion de la continuité des activités (GCA) fournit un cadre pour assurer la résilience d’une organisation à tout événement ainsi que la continuité des services offerts. Au gouvernement fédéral, la GCA fait partie des exigences de base en matière de sécurité et s’inscrit dans un processus qui vise à s’assurer que les services essentiels du gouvernement peuvent être offerts en tout temps en cas de catastrophe, d’incident de sécurité, de perturbation ou d’urgence. Ces exigences sont énoncées dans la Loi sur la gestion des urgences (2007) et dans la Politique sur la sécurité du gouvernement (PSG) du Conseil du Trésor. La planification de la continuité des activités (PCA) est importante en vue de l’élaboration et de l’exécution « en temps opportun de plans, de mesures, de procédures et de dispositions afin d’éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels » (PSG) advenant toute éventualité. Conformément à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du Conseil du Trésor, les ministères doivent mettre en œuvre un programme de continuité des activités et se préparer aux urgences et aux perturbations qui pourraient avoir une incidence sur la prestation des services essentiels du gouvernement1.

La Politique en gestion de la continuité des activités du Bureau du Conseil privé (BCP), publiée en 2009 en vertu des pouvoirs du greffier, vise à assurer la disponibilité continue des services, des biens et des services de soutien essentiels, indépendamment de l’ampleur de la perturbation de service. Il s’agit de se conformer à l’exigence du gouvernement du Canada visant à atteindre un état approprié de préparation pour assurer la continuité des activités et des services lors d’incidents de sécurité, de perturbations ou d’urgences. À défaut de se conformer à cette politique, le BCP pourrait ne pas être en mesure d’assurer la prestation continue de ses services essentiels, et il risquerait de manquer à ses responsabilités en matière de gestion des urgences au titre de la Loi sur la gestion des urgences et/ou de la PSG en ce qui concerne la PCA.

Le Plan ministériel de gestion de la sécurité des urgences (PMGSU) prévoit une approche à trois niveaux pour la PCA. Les trois niveaux sont décrits comme suit :

  • Niveau I – Plans et mesures de continuité des activités des divisions visant à composer avec une perturbation mineure, comme une inondation des locaux qui ne touche qu’un secrétariat ou une division.
  • Niveau II – Plans ministériels, y compris les ententes sur les sites de remplacement, visant à intervenir et à se rétablir en cas de perturbation modérée, comme un incendie touchant un ou plusieurs immeubles du BCP.
  • Niveau III – Préparatifs en cas de perturbation catastrophique, comme un événement à l’échelle de la ville ne touchant pas seulement le BCP et le Cabinet du Premier ministre (CPM), [ * ]

Comme indiqué dans la section Étendue ci‑dessous, la PCA de niveau III n’est pas visée par la présente vérification.

Résultats de la vérification initiale

En 2010, la Division de la vérification et de l’évaluation a effectué une Vérification relative à la continuité des activités et à la préparation aux urgences (rapport final publié en mai 2011). [ * ] À la suite de la vérification de 2010, le BCP a ajusté son approche de planification afin d’inclure un plus petit nombre de fonctions essentielles [ * ] lesquelles figurent maintenant dans le PMGSU.

1.1 Autorisation

La Vérification de suivi de la gestion de la continuité des activités, avec achèvement prévu en 2014‑2015, a été approuvée par le greffier du Conseil privé dans le Plan de vérification fondé sur les risques du BCP.

1.2 Objectif

L’objectif général de la présente vérification est d’évaluer l’efficacité de la structure et des contrôles de gouvernance en place pour ce qui est de soutenir l’exécution du programme de GCA ainsi que la prestation continue des fonctions essentielles du BCP en cas de perturbation.

1.3 Étendue

En mai 2011, la Division de la vérification et de l’évaluation du BCP a terminé la vérification interne relative à la continuité des activités et à la préparation aux urgences. La vérification de suivi porte principalement sur les changements apportés aux pratiques de GCA et sur les activités menées après octobre 2010, mois où a pris fin la période couverte par la vérification précédente. Si la vérification initiale portait sur la continuité des activités et sur la préparation aux urgences, la présente vérification se limite à la GCA. Il n’y est pas question d’autres éléments du Programme de gestion de la sécurité et des urgences (GSU) du BCP, comme les organisations de secours des immeubles, les activités de sécurité et de prévention des incendies et la sécurité matérielle.

L’étendue de la vérification englobe la structure de gouvernance établie pour administrer et surveiller les plans de niveau I des divisions pour les perturbations mineures, les plans de réinstallation de niveau II pour les perturbations modérées et les activités de planification des fonctions essentielles, y compris le développement et la mise à l’essai des plans de continuité des activités ainsi que la surveillance du programme. Les activités de GCA de niveau III, notamment la planification en prévision d’événements catastrophiques ayant une incidence sur la continuité de l’État constitutionnel, ne sont pas visées, car celles-ci font intervenir des partenaires externes et n’étaient pas incluses dans la vérification initiale.

1.4 Critères de vérification

Pendant l’étape de la planification, l’équipe de vérification a établi et fait approuver par la direction quatre grands critères de vérification. Il s’agit d’attentes raisonnables en ce qui concerne les résultats attendus du programme. Ces critères sont à la base de l’évaluation de l’efficacité du programme de GCA.

  1. Une structure de gouvernance efficace est en place. Elle comprend des rôles, des responsabilités et des obligations redditionnelles clairement communiqués et compris. Les ressources sont suffisantes pour assurer l’efficacité du programme de GCA.
  2. Des mécanismes sont en place pour assurer le suivi des activités de GCA, la présentation de rapports de manière régulière et opportune ainsi que la prise de mesures correctives au besoin.
  3. Les plans et les opérations de continuité des activités sont complets et tiennent compte des secteurs prioritaires et essentiels pour le BCP.
  4. De l’information et des outils en matière de GCA sont fournis aux intervenants responsables de la GCA en temps opportun, afin de soutenir l’exécution efficace du programme.

1.5 Approche et méthode

La vérification a débuté par une étape de planification qui s’est déroulée de février à mars 2014. L’équipe de vérification a alors cerné les risques pertinents à l’atteinte des objectifs et des résultats attendus du programme de GCA du BCP. D’après ces risques, l’équipe a établi les critères de vérification susmentionnés, qui sont principalement basés du document de référence du Secrétariat du Conseil du Trésor (SCT) intitulé Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes. Avant de passer à l’étape de l’examen, le dirigeant principal de la vérification a communiqué les résultats de l’étape de la planification à la direction, qui a accepté les critères de vérification.

L’étape de l’examen, qui s’est étendue mars à juin 2014, a consisté en un examen des éléments suivants : la structure de gouvernance établie pour superviser et administrer le programme de GCA; l’exhaustivité des plans et des opérations de continuité des activités; les mécanismes en place pour assurer le suivi des activités de GCA et l’établissement de rapports à cet égard. Des entrevues ont été réalisées auprès de représentants de la Division des opérations de la sécurité (OPSEC) du BCP participant aux activités de PCA ainsi qu’auprès d’intervenants de l’extérieur de la Division ayant des responsabilités en matière de PCA. Il s’agissait notamment d’examiner les rôles, les responsabilités et les obligations redditionnelles des personnes ayant un mandat officiel en matière de GCA ainsi que l’information et les rapports fournis pour assurer une supervision efficace du programme.

À la fin de l’étape de l’examen, les constatations de la vérification ont fait l’objet d’une discussion avec la direction, et un rapport provisoire a été préparé et envoyé par le dirigeant principal de la vérification au secrétaire adjoint du Cabinet, Sécurité et renseignement, en vue de la rédaction d’une réponse et d’un plan d’action pour donner suite aux recommandations. Le Comité de vérification du BCP examine les rapports de vérification et les plans d’action de la direction, puis recommande au greffier du Conseil privé de les approuver.

2.0 Conclusion

La structure de gouvernance du programme de GCA figure dans deux politiques organisationnelles et dans le PMGSU, [ * ]

Des améliorations ont rapidement été apportées à la suite de la Vérification relative à la continuité des activités et à la préparation aux urgences de 2010, notamment la définition d’un nombre restreint de fonctions essentielles pour le BCP et l’établissement d’ententes sur les sites de remplacement. [ * ]

Les sections suivantes traitent des constatations et des recommandations de la vérification.

3.0 Constatations et recommandations

3.1 Structure de gouvernance

Les rôles, les responsabilités et les obligations redditionnelles associés au programme de GCA du BCP sont définis dans la Politique en gestion de la continuité des activités, dans la Politique sur la sécurité et la gestion des urgences et dans le PMGSU. [ * ]

Au BCP, les exigences en matière de continuité des activités figurent dans deux politiques organisationnelles : la Politique en gestion de la continuité des activités (2009) et la Politique sur la sécurité et la gestion des urgences (2012). La première décrit le cadre de responsabilité propre au programme de GCA, tandis que la deuxième présente la continuité des activités dans le contexte du grand Programme de GSU, qui inclut aussi la sécurité matérielle et du personnel, la sécurité et la prévention des incendies, la sécurité des technologies de l’information (TI) et de la gestion de l’information, la gestion des urgences, et la planification des interventions. Le Programme de GSU est dirigé par l’agent de sécurité ministériel, qui relève du secrétaire adjoint du Cabinet, Sécurité et renseignement.

Selon ce cadre de gouvernance, le Comité exécutif du BCP est chargé d’assurer un état de préparation efficace permettant l’atténuation, la préparation, l’intervention et le rétablissement à l’égard d’une perturbation de la continuité des activités, ce qui comprend la supervision directe du programme de GCA. [ * ]

Les deux politiques susmentionnées présentent une approche à la PCA qui confère à la Division des OPSEC un rôle de dirigeant fonctionnel ou de coordonnateur chargé de guider et d’appuyer les directions générales, les secrétariats et les divisions du BCP dans la préparation, la validation, la mise à jour et la maintenance de leurs plans de continuité des activités. [ * ]

[ * ]

[ * ]

Nous recommandons que le secrétaire adjoint du Cabinet, Sécurité et renseignement, à titre de premier cadre supérieur responsable de la supervision du Programme de GSU, sous la responsabilité générale du conseiller à la sécurité nationale auprès du Premier ministre, assure la mise en œuvre des recommandations de la vérification.

Recommandation 1 : [ * ]

3.2 Établissement de rapports sur la GCA

Des rapports sur les activités de GCA sont établis dans une mesure limitée dans le cadre du Programme de GSU. [ * ]

La Division des OPSEC a élaboré une stratégie de gestion du rendement dans laquelle elle définit les extrants, les résultats et les indicateurs de rendement. [ * ]

[ * ]

Recommandation 2 : [ * ]

3.3 Plans de continuité des activités et activités de validation

Des plans de continuité des activités pour les secrétariats et les divisions existent et certains tests ont été menés pour valider les efforts de rétablissement, [ * ]

3.3.1 Level I Business Continuity Plans

En pratique, les activités de planification de la GCA [ * ]  « est un processus de planification qui permet d’assurer la prestation continue des fonctions essentielles en cas de perturbation ou d’urgence ». Les plans de continuité de niveau I pour les perturbations mineures sont élaborés dans les secrétariats et les divisions pour 30 unités fonctionnelles alignées sur la structure organisationnelle du BCP. Dans le cadre de la planification de niveau I, chaque secrétariat et division doit identifier ses services essentiels et le temps de rétablissement, ce qui permet de cerner les activités essentielles au niveau des opérations. Ces renseignements sont utilisés pour définir les besoins en ce qui concerne la planification de niveau II. Puisque les activités de planification sont structurées de manière à refléter les besoins individuels des unités fonctionnelles du BCP, [ * ]  

Dans le cadre de la vérification, nous avons examiné [ * ] plans de continuité des activités de niveau I. [ * ] Des plans de continuité des activités de niveau I existent, [ * ]

Voir la recommandation 1.

3.3.2 Plan de continuité des activités de niveau II

Les OPSEC ont travaillé avec les responsables des fonctions essentielles par l’intermédiaire du Groupe de travail permanent sur les fonctions essentielles à la mission du BCP, [ * ] Le plan de niveau II existant consiste essentiellement en une stratégie de rétablissement conçue pour veiller à ce que les employés du BCP et du CPM qui doivent se rendre dans un site de remplacement puissent le faire de manière sécuritaire, efficace et coordonnée.

Une grande partie des documents de planification de niveau II remontent à 2010-2011 et ont été terminés pendant ou juste après la Vérification relative à la continuité des activités et à la préparation aux urgences originale. En octobre 2010, le BCP a conclu avec un autre ministère un protocole d’entente lui permettant d’utiliser des bureaux d’un site de remplacement en cas de perturbation touchant ses installations. Le protocole d’entente demeure en vigueur, [ * ]

Dans le cadre de la planification de niveau II, un certain nombre de documents à l’appui du protocole d’entente ont été élaborés afin d’établir les exigences en matière de TI et de télécommunications pour le site de remplacement principal. [ * ]

[ * ]

[ * ]

3.3.3 Mise à l’essai des plans

D’après les entrevues menées auprès du personnel des OPSEC et des personnes responsables des fonctions essentielles, [ * ]  En 2013, la Division des OPSEC a pris part aux exercices sur table pour [ * ] plans de niveau I. Les participants ont discuté de la manière dont ils réagiraient en cas d’événement touchant la continuité des activités.

Comme il a déjà été dit, les documents de planification de niveau II [ * ]

[ * ]  Au moment de rédiger ce rapport, ce travail était toujours en cours.

Effectuer des mises à l’essai ou des exercices relativement aux plans de continuité des activités fait partie intégrante de la maintenance des plans, comme le précise la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT. [ * ]

3.4 Information et outils

Des mécanismes et des outils de mobilisation sont en place pour aider les intervenants à comprendre leurs devoirs en ce qui concerne les activités de GCA.

Le programme de GCA est soutenu par un certain nombre d’outils, dont le document de planification de la GCA utilisé par les secrétariats pour élaborer et mettre à jour leur plan de GCA du niveau I, ainsi que par des exercices et des rapports uniformisés pour les activités de validation de niveau I. Les planificateurs de la continuité des activités des secrétariats et des divisions semblaient satisfaits des outils offerts pour soutenir les activités de validation du niveau I, [ * ]

[ * ]

Par le passé, les représentants des OPSEC rencontraient annuellement les intervenants du site de remplacement principal afin de confirmer les arrangements pris à l’appui des plans de niveau II. [ * ]

La vérification ne comprend pas de recommandation officielle concernant l’information et les outils fournis aux intervenants. Nous encourageons néanmoins la mobilisation continue des responsables des fonctions essentielles ainsi que la participation des planificateurs de la continuité des activités, étant donné que les activités de planification sont coordonnées suivant une approche [ * ]

4.0 Réponse et plan d’action de la direction

La direction a accepté toutes les recommandations de la vérification. Son plan d’action est présenté dans les prochaines pages.

Plan d’action de la direction

Vérification de suivi de la gestion de la continuité des activités
Le secrétaire adjoint du Cabinet, Sécurité et renseignement, assume la responsabilité globale du plan d’action.
Recommandation Mesures prévues Responsable Échéance
Nous recommandons que le secrétaire adjoint du Cabinet, Sécurité et renseignement, à titre de premier cadre supérieur responsable de la supervision du Programme de GSU, sous la responsabilité générale du conseiller à la sécurité nationale auprès du Premier ministre, assure la mise en œuvre des recommandations suivantes :      
1. [ * ] La direction accepte la recommandation.
[ * ]

[ * ]
Directeur, Planification et gestion des enjeux, OPSEC Décembre 2015
2. [ * ] La direction accepte la recommandation.
[ * ]

[ * ]

[ * ]
Directeur, Planification et gestion des enjeux, OPSEC Novembre 2014 et par la suite
3.  [ * ] La direction accepte la recommandation.

[ * ]
Directeur, Planification et gestion des enjeux, OPSEC, [ * ] Décembre 2015

Note de bas de page

  1. Référence : Vérification de la planification de la continuité des activités, 2012, SCT