Vérification de la sécurité matérielle et du personnel

[ * ] Il y a un astérisque quand des renseignements sensibles ont été enlevés aux termes de la Loi sur l'accès à l'Information et de la Loi sur la protection des renseignements personnels.

Rapport final
Le 13 septembre 2013

[PDF 137 Ko]

Table des matières

  1. Sommaire
    1. 1.0 Introduction
    2. 1.1 Autorisation
    3. 1.2 Objectifs et étendue
    4. 1.3 Contexte
    5. 1.4 Approche et méthodologie
  2. 2.0 Constatations, conclusions et recommandations
    1. 2.1 Gouvernance
    2. 2.2 Évaluation des risques
    3. 2.3 Contrôle de la sécurité matérielle
    4. 2.4 Contrôle de la sécurité du personnel
    5. 2.5 Recommandations
  3. 3.0 Réponse et plan d’action de la direction

Acronymes utilisés dans le présent rapport

ARC Agence du revenu du Canada
ASM Agent de sécurité ministériel
BPR Bureau de première responsabilité
BCP Bureau du Conseil privé
BSF Bureau du surintendant des faillites
CPM Cabinet du Premier ministre
DSM Direction des services ministériels
DIST Division de l’informatique et des services techniques
OPSEC Division des opérations de la sécurité
EMVR Évaluation de la menace, de la vulnérabilité et du risque
GRC Gendarmerie royale du Canada
GSU Gestion de la sécurité et des urgences
GIAR Gestion intégrée fondée sur les résultats
PMGSU Plan ministériel de gestion de la sécurité et des urgences
SCT Secrétariat du Conseil du Trésor
SCRS Service canadien du renseignement de sécurité
TPSGC Travaux publics et Services gouvernementaux Canada

Sommaire

Autorisation

Le greffier a approuvé la Vérification sur la sécurité matérielle et du personnel dans le cadre du Plan de vérification interne fondé sur les risques du Bureau du Conseil privé (BCP) de 2012‑2013 à 2014-2015. 

Objectifs

La vérification avait pour objectifs :

  1. d’évaluer la conception et l’efficacité opérationnelle des structures et des processus de gouvernance liés à la sécurité matérielle et du personnel;
  2. d’évaluer le bien-fondé des processus d’évaluation des risques liés à la sécurité matérielle et du personnel;
  3. de déterminer si des mesures appropriées de contrôle de la sécurité matérielle ont été établies et mises en œuvre en vue de protéger les installations, l’information et les biens, et de se conformer à la politique du gouvernement;
  4. de déterminer si des mesures appropriées de contrôle de la sécurité du personnel ont été établies et mises en œuvre en vue de protéger les biens et les renseignements délicats, et de se conformer à la politique du gouvernement.

Étendue

La vérification a porté sur les éléments liés à la sécurité matérielle et du personnel du programme de Gestion de la sécurité et des urgences (GSU) du BCP, qui est administré par la Division des opérations de la sécurité (OPSEC). Elle couvre la période allant de juillet 2009 à octobre 2012, bien que des événements survenus après cette date aient aussi été pris en considération.

Pour les besoins de la vérification, on entend par sécurité matérielle l’utilisation de mesures de protection matérielle, de dispositifs et de procédures visant à empêcher ou à retarder l’accès non autorisé aux biens, à détecter les tentatives d’accès non autorisé et les accès non autorisés, et à activer les mécanismes d’intervention appropriés. La vérification a porté sur toutes les installations utilisées par le BCP, peu importe qu’il en soit propriétaire ou non. Aux fins de la vérification, les installations et les mesures de contrôle de la sécurité ont été sélectionnées au moyen d’une méthode fondée sur les risques.

L’évaluation de la sécurité du personnel s’est essentiellement concentrée sur les processus d’habilitation des cotes de fiabilité et de sécurité (niveaux SECRET et TRÈS SECRET). La population étudiée dans le cadre de la vérification se composait de tous les nouveaux employés embauchés au BCP, au Cabinet du Premier ministre (CPM), dans les cabinets des ministres et des secrétaires parlementaires relevant du BCP, et dans les commissions d’enquête. Ce secteur d’intérêt comprenait aussi l’aide apportée par le BCP au Premier ministre pour déterminer l’aptitude des candidats à occuper des charges publiques.

Conclusions

Au titre de la Politique sur la sécurité du gouvernement, le greffier, en sa qualité d’administrateur général, est responsable de la sécurité au sein de l’organisme. Cela comprend la sécurité du personnel, y compris les employés travaillant pour le CPM et les cabinets des ministres relevant du BCP, ainsi que l’information, les installations et les autres biens de l’organisme. La sécurité matérielle et la sécurité du personnel, qui font l’objet de la vérification, sont des éléments clés du concept englobant la gestion de la sécurité et des urgences.

La définition des rôles, des responsabilités, des obligations de reddition de comptes et des relations ainsi que la documentation s’y rapportant ont grandement progressé grâce à l’élaboration d’une nouvelle Politique sur la sécurité et la gestion des urgences s’appliquant au BCP, au CPM et aux cabinets des ministres relevant du BCP, et à la création du premier Plan ministériel de gestion de la sécurité et des urgences du BCP. [ * ]

La surveillance efficace effectuée par les comités et la planification méticuleuse réalisée par les agents de sécurité ont mené à des avancées constantes dans le domaine de la mesure du rendement. Un cadre visant à mesurer le rendement à l’égard de la GSU a été élaboré et est actuellement mis en œuvre. La direction prévoit poursuivre ses efforts en suivant une démarche progressive et en apportant les rajustements nécessaires pour rendre pleinement opérationnel son cadre.

La Division des opérations de la sécurité a adopté un modèle détaillé de gestion des risques conforme au cadre du Secrétariat du Conseil du Trésor et du BCP à l’égard des risques et est désormais en train de le mettre en œuvre. La démarche suivie pour gérer les risques en matière de sécurité est bien décrite dans le PMGSU et comprend deux phases interdépendantes : l’évaluation des risques et le traitement des risques. [ * ]

Le bien-fondé des mesures de contrôle de la sécurité matérielle doit être évalué en fonction de la tolérance de la direction au risque. Nous avons examiné les initiatives liées à la sécurité matérielle, [ * ] Certaines initiatives prévues ont été mises en œuvre avec succès, ce qui a permis de traiter les vulnérabilités cernées précédemment, tandis que d’autres initiatives accusent du retard, mais sont en bonne voie d’être pleinement mises en œuvre. [ * ]

Le BCP répond à la plupart des exigences minimales énoncées dans la Norme sur la sécurité du personnel du SCT. [ * ]

Recommandations

Nous recommandons que le conseiller à la sécurité nationale auprès du Premier ministre, en sa qualité de membre de la haute direction chargé de la sécurité ministérielle :

  1. [ * ]
  2. identifie tous les responsables du risque chargés d’aborder les risques de la GSU du BCP mentionnés dans le PMGSU, et consigne leurs décisions officielles au chapitre de l’évaluation et du traitement des risques, notamment les motifs des décisions. L’Agent de sécurité ministériel (ASM) devrait revoir toutes les évaluations et les décisions qui découleront de ce processus pour garantir qu’elles correspondent aux seuils de tolérance acceptables. Si l’ASM croit que les responsables du risque acceptent des risques résiduels dépassant les seuils de tolérance acceptables, cela doit être porté à l’attention du niveau supérieur compétent, y compris du Comité exécutif du BCP, pour résolution.
  3. [ * ]
  4. [ * ]
  5. [ * ]

    Nous recommandons que le directeur exécutif des Opérations de la sécurité, en sa qualité d’administrateur des Lignes directrices sur la vérification des antécédents préalable à la nomination de candidats à certaines charges publiques et au nom du greffier :
  6. examine le processus décrit dans les lignes directrices pour en assurer l’application cohérente à tous les postes auxquels elles font référence.

Réponse de la direction

La direction a accepté toutes les recommandations. Sa réponse et son plan d’action sont présentés à la partie 3.0 du présent rapport.

Énoncé de conformité

Cette vérification a été menée conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Aucune inspection professionnelle n’a été menée1.

Original signé par

Signature du Dirigeant principal de la vérification

Jim Hamer
Directeur, Vérification et évaluation

1.0 Introduction

1.1 Autorisation

Le greffier a approuvé la Vérification de la sécurité matérielle et du personnel dans le cadre du Plan de vérification interne fondé sur les risques du Bureau du Conseil privé (BCP) de 2012‑2013 à 2014-2015. 

1.2 Objectifs et étendue

La vérification avait pour objectifs :

  1. d’évaluer la conception et l’efficacité opérationnelle des structures et des processus de gouvernance liés à la sécurité matérielle et du personnel;
  2. d’évaluer le bien-fondé des processus d’évaluation des risques liés à la sécurité matérielle et du personnel;
  3. de déterminer si des mesures appropriées de contrôle de la sécurité matérielle ont été établies et mises en œuvre en vue de protéger les installations, l’information et les biens, et de se conformer à la politique du gouvernement;
  4. de déterminer si des mesures appropriées de contrôle de la sécurité du personnel ont été établies et mises en œuvre en vue de protéger les biens et les renseignements délicats, et de se conformer à la politique du gouvernement.

La vérification a porté sur les éléments liés à la sécurité matérielle et du personnel du programme de Gestion de la sécurité et des urgences (GSU) du BCP, qui est administré par la Division des opérations de la sécurité (OPSEC). Elle couvre la période allant de juillet 2009 à octobre 2012, bien que des événements survenus après cette date ont aussi été pris en considération.

Pour les besoins de la vérification, on entend par sécurité matérielle l’utilisation de mesures de protection matérielle, de dispositifs et de procédures visant à empêcher ou à retarder l’accès non autorisé aux biens, à détecter les tentatives d’accès non autorisé et les accès non autorisés, et à activer les mécanismes d’intervention appropriés. La vérification a porté sur toutes les installations utilisées par le BCP, peu importe qu’il en soit propriétaire ou non. Aux fins de la vérification, les installations et les mesures de contrôle de la sécurité ont été sélectionnées au moyen d’une méthode fondée sur les risques.

L’évaluation de la sécurité du personnel s’est essentiellement concentrée sur les processus d’habilitation des cotes de fiabilité et de sécurité (niveaux SECRET et TRÈS SECRET). La population étudiée dans le cadre de la vérification se composait de tous les nouveaux employés embauchés au BCP, au Cabinet du Premier ministre (CPM), dans les cabinets des ministres et des secrétaires parlementaires relevant du BCP, et dans les commissions d’enquête. Ce secteur d’intérêt comprenait aussi l’aide apportée par le BCP au Premier ministre pour déterminer l’aptitude des candidats à occuper des charges publiques.

1.3 Contexte

Assurer une sécurité matérielle et du personnel adéquate revêt une importance particulière pour le BCP en raison de sa proximité avec le centre du gouvernement, tant sur le plan géographique qu’intellectuel. Les mesures de contrôle de la sécurité matérielle assurent la protection des installations du BCP et des personnes qui y travaillent, ainsi que de ses biens et de ses renseignements. Les risques associés à la sécurité matérielle du BCP sont élevés en raison de la vulnérabilité de la Cité parlementaire et de ses environs – où sont établies les activités de l’organisme – à une variété de menaces et de dangers. L’ampleur de l’accès qu’ont les employés du BCP aux renseignements délicats explique l’importance de la sécurité du personnel. L’organisme s’en remet grandement à la fiabilité et aux qualifications de ses employés.

D’un point de vue stratégique et en vertu de la Politique sur la sécurité du gouvernement du Conseil du Trésor, le greffier, à titre d’administrateur général du BCP, est chargé d’assurer et de gérer en toute efficacité la sécurité au sein de l’organisme, ce qui comprend la sécurité du personnel ministériel, de l’information, des installations et des autres biens. Les administrateurs généraux sont aussi responsables de nommer un agent de sécurité ministériel (ASM) qui relève d’eux ou du Comité exécutif et qui gérera le programme de sécurité de l’organisme. Le greffier a nommé le directeur exécutif des Opérations de la sécurité, du Secrétariat de la sécurité et du renseignement, au poste d’ASM du BCP.

Les rôles et responsabilités des employés qui appuient les administrateurs généraux dans la gestion de la sécurité ministérielle à l’échelle du gouvernement sont définis dans la Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor (SCT). Cette directive décrit les responsabilités de l’ASM à l’égard de la gestion du programme de sécurité ministérielle, notamment la planification, la gouvernance, la gestion des risques, la surveillance et le suivi, la mesure du rendement et l’évaluation.

La Norme opérationnelle sur la sécurité matérielle du SCT énonce les exigences de base liées à la sécurité matérielle pour ce qui est des menaces les plus courantes auxquelles font face les ministères. Certains ministères, comme le BCP, peuvent faire face à différentes menaces en raison de la nature de leurs activités, de l’endroit où ils sont situés ou de l’attrait qu’exercent leurs biens. Les mesures de contrôle de la sécurité devraient se fonder sur les exigences des ministères, telles qu’elles sont définies dans l’évaluation des risques réalisée par la direction. Elles doivent comprendre des éléments de protection, de détection, d’intervention et de rétablissement reconnaissables. Veuillez prendre note que le dernier élément, le rétablissement, a fait l’objet d’une vérification dans le cadre de la Vérification relative à la continuité des activités et à la préparation aux urgences de 2011 et n’a donc pas été inclus dans la présente vérification.

Les administrateurs généraux de tous les ministères doivent s’assurer que toutes les personnes qui ont accès à l’information et aux biens du gouvernement, y compris celles qui travaillent pour les bureaux des ministres et des ministres d’État, font l’objet d’une enquête de sécurité au niveau approprié avant leur entrée en fonction2. Selon la politique du BCP, elles doivent en outre détenir au minimum une cote de sécurité de niveau SECRET à titre de condition d’emploi. Les personnes qui ont besoin d’avoir accès à de l’information de niveau TRÈS SECRET doivent détenir une cote de sécurité à ce niveau avant de pouvoir avoir accès à l’information en question. Des exigences précises ont été établies et des mesures de protection recommandées pour la tenue des enquêtes de sécurité du personnel dans la Norme sur la sécurité du personnel du SCT. En outre, à titre d’organisme responsable de la sécurité, le BCP est chargé d’aider le Premier ministre à déterminer l’aptitude des candidats à occuper des charges publiques ainsi qu’à effectuer des enquêtes de sécurité pour les administrateurs généraux.

1.4 Approche et méthodologie

La vérification a commencé par une phase de planification qui s’est échelonnée de juillet à octobre 2012 et au cours de laquelle nous avons réalisé un examen des politiques, des directives et des lignes directrices pertinentes, mené des entrevues auprès du personnel des Opérations de la sécurité (OPSEC) et procédé à l’examen préliminaire de l’information portant sur le programme, y compris le Plan ministériel de gestion de la sécurité et des urgences (PMGSU) du BCP et les résultats de l’Évaluation de la menace, de la vulnérabilité et du risque de 2012. Avant de passer à l’examen de la vérification, le dirigeant principal de la vérification a communiqué les résultats de la phase de planification à la direction, et celle-ci a approuvé les critères de vérification détaillés.

Les critères de vérification proviennent des autorisations du SCT, y compris la Directive sur la gestion de la sécurité ministérielle, la Norme opérationnelle sur la sécurité matérielle, la Norme sur la sécurité du personnel, les Critères de vérification liés au Cadre de responsabilisation de gestion : outil à l’intention des vérificateurs internes, les Politiques à l’intention des cabinets des ministres et la Politique sur la sécurité et la gestion des urgences du BCP.

Au cours de la phase de l’examen, qui s’est échelonnée d’octobre 2012 à mars 2013, nous avons mené des entrevues auprès des agents de sécurité et des gestionnaires de programmes des divisions des Ressources humaines et de l’Administration; procédé à l’examen détaillé de la documentation et effectué une comparaison entre la politique et les résultats prévus de l’organisme et du gouvernement; visité les installations du BCP pour observer les mesures de contrôle de la sécurité matérielle; réalisé des analyses quantitatives des données tirées des enquêtes de sécurité du personnel; analyser des échantillons de processus et de procédures sur la sécurité du personnel.

Deux échantillons ont été utilisés pour atteindre l’objectif de la vérification portant sur les mesures de contrôle de la sécurité du personnel. Le premier comprenait 31 personnes choisies aléatoirement qui ont commencé à travailler pour le BCP, le CPM, les cabinets des ministres et des secrétaires parlementaires relevant du BCP et les commissions d’enquête pendant la période visée par le rapport. Le nom de cinq personnes y a par la suite été ajouté, de manière à augmenter la population étudiée pour l’année 2012. Le deuxième échantillon comprenait 35 personnes nommées à des postes dotés par le gouverneur en conseil ou à d’autres postes pour lesquels le BCP est chargé d’effectuer la vérification des antécédents avant la nomination. La taille des échantillons a été déterminée avec discernement afin d’inclure tous les postes identifiés dans les lignes directrices. Par conséquent, rien n’a été tenté pour tirer des inférences statistiques sur les populations.

À la fin de la phase de l’examen, la direction a validé les résultats de la vérification, et le dirigeant principal de la vérification a préparé et envoyé un rapport préliminaire à la haute direction. Celle‑ci devait y répondre et élaborer des plans d’action pour donner suite aux recommandations. Les rapports préliminaires de la vérification et les plans d’action de la direction ont ensuite été soumis à l’examen du Comité de vérification du BCP, qui en a recommandé l’approbation par le greffier du Conseil privé.

2.0 Constatations, conclusions et recommandations

La présente section s’articule autour des quatre objectifs de la vérification : 1) la gouvernance; 2) l’évaluation des risques; 3) les mesures de contrôle de la sécurité matérielle; 4) les mesures de contrôle de la sécurité du personnel. Pour chacun des objectifs, nous présentons les critères convenus par la direction, suivi d’une conclusion d’ordre général et de constatations détaillées en phase avec les énoncés des critères. Les recommandations se trouvent à la fin de la section.

2.1 Gouvernance

Objectif de la vérification :  Évaluer la conception et l’efficacité opérationnelle des structures et des processus de gouvernance liés à la sécurité matérielle et du personnel.

Afin de satisfaire au premier objectif de la vérification, nous avons cherché des éléments probants pour confirmer que :

  • les obligations de reddition de comptes, les pouvoirs délégués, les relations hiérarchiques ainsi que les rôles et responsabilités du personnel ministériel assumant des responsabilités à l’égard de la sécurité matérielle et du personnel sont bien définis et consignés;
  • des organismes de gouvernance efficaces en matière de sécurité sont établis afin d’assurer la coordination des activités portant sur la sécurité matérielle et du personnel et leur intégration aux opérations, aux priorités, aux fonctions et aux plans généraux liés à la GSU et à l’organisme et visant à faciliter la prise de décisions;
  • la direction a défini et mis en œuvre des mesures de rendement appropriées liées aux résultats prévus.

Conclusion

Au titre de la Politique sur la sécurité du gouvernement, le greffier, en sa qualité d’administrateur général, est responsable de la sécurité au sein de l’organisme. Cela comprend la sécurité du personnel, y compris les employés travaillant pour le CPM et les cabinets des ministres relevant du BCP, ainsi que l’information, les installations et les autres biens de l’organisme. La sécurité matérielle et la sécurité du personnel, qui font l’objet de la vérification, sont des éléments clés du concept englobant la gestion de la sécurité et des urgences.

La définition des rôles, des responsabilités, des obligations de reddition de comptes et des relations ainsi que la documentation s’y rapportant ont grandement progressé grâce à l’élaboration d’une nouvelle Politique sur la sécurité et la gestion des urgences s’appliquant au BCP, au CPM et aux cabinets des ministres relevant du BCP, et à la création du premier Plan ministériel de gestion de la sécurité et des urgences du BCP. [ * ]

La surveillance efficace effectuée par les comités et la planification méticuleuse réalisée par les agents de sécurité ont mené à des avancées constantes dans le domaine de la mesure du rendement. Un cadre visant à mesurer le rendement à l’égard de la GSU a été élaboré et est actuellement mis en œuvre. La direction prévoit poursuivre ses efforts en suivant une démarche progressive et en apportant les rajustements nécessaires pour rendre pleinement opérationnel son cadre.

Constatations

Obligations de reddition de comptes, rôles et responsabilités

La Politique sur la sécurité et la gestion des urgences du BCP est entrée en vigueur en décembre 2012 en remplacement de la Politique sur la sécurité(2005). Parmi les améliorations apportées, mentionnons des descriptions des rôles et responsabilités plus précises et plus vastes que dans l’ancienne politique. Grâce à leur ampleur et à leur profondeur, ces nouvelles responsabilités décrivent mieux qui est responsable de quoi au sein du BCP dans le domaine de la gestion de la sécurité et des urgences, y compris la sécurité matérielle et du personnel.

La structure de gouvernance de la GSU est en outre décrite dans le nouveau Plan ministériel de gestion de la sécurité et des urgences (PMGSU) du BCP. La structure de gouvernance y est représentée dans un graphique à trois niveaux : 1) le niveau opérationnel – y compris les Opérations de la sécurité (OPSEC), les divisions de la Direction des services ministériels (DSM), le Comité consultatif de la gestion ministérielle et le directeur exécutif des Opérations de la sécurité (OPSEC); 2) le niveau de la haute direction – y compris la sous-ministre adjointe, DSM, les bureaux de première responsabilité (BPR) pour les fonctions essentielles du BCP et le secrétaire adjoint du Cabinet, Sécurité et renseignement; 3) le niveau de la gestion supérieure – y compris le conseiller à la sécurité nationale, le Comité exécutif du BCP, le greffier et le Cabinet du Premier ministre. Les descriptions de la gouvernance du programme portent sur tous ces postes et toutes ces entités, à l’exception du CPM, qui est décrit uniquement dans le contexte d’un client des services de GSU.

Le greffier a délégué le pouvoir d’accorder des cotes de sécurité au directeur exécutif des Opérations de la sécurité, dans le cadre de son rôle à titre d’ASM. [ * ]

Efficacité des comités

Le rôle des comités de gouvernance est bien décrit dans le PMGSU. Dans le cadre de la GSU, le Comité exécutif du BCP surveille et approuve les programmes de gestion de la sécurité et des urgences. Il est aidé du Comité consultatif de la gestion ministérielle, qui se penche sur les priorités et les initiatives du BCP en matière de gestion ministérielle en fournissant des avis et des conseils aux directeurs sur les points présentés ainsi que des recommandations au Comité exécutif du BCP en vue de faciliter la prise de décisions. L’équipe formée de l’ASM et des Opérations de la sécurité (OPSEC) fournit au Comité consultatif de la gestion ministérielle des rapports et des bilans sur les enjeux en cours ainsi que sur les produits, comme le PMGSU et la nouvelle Politique sur la sécurité et la gestion des urgences, avant qu’ils ne soient soumis à la décision du Comité exécutif ou du greffier.

En outre, l’ASM fournit régulièrement des mises à jour au Comité ministériel de vérification du BCP; au cours de la dernière année, il lui a remis des rapports sur l’élaboration du PMGSU et les initiatives de sécurité en cours.

Le Profil de risque de l’organisation fournit de l’information au Comité exécutif sur les risques susceptibles de nuire à la réalisation des activités et des résultats stratégiques du BCP. Il vise aussi à communiquer les stratégies d’atténuation des risques et le niveau d’attention requis de la part de la direction dans les secteurs de risques cernés. [ * ] L’aperçu global des risques liés à la sécurité présenté dans le Profil de risque de l’organisation conjugué à la perspective détaillée offerte dans le PMGSU fournissent au Comité exécutif d’excellents renseignements sur ces secteurs de risques.

Mesure du rendement

Dans la Vérification relative à la continuité des activités et à la préparation aux urgences de 2011, nous avions mentionné que la mesure du rendement (dans le domaine de la gestion des urgences) était assez rudimentaire. Des données sur le rendement étaient recueillies et présentées périodiquement, mais la mesure du rendement en était à ses débuts. Nous avions applaudi à ce qui avait été fait et avions encouragé la continuation des progrès; la direction avait répondu de manière positive à la recommandation formulée dans le cadre de la vérification. Le PMGSU fait état de la démarche actuellement employée par les Opérations de la sécurité à l’égard de la gestion intégrée fondée sur les résultats (GIAR), qui comprend la mesure du rendement, d’une manière qui permet de constater le niveau de maturité auquel en est arrivé la direction grâce à une étroite attention portée à la question :

« Une approche de GIAR met l’accent sur l’atteinte de résultats fonctionnels (immédiats, intermédiaires et ultimes) grâce à : 1) l’élaboration d’un modèle logique; 2) la mesure d’indicateurs qualitatifs et quantitatifs sélectionnés et bien conçus, tant tardifs qu’avancés; 3) la mise en œuvre de boucles de rétroaction aux fins de l’apprentissage et de l’amélioration du programme dans son ensemble, par la prise de mesures préventives et correctives; 4) l’officialisation des mécanismes de surveillance et d’établissement de rapports qui montrent les résultats atteints. »
-- Plan ministériel de gestion de la sécurité et des urgences du BCP, 2012

En 2011, les Opérations de la sécurité ont conçu un cadre de mesure du rendement à l’intention de la division. Le cadre ne porte pas précisément sur la sécurité matérielle et la sécurité du personnel, mais il tient tout de même compte de ces fonctions dans son étendue. Il comprend de l’information sur les objectifs stratégiques des Opérations de la sécurité, un modèle logique et une stratégie de mesure du rendement. Des indicateurs de rendement quantitatif ont été mis au point pour une série d’éléments liés aux trois angles3 à partir desquels le rendement est mesuré. La conception du cadre est assez complexe et se distingue du modèle logique, ce qui rend difficile l’établissement de liens entre les indicateurs de rendement et les résultats escomptés; le véritable test sera toutefois réalisé lors de la mise en œuvre.

Les Opérations de la sécurité adoptent une approche prudente et progressive à l’égard de la mise en œuvre de leur cadre de GIAR pour l’ensemble du programme de GSU de l’organisme. Jusqu’à maintenant, leur analyse des indicateurs de rendement s’est avérée plus qualitative que quantitative, puisqu’elles sont en train de développer leur capacité de cueillette d’information. À l’avenir, les Opérations de la sécurité prévoient s’appuyer sur les progrès déjà réalisés pour aller de l’avant; en 2013-2014, elles prévoient se servir des indicateurs de rendement pour préparer un rapport annuel, qui est attendu en avril 2014. Au cours des dernières étapes de son plan de mise en œuvre pluriannuelle, la direction entend examiner les indicateurs mis au point pour veiller à ce qu’ils correspondent toujours aux résultats escomptés et utiliser l’information en vue d’évaluer les améliorations générales apportées à l’organisation, en mettant l’accent sur la diminution des écarts entre les capacités et les vulnérabilités.

2.2 Évaluation des risques

Objectif de la vérification : Évaluer le bien-fondé des processus d’évaluation des risques liés à la sécurité matérielle et du personnel.

Afin de satisfaire au deuxième objectif de la vérification, nous avons cherché des éléments probants pour confirmer que la direction :

  • dresse la liste complète des risques pesant sur la sécurité matérielle et du personnel;
  • évalue les risques cernés (probabilité et incidence);
  • donne officiellement suite à ces risques (décisions sur le traitement des risques);
  • définit des objectifs de contrôle pour chacun des risques jugés « inacceptables » dont le résultat sera de réduire les risques.

Conclusion

Les Opérations de la sécurité ont adopté un modèle détaillé de gestion des risques conforme au cadre du SCT et du BCP à l’égard des risques et sont désormais en train de le mettre en œuvre. La démarche suivie pour gérer les risques en matière de sécurité est bien décrite dans le PMGSU et comprend deux phases interdépendantes : l’évaluation des risques et le traitement des risques. [ * ]

Constatations

Identification des risques

De 2009 à 2011, les Opérations de la sécurité ont entrepris un bon nombre d’études qui ont fourni une grande quantité de données [ * ]. Aussi en 2011, les Opérations de la sécurité ont réalisé une évaluation des risques dans leur division. Même si celle-ci portait sur la division et non pas l’organisme, elle a révélé un changement positif dans la façon dont on y tenait compte du risque; en effet, on y trouve un registre des risques liés à la sécurité matérielle et à la gestion auxquels fait face les Opérations de la sécurité et on y discute des biens exposés aux risques, des menaces et des dangers, de la probabilité d’occurrence et des responsables des risques.

Au début de 2012, les Opérations de la sécurité ont entrepris, avec l’aide de spécialistes externes, une importante évaluation de la menace, de la vulnérabilité et du risque (EMVR) avec l’objectif déclaré de dresser une liste des activités et des biens essentiels ainsi que de la vaste gamme des menaces, des dangers et des risques pesant sur le BCP et ses opérations et de les valider. Dans le cadre des travaux liés à l’EMVR, de vastes consultations ont été menées au sein du BCP, et un registre à jour des risques [ * ].

Reconnaissant le défi, les Opérations de la sécurité ont entrepris des travaux à l’interne à la mi‑2012 en vue d’examiner et de simplifier le registre des risques. Le but était de regrouper l’information tirée de l’EMVR ainsi que des autres évaluations de la menace et du risque, et des examens de sécurité réalisés au cours des dernières années et de s’en servir comme point de départ. [ * ]

Évaluation de la probabilité et de l’incidence

[ * ]

L’évaluation des risques s’appuie sur les analyses réalisées par l’équipe de consultants qui a effectué l’EMVR; la dernière version a été préparée par les gestionnaires et les analystes divisionnaires des Opérations de la sécurité, y compris des représentants des directeurs et du directeur exécutif. L’analyse repose sur les connaissances de plusieurs gestionnaires divisionnaires mises en commun au cours de réunions d’équipe hebdomadaires, ce qui constitue une nouvelle façon de faire.

Décisions sur le traitement des risques

Le modèle de gestion des risques décrit dans le PMGSU du BCP comprend l’évaluation des risques. Celle-ci consiste à décider si les risques sont acceptables ou non et représente une des principales étapes du processus d’évaluation des risques. C’est dans cette optique de décider si les risques sont acceptables ou non que les Opérations de la sécurité ont évalué chaque risque cerné. Une brève explication des raisons pour lesquelles on a déterminé qu’il fallait les « traiter » ou les « accepter » est fournie. De plus, le registre des risques définit les risques qui sont jugés prioritaires sur le plan du traitement en 2013-2014 et indique si des ressources supplémentaires seront nécessaires pour les atténuer.

[ * ] Au titre de la Directive sur la gestion de la sécurité ministérielle du SCT, l’ASM doit veiller à ce que les gestionnaires de tous les niveaux acceptent officiellement les risques résiduels définis dans le PMGSU ou en recommandent officiellement l’acceptation.

[ * ]

Objectifs en matière de contrôle

La Directive sur la gestion de la sécurité ministérielle du SCT énonce 56 objectifs en matière de contrôle de sécurité que doivent au minimum respecter les ministères. Six d’entre eux se trouvent sous l’en-tête Sécurité matérielle et cinq sous Enquête de sécurité individuelle [sécurité du personnel]. Ces objectifs sont utiles pour l’ensemble de l’approche gouvernementale relative à la gestion de la sécurité en ce sens qu’ils fournissent des attentes minimales cohérentes à tous les ministères visés par la Directive, tout en étant de nature générale et en ne portant pas nécessairement sur les risques cernés par le BCP. D’autres objectifs en matière de contrôle de sécurité propres à l’organisme doivent être choisis et mis en œuvre en fonction des résultats des évaluations des risques.

La PMGSU mentionne clairement le but poursuivi en définissant des objectifs en matière de contrôle de sécurité propres au BCP : « les objectifs en matière de contrôle de sécurité déterminent les résultats escomptés ou le but à atteindre en traitant les risques liés à la sécurité. Ils orientent la sélection des mesures de contrôle (y compris les mesures et les protections) qui permettront de traiter le risque et contribuent à définir les indicateurs de rendement qui permettront de mesurer l’atteinte de l’objectif ». La définition des objectifs en matière de contrôle est l’une des prochaines étapes du processus prévu dans le modèle de gestion des risques GSU mis en œuvre par les Opérations de la sécurité, mais cette étape n’a pas encore été franchie. Toutefois, compte tenu des progrès importants réalisés jusqu’à maintenant dans le cadre du processus d’évaluation des risques, les agents de sécurité sont désormais bien placés pour fixer des objectifs ministériels en matière de contrôle de sécurité appropriés et mettre pleinement en œuvre leur modèle de gestion des risques.

2.3 Contrôle de la sécurité matérielle

Objectif de la vérification : Déterminer si des mesures appropriées de contrôle de la sécurité matérielle ont été établies et mises en œuvre en vue de protéger les installations, l’information et les biens, et de se conformer à la politique du gouvernement.

Afin de satisfaire au troisième objectif de la vérification, nous avons cherché des éléments probants pour confirmer que :

  • le BCP emploie des mesures appropriées de contrôle de la protection, de la détection et de l’intervention afin de protéger l’information, les biens et les installations;
  • seules les personnes autorisées ont accès aux biens et aux installations;
  • les relations gardien-locataire sont définies dans des ententes officielles en vue d’obtenir les meilleurs résultats possibles en matière de sécurité;
  • les éléments liés à la sécurité s’intègrent pleinement aux processus de planification des installations.

Conclusion

Le bien-fondé des mesures de contrôle de la sécurité matérielle doit être évalué en fonction de la tolérance de la direction au risque. Nous avons examiné les initiatives liées à la sécurité matérielle, [ * ]. Certaines initiatives prévues ont été mises en œuvre avec succès, ce qui a permis de traiter les vulnérabilités cernées précédemment, tandis que d’autres initiatives accusent du retard, mais sont en bonne voie d’être pleinement mises en œuvre. [ * ]

Constatations

[ * ]

Pour le premier secteur d’intérêt visé par cet objectif de la vérification, nous avons examiné [ * ]

[ * ]

Le BCP a consigné par écrit les procédures relatives aux cartes d’accès, lesquelles définissent les responsabilités des gestionnaires et des employés. [ * ] Des procédures ont aussi été établies pour les employés qui attendent des visiteurs et pour les entrepreneurs [ * ]

Les Opérations de la sécurité ont élaboré des procédures normales d’exploitation pour l’émission des cartes d’accès, y compris des procédures pour l’octroi des droits d’accès [ * ]. Des communiqués sont régulièrement envoyés aux employés pour les informer de la façon dont ils doivent renouveler leur carte d’accès et du moment où ils doivent le faire, de la manière de présenter leur carte, etc. [ * ]

Ententes de sécurité officielles entre le gardien et le locataire

Comme il est énoncé dans la Directive sur la gestion de la sécurité ministérielle du SCT, les relations de gardien à locataire sont définies dans une entente officielle de façon à ce que les responsabilités partagées et individuelles soient attribuées en vue d’atteindre des résultats optimaux au chapitre de la sécurité. Grâce à ces ententes, TPSGC dans son rôle de gardien et le BCP dans son rôle de locataire, collaborent en vue de définir les exigences relatives à la sécurité de l’édifice de base et à la sécurité matérielle et d’établir dans des règles la façon dont ces dernières doivent préciser les rôles respectifs, les ententes de financement ainsi que les mesures de contrôle et les plans pour leur mise en œuvre et la gestion des risques.

Le BCP et TPSGC concluent des accords d’occupation officiels dans lesquels sont décrits les services qui sont normalement offerts dans les locaux occupés par le BCP. La description de ces services est toutefois de nature générale. Il n’est fait mention, dans les dispositions relatives à la sécurité, que du gardien qui doit assurer la sécurité de l’édifice, conformément aux normes et aux pratiques applicables.

[ * ]

2.4 Contrôle de la sécurité du personnel

Objectif de la vérification : Déterminer si des mesures appropriées de contrôle de la sécurité du personnel ont été établies et mises en œuvre en vue de protéger les biens et les renseignements délicats, et de se conformer à la politique du gouvernement.

Afin de satisfaire au quatrième objectif de la vérification, nous avons cherché des éléments probants pour confirmer que :

  • toutes les personnes ont au moins une cote de sécurité de niveau SECRET avant d’entrer en fonction;
  • un processus efficace est en place pour mettre à jour les cotes de sécurité;
  • les personnes sont officiellement informées des privilèges d’accès;
  • les personnes sont traitées de façon juste lorsque leur cote de sécurité est révisée, annulée, refusée, suspendue temporairement ou abaissée pour un motif valable;
  • les enquêtes de sécurité sont menées conformément aux normes du gouvernement du Canada;    
  • le BCP a établi un processus efficace pour aider le Premier ministre à déterminer l’aptitude de candidats à occuper des charges publiques.

Conclusion

Le BCP répond à la plupart des exigences minimales énoncées dans la Norme sur la sécurité du personnel du SCT. [ * ]

Constatations

[ * ]

Efficacité du processus de mise à jour des cotes de sécurité

Aux fins de la vérification, nous avons utilisé la durée du cycle pour mesurer l’efficacité du processus de mise à jour des cotes de sécurité. Il n’est pas précisé dans la Norme sur la sécurité du personnel du SCT le temps que doit prendre la mise à jour des cotes de sécurité. Nous avons donc adopté une « démarche raisonnable », c’est-à-dire que nous avons déterminé le temps qu’il faut pour mettre à jour les cotes et nous avons évalué si ce délai est raisonnable compte tenu du travail que cela suppose. En fait, le processus devrait être suffisamment efficace pour permettre la mise à jour des cotes de sécurité avant la fin du cycle de mise à jour.

[ * ]

Séance d’information officielle sur les privilèges d’accès

Le principal document servant à prouver qu’une personne a été informée au sujet de son enquête de sécurité est le Certificat d’enquête de sécurité et profil de sécurité. Ce formulaire, utilisé à l’échelle du gouvernement du Canada, comprend un Sommaire de la séance d’information que doit lire et signer la personne pour indiquer qu’elle l’a compris et qu’elle accepte de se conformer aux exigences législatives et administratives qui y sont décrites. L’agent de sécurité ayant mené la séance d’information doit ensuite le signer et le dater.

[ * ]

Traitement équitable

[ * ]

[ * ] la Politique sur la sécurité et la gestion des urgences du BCP se penche sur ce type de situation :

« Advenant que des renseignements défavorables de nature suffisamment sérieuse ressortent des vérifications, la personne concernée doit avoir l’occasion de s’expliquer avant qu’on ne rende une décision. Le greffier du Conseil privé est la seule personne qui puisse refuser, suspendre temporairement, abaisser ou révoquer une cote de sécurité à une personne qui travaille au BCP ou dont la candidature est envisagée. La personne à qui l’on refuse ou révoque une cote doit être informée de son droit de révision ou de recours. »

L’affirmation ci-dessus est cohérente avec les exigences de la Politique sur la sécurité du gouvernement du Conseil du Trésor. En outre, l’agent de sécurité interviewé comprenait bien les exigences et la façon de les appliquer si cette situation devait se produire.

Respect des normes du gouvernement du Canada

[ * ]

Selon la Norme sur la sécurité du personnel du SCT, les vérifications dans le milieu sont obligatoires dans le cadre des processus d’habilitation de la cote initiale de niveau TRÈS SECRET et facultatives pour les mises à jour fondées sur des entrevues et des vérifications. [ * ]

Aide pour déterminer l’aptitude des candidats à occuper des charges publiques

Le BCP a élaboré les Lignes directrices sur la vérification des antécédents préalable à la nomination de candidats à certaines charges publiques dans le but d’aider le Premier ministre à s’assurer que les candidats à certaines charges publiques n’ont aucun antécédent en matière criminelle, de sécurité et autres. Les lignes directrices sont entrées en vigueur le 1er juillet 2010 et ont remplacé l’ancienne version de 2006. Elles dressent la liste des postes pour lesquels une vérification des antécédents est exigée avant la nomination et établissent la procédure à suivre pour la tenue de cette vérification et la présentation de ses résultats. Des lignes directrices distinctes ont été élaborées pour la vérification des antécédents des candidats de Justice Canada à des postes juridiques assujettis à la Loi sur les juges.

Le directeur exécutif des Opérations de sécurité est chargé de l’administration des lignes directrices du BCP au nom du greffier. Le CPM ou, pour certaines nominations, le Personnel supérieur du BCP est chargé de demander une vérification des antécédents et de veiller à sa réalisation avant que toute nomination à un poste visé par les lignes directrices ne soit faite.

Selon le poste, la vérification effectuée avec la nomination pourrait inclure deux, trois ou quatre des vérifications suivantes : la vérification des dossiers de la Gendarmerie royale du Canada (GRC), l’évaluation de sécurité du Service canadien du renseignement de sécurité (SCRS), la vérification de la faillite et de l’insolvabilité du Bureau du surintendant des faillites Canada (BSF) et la vérification de la conformité de l’Agence du revenu du Canada (ARC).

[ * ]

Depuis la mise à jour des lignes directrices en 2010, les quatre vérifications sont aussi exigées pour le conjoint ou le partenaire des candidats dont la nomination à titre de ministre, de ministre d’État ou de secrétaire parlementaire est envisagée. [ * ]

2.5 Recommandations

Nous recommandons que le conseiller à la sécurité nationale auprès du Premier ministre, en sa qualité de membre de la haute direction chargé de la sécurité ministérielle :

  1. [ * ]
  2. identifie tous les responsables du risque chargés d’aborder les risques de la GSU du BCP mentionnés dans le PMGSU, et consigne leurs décisions officielles au chapitre de l’évaluation et du traitement des risques, notamment les motifs des décisions. L’ASM devrait revoir toutes les évaluations et les décisions qui découleront de ce processus pour garantir qu’elles correspondent aux seuils de tolérance acceptables. Si l’ASM croit que les responsables du risque acceptent des risques résiduels dépassant les seuils de tolérance acceptables, cela doit être porté à l’attention du niveau supérieur compétent, y compris du Comité exécutif du BCP, pour résolution;
  3. [ * ]
  4. [ * ]
  5. [ * ]

    Nous recommandons que le directeur exécutif des Opérations de la sécurité, en sa qualité d’administrateur des Lignes directrices sur la vérification des antécédents préalable à la nomination de candidats à certaines charges publiques et au nom du greffier :
  6. examine le processus décrit dans les Lignes directrices pour en assurer l’application cohérente à tous les postes auxquels elles font référence.

3.0 Réponse et plan d’action de la direction

Vérification de la sécurité matérielle et du personnel
Le conseiller à la sécurité nationale auprès du Premier ministre assume la responsabilité globale du Plan d’action.
Recommandation Réponse et mesures prévues Responsabilité Échéance
Nous recommandons que le conseiller à la sécurité nationale auprès du Premier ministre, en sa qualité de membre de la haute direction chargé de la sécurité ministérielle :      
1. [ * ] [ * ] [ * ] [ * ]
2. identifie tous les responsables du risque chargés d’aborder les risques de la GSU du BCP mentionnés dans le PMGSU, et consigne leurs décisions officielles au chapitre de l’évaluation et du traitement des risques, notamment les motifs des décisions. L’ASM devrait revoir toutes les évaluations et les décisions qui découleront de ce processus pour garantir qu’elles correspondent aux seuils de tolérance acceptables. Si l’ASM croit que les responsables du risque acceptent des risques résiduels dépassant les seuils de tolérance acceptables, cela doit être porté à l’attention du niveau supérieur compétent, y compris du Comité exécutif du BCP, pour résolution. [ * ]
Directeur exécutif, Division des Opérations de la sécurité
[ * ]
3. [ * ] [ * ] [ * ] [ * ]
4. [ * ] [ * ] [ * ] [ * ]
5. [ * ] [ * ] [ * ] [ * ]
Nous recommandons que le directeur exécutif des Opérations de la sécurité, en sa qualité d’administrateur des Lignes directrices sur la vérification des antécédents préalable à la nomination de candidats à certaines charges publiques et au nom du greffier :      
6. examine le processus décrit dans les Lignes directrices pour en assurer l’application cohérente à tous les postes auxquels elles font référence. [ * ]
Directeur exécutif, Division des Opérations de la sécurité
[ * ]

Notes de bas de page

  1. Une inspection professionnelle externe est en cours et devrait prendre fin à l’automne 2013.
  2. Politique sur la sécurité du gouvernement, 2009.
  3. Les trois angles sont les suivants : 1) les clients; 2) les équipes des Opérations de la sécurité; 3) les quatre perspectives sur la mesure du rendement (état de préparation opérationnel, obtention de connaissances, capital humain et gestion des relations).