Audit interne de la sécurité matérielle
Mars 2017
1. Résumé
1.1. Objectif
L’objectif de cet audit est de garantir que l’environnement de sécurité matérielle des IRSC protège le personnel, les biens et l’infrastructure physique de l’organisation contre les menaces, en conformité avec la Politique sur la sécurité du gouvernement et d’autres politiques pertinentes du Conseil du Trésor.
1.2. Portée de l'audit
L’audit a vérifié si les IRSC avaient établi les éléments requis d’un programme de sécurité ministériel pour la sécurité matérielle, le filtrage de sécurité du personnel et la planification de la continuité des activités et du rétablissement après une catastrophe, en conformité avec la Politique sur la sécurité du gouvernement, ce qui couvre :
- la mise en œuvre d’une structure de gouvernance comportant des obligations redditionnelles, des responsabilités et des rôles définis;
- la gestion continue des risques pour identifier et évaluer les menaces, les vulnérabilités et les risques; et
- l’établissement, l’application, la surveillance continue et la mise à jour des mesures de contrôle visant à protéger l’information, les biens, les installations et le personnel.
Les éléments suivants ont été exclus de l’audit :
- les 13 instituts des IRSCNote en bas de page 1;
- la sécurité des documents électroniques, y compris la confidentialité, l’intégrité et l’accessibilité; et
- la sécurité des systèmes de climatisation, y compris de chauffage, de refroidissement, de ventilation, de sécurité incendie, etc.
1.3. Opinion générale des auditeurs
La sécurité matérielle présente des problèmes modestes. Certaines faiblesses ont été relevées quant aux mesures de contrôle, mais le risque couru est limité puisque la probabilité ou la conséquence du risque est faible.
1.4. Résumé des points forts
Les points forts suivants ont été notés par rapport à la sécurité matérielle :
- Les IRSC ont établi des exigences en matière de filtrage de sécurité selon les rôles des employés, et ont mis en place des mesures de contrôle pour garantir que les employés possèdent l’autorisation sécuritaire nécessaire avant d’entrer en fonction.
- Des mesures de contrôle visant à assurer l’évaluation appropriée des exigences en matière de sécurité pour les contrats ont été intégrées au processus d’approvisionnement, et ces mesures sont respectées.
- L’accès aux installations des IRSC est accordé et maintenu en fonction des exigences du rôle, et fait l’objet d’un bon contrôle.
1.5. Résumé des possibilités d'amélioration
Les aspects suivants concernant la sécurité matérielle, la continuité des activités et le rétablissement après une catastrophe requièrent l’attention de la direction. Ces aspects sont présentés parallèlement aux mesures à prendre par la direction pour gérer les risques connexes. Un examen plus approfondi des observations, des recommandations et du plan d’action de la direction figure dans le Rapport détaillé qui suit le présent résumé.
Observation 1 : Les IRSC pourraient être incapables de poursuivre des opérations essentielles suite à une interruption en raison de lacunes dans la planification de la continuité des activités et du rétablissement après une catastrophe. Réponse 1 : Le plan de continuité des activités (PCA) actuel a été approuvé en octobre 2011 par le Comité de la haute direction (CHD). L’agent de sécurité ministériel (ASM) consulte actuellement la direction pour déterminer les besoins actuels, examiner les hypothèses initiales pour le PCA-PRA (plan de reprise des activités) et mettre à jour le PCA-PRA. Des scénarios de catastrophe (PCA) seront élaborés et des exercices de simulation seront planifiés, exécutés et documentés afin de maintenir la vigilance et garantir l’utilisation optimale des ressources en cas de crise. |
Observation 2 : La formation obligatoire sur la sensibilisation à la sécurité n’est pas toujours complétée par les nouveaux employés, et il existe des lacunes dans les connaissances des employés actuels en matière de sécurité matérielle. Réponse 2 : L’équipe de la sécurité se chargera de mettre à jour les lignes directrices concernant la manipulation de l’information afin d’y ajouter des directives et des précisions. Les besoins en rangement seront examinés et allégés avec de la formation, et l’application d’une politique en matière de rangement du bureau sera encouragée. L’équipe de sécurité conçoit actuellement un programme de sensibilisation à la sécurité et une formation en ligne sur la gestion de l’information pour les IRSC. Nous croyons que le module de formation de l’École de la fonction publique du Canada (EFPC) est trop général et rudimentaire. Nous coordonnerons nos efforts avec l’équipe de la gestion de l’information pour élaborer le contenu de la formation, et avec les ressources humaines pour rendre cette formation obligatoire pour tout le personnel. |
Observation 3 : L’évaluation des risques liés à la sécurité matérielle nécessite une mise à jour, et les mesures à prendre suite aux évaluations antérieures ne font pas l’objet d’un suivi assidu. Réponse 3 : Les risques et les menaces identifiés par la dernière évaluation ont été atténués, et nos niveaux de menace et de risque demeurent faibles. L’équipe de la sécurité se livrera à un examen et à une évaluation des risques en matière de sécurité matérielle afin d’identifier les risques nouveaux ou changeants liés à la sécurité du personnel et des biens des IRSC. L’équipe de la sécurité des IRSC surveillera assidûment l’état des risques identifiés ainsi que les mesures correctives à prendre et s’assurera que les risques résiduels sont officiellement acceptés par la direction au moyen de séances d’information et d’avis écrits. |
Observation 4 : Les employés qui manipulent des documents de nature délicate n’ont pas toujours à leur disposition des contenants de rangement approuvés et bénéficieraient de directives supplémentaires sur la classification et la manipulation des documents. Réponse 4 : Moins de 1 % de l’information est classifiée SECRET aux IRSC. Les Finances manipulent seulement une ou deux présentations au CT par année pour lesquelles ils disposent un classeur de sécurité. L’Unité des politiques et relations gouvernementales manipule des documents confidentiels du Cabinet et la correspondance ministérielle. L’équipe de la sécurité se chargera de revoir les exigences et de guider le personnel dans les procédures et processus liés à la manipulation des documents SECRET. |
Observation 5 : Les exigences en matière de filtrage de sécurité applicables aux membres du conseil d’administration devraient être clarifiées, documentées et appliquées. Réponse 5 : Le secrétariat de la gouvernance reçoit actuellement des conseils et des directives de l’équipe de la sécurité des IRSC concernant le processus de filtrage de sécurité et l’importance de soumettre les membres à ce processus avant le début de leur mandat. Le processus de sélection devrait intégrer le filtrage de sécurité dès le début. |
Observation 6 : L’agent de sécurité ministériel ne relève pas du président ou du Comité de la haute direction au niveau fonctionnel. Réponse 6 : Une lettre de nomination de l’ASM par le président des IRSC est actuellement en préparation et sera soumise au président pour signature. Les mises à jour régulières au CHD et au président sur les progrès du Plan de sécurité ministériel, ainsi que les autres mises à jour pertinentes seront fournies une fois par année et lorsque de nouveaux risques seront identifiés. |
Observation 7 : Il n’existe pas de processus général entourant les incidents de sécurité pour garantir que ces incidents soient bien signalés et que les données pertinentes soient recueillies à des fins d’analyse des tendances. Réponse 7 : L’équipe de la sécurité des IRSC a déjà mis en place des processus et des procédures de réponse à plusieurs types d’incidents, mais il établira un processus plus officiel. Il est important de noter que les incidents sont très rares. |
1.6. Énoncé de conformité
L’audit de la sécurité matérielle est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.
Les auditeurs remercient la direction et le personnel pour leur coopération dans la réalisation de cet audit.
David Peckham
Dirigeant principal de la vérification et directeur général du rendement et de la responsabilisation
Instituts de recherche en santé du Canada
La direction souscrit aux conclusions du présent audit.
Martin Bernier
Agent de sécurité ministériel, dirigeant principal de l’information et directeur général de la gestion de l’information, de la technologie et de la sécurité
Instituts de recherche en santé du Canada
2. Rapport détaillé
2.1. Sécurité matérielle, continuité des activités et rétablissement après une catastrophe
La sécurité matérielle englobe les politiques, procédures et mesures de contrôle établies pour protéger les biens et les employés des préjudices pouvant résulter des menaces et des vulnérabilités dans l’environnement physique. La protection des employés et des biens du gouvernement constitue un des éléments clés de la Politique sur la sécurité du gouvernement, qui établit les exigences gouvernementales à respecter pour appuyer la prestation continue des services aux Canadiens. La planification de la continuité des activités et du rétablissement après une catastrophe permet de déterminer ce qui est nécessaire pour limiter les effets d’une interruption sur les processus essentiels de l’Agence par des mesures d’atténuation des effets et des procédures de rétablissement.
La Politique sur la sécurité du gouvernement et les directives et normes connexes nécessitent une évaluation constante du risque pour pouvoir sélectionner, appliquer, surveiller et maintenir des mesures de contrôle visant à prévenir et à détecter les incidents liés à la sécurité, ainsi qu’à y réagir et à s’en rétablir.
Les services fournis par les IRSC ne sont pas considérés comme essentiels dans le contexte général de la mission du gouvernement du Canada. Les services essentiels se définissent comme les services indispensables à la santé, à la sécurité ou au bien-être économique des Canadiens ou au fonctionnement efficace du gouvernement. Bien que les IRSC ne détiennent pas de grandes quantités d’information sensible, ils recueillent des renseignements personnels et confidentiels appartenant à des chercheurs, des employés et d’autres intervenants. L’emplacement physique des locaux des IRSC, dans un immeuble de propriété privée accessible au public, près du centre de l’appareil gouvernemental, comporte aussi des implications pour la sécurité.
2.2. Risques examinés pendant l'audit
L’audit a permis d’identifier et d’évaluer des risques liés à la sécurité matérielle. Ces risques peuvent se résumer ainsi :
- Le programme de sécurité des IRSC ne couvre peut-être pas efficacement les exigences de l’Agence en matière de sécurité matérielle et de continuité des activités.
- Les IRSC n’ont peut-être pas déterminé leurs processus opérationnels essentiels et établi un plan de continuité des activités et de rétablissement après une catastrophe dans l’éventualité d’un incident ayant des répercussions sur leurs opérations du 160 de la rue Elgin.
- Les IRSC n’ont peut-être pas adéquatement identifié et évalué les menaces et les vulnérabilités qui pourraient compromettre la sécurité des employés et des biens.
- Les IRSC n’ont peut-être pas appliqué des mesures de sécurité matérielle suffisantes pour réduire les risques identifiés à un niveau résiduel acceptable.
- La structure de gouvernance ainsi que les responsabilités, les obligations redditionnelles et les rôles liés à la sécurité matérielle et à la continuité des activités n’ont peut-être pas été établis et compris adéquatement.
Une attention a aussi été accordée aux risques organisationnels figurant dans le profil de risque organisationnel et aux grandes catégories de risques présentées dans le Guide sur les taxonomies des risques du Conseil du Trésor.
2.3. Méthodologie et critères
L’audit interne de la sécurité matérielle fait partie du Plan de vérification axé sur les risques 2015-2018 approuvé par le conseil d’administration des IRSC.
L’audit a été réalisé conformément à la Politique sur l’audit interne du gouvernement fédéral et aux instruments connexes. Voici les principales techniques d’audit utilisées :
- entretiens avec la direction et le personnel des IRSC;
- examen des politiques, des mesures législatives, des rapports, des dossiers électroniques, des procès-verbaux, des comptes rendus de décisions, des organigrammes et d’autres documents pertinents;
- visites, inspections et essai des mesures de contrôle liées à la sécurité matérielle.
Les contrôles sont réputés adéquats lorsqu’ils sont suffisants pour réduire au minimum les risques de ne pas atteindre les objectifs. Les critères détaillés et les conclusions sont présentés à l’annexe du présent rapport.
L’audit s’est déroulé entre les mois de septembre 2016 et février 2017.
3. Observations, recommandations et plan d’action de la direction
Observation | Recommendation | Plan d’action de la direction |
---|---|---|
1. Les IRSC pourraient être incapables de poursuivre des opérations essentielles suite à une interruption en raison des lacunes dans la planification de la continuité des activitésNote en bas de page 2 et du rétablissement après une catastrophe. (Critères 7, 15, 16, 17) | ||
Un examen de la documentation des IRSC relative à la continuité des activités et au rétablissement après une catastrophe a permis de relever plusieurs lacunes qui pourraient empêcher l’Agence de reprendre ses activités, ou de les reprendre rapidement, dans l’éventualité d’un incident. Bien que les services fournis par les IRSC ne soient pas considérés comme essentiels à la mission du gouvernement du Canada, tous les ministères et organismes devraient établir un programme de continuité des activités visant des services autres qu’essentiels.Note en bas de page 3 Le plan actuel comporte des lacunes Il est nécessaire de mieux définir les rôles et les responsabilités pour s’assurer que le programme soit prêt en cas de besoin L’attribution des ressources et des services doit être clarifiée. Les plans de continuité des activités devraient refléter les priorités opérationnelles actuelles, et devraient être testés pour garantir qu’ils demeurent efficaces
L’ASM et l’équipe de la sécurité sont conscients de ces lacunes et révisent actuellement le plan de continuité des activités. Des options en matière de récupération de la TI sont explorées pour que la direction puisse tenir compte de l’information sur les coûts de récupération dans l’établissement de l’ordre de priorité des services indispensables. Risques et répercussions |
1a) Établir, documenter et communiquer la structure de gouvernance pour le Programme de planification de la continuité des activités, en indiquant les rôles, les responsabilités et les obligations redditionnelles associés à chaque élément requis. 1b) Effectuer une analyse des répercussions sur les activités afin de déterminer les services essentiels à la poursuite des activités dans l’éventualité d’une interruption. Faire approuver par la haute direction l’ordre de priorité des activités et le niveau d’activité requis pour chaque service, en tenant compte des coûts associés à la continuité et/ou au rétablissement des services. 1c) Mettre à jour le plan de continuité des activités en fonction des résultats de 1a) et 1b), et s’assurer d’établir et de faire concorder les éléments connexes, y compris le plan de rétablissement après une catastrophe. 1d) Établir et documenter un processus pour tester, revoir et mettre à jour le plan de continuité des activités et ses éléments connexes, en décrivant comment les résultats des tests guideront les versions futures du plan. |
1a) à 1d) Responsabilité Action Des scénarios de catastrophe (PCA) seront élaborés et des exercices de simulation seront planifiés, exécutés et documentés afin de maintenir la vigilance et garantir l’utilisation optimale des ressources en cas de crise. Date d’achèvement prévue |
2. La formation obligatoire sur la sensibilisation à la sécurité n’est pas toujours complétée par les nouveaux employés, et il existe des lacunes dans les connaissances des employés actuels en matière de sécurité matérielle. (Critère 21) | ||
Les IRSC ont récemment mis à jour leur processus d’accueil et d’intégration pour y inclure une formation obligatoire sur la sensibilisation à la sécurité à l’intention des employés permanents et temporaires. Cette formation est offerte en ligne par l’École de la fonction publique du Canada. Il incombe aux superviseurs de s’assurer que cette formation soit suivie par les nouveaux employés. Durant la période comprise entre novembre 2015 et novembre 2016, les IRSC ont accueilli quatorze nouveaux employés permanents et temporaires, dont seulement deux ont complété la formation. Les outils de sensibilisation continue des employés à la sécurité incluent la page Intranet sur la sécurité et les communications organisationnelles sur des activités et des incidents particuliers dans le cadre de la semaine de sensibilisation à la sécurité au gouvernement du Canada, qui a lieu en février de chaque année. En février 2016, il a surtout été question de la sécurité des technologies de l’information, mais la sécurité matérielle a aussi été abordée dans de la documentation et des activités. [révisé pour des raisons de sécurité] Durant une inspection effectuée au milieu de la journée, aucun document classifié n’a été aperçu à la vue de tous ; cependant, certains documents contenant des renseignements personnels ou d’autres données sensibles ont été remarqués dans des bureaux et des postes de travail dont les occupants étaient absents. Un document contenant de l’information sensible sur les employés a aussi été aperçu lors d’une inspection effectuée après les heures de travail. Nous avons remarqué de nombreux documents désignés PROTÉGÉconservés de manière non sécurisée dans des postes de travail jusqu’au lendemain matin, contrairement à ce qui est recommandé dans le document Protection et manipulation de l’informationFootnote 4 des IRSC. Risques et répercussions |
2a) Revoir et mettre à jour le document Protection et manipulation de l’information pour y inclure des directives plus précises sur la manipulation et le rangement des dossiers des IRSC. 2b) S’assurer que les employés disposent des contenants de rangement adéquats et conformes à leurs besoins de rangement selon les documents qu’ils manipulent ; songer à implanter une politique en matière de rangement du bureau. 2c) S’assurer que la formation sur la sensibilisation à la sécurité et la documentation connexe couvrent les aspects liés à la sécurité matérielle, comme l’accès aux locaux et la protection adéquate des documents. 2d) S’assurer que les employés actuels et nouveaux suivent la formation sur la sensibilisation à la sécurité de l’EFPC, selon les besoins. |
2a) Responsabilité Action Date d’achèvement prévue 2b) Responsabilité Action Date d’achèvement prévue 2c et d) Responsabilité Action Date d’achèvement prévue |
3. L’évaluation des risques liés à la sécurité matérielle nécessite une mise à jour, et les mesures à prendre suite aux évaluations antérieures ne font pas l’objet d’un suivi assidu. (Critères 8, 13) | ||
La Directive sur la gestion de la sécurité ministérielleFootnote 5 oblige l’Agence à « élaborer, documenter, mettre en œuvre et actualiser les processus de gestion systématique des risques liés à la sécurité afin d’assurer une adaptation continue aux besoins changeants du Ministère et au contexte des menaces ». Les évaluations de la menace et des risques constituent un élément clé de ces processus et servent à cerner les aspects où il est nécessaire d’appliquer des mesures de sécurité dépassant les niveaux de base obligatoires pour tout le gouvernement. La dernière évaluation documentée des risques applicables à l’emplacement physique des IRSC remonte à 2009, lorsqu’une évaluation de la menace et des risques (EMR) a été effectuée concernant l’aire de réception et le bureau du président au 9e étage du 160, rue Elgin. Des recommandations ont été faites pour gérer les risques identifiés par rapport à trois aspects : sécurité des employés, sécurité du périmètre des locaux et sécurité de l’information/des biens classifiés. Bien que le comptoir de réception soit maintenant occupé 24 heures par jour suite à l’affectation de commissionnaires, et qu’un système de vidéosurveillance ait été installé, toutes les recommandations n’ont pas été appliquées. L’état des mesures de suivi n’a pas été surveillé officiellement jusqu’à leur application, ou jusqu’à l’acceptation des risques par la direction. Le suivi de l’état des recommandations et des mesures correctives connexes est essentiel pour garantir que les risques soient à la fois compris et atténués ou acceptés par la direction. Les examens périodiques permettent de garantir que tout changement dans l’environnement interne ou externe soit identifié et soumis à une évaluation d’impact. Bien que les IRSC occupent le même espace physique depuis leur fondation, des changements ont eu lieu dans leur environnement immédiat, comme l’arrivée de nouveaux locataires et les travaux de rénovation effectués au hall d’entrée de l’immeuble. Ces changements, conjugués à des changements internes, comme la modification des heures de travail ou les mouvements de personnel, pourraient accroître les risques pour la sécurité matérielle. Risques et répercussions |
3a) Effectuer une évaluation des menaces et des risques liés à la sécurité matérielle aux locaux des IRSC. 3b) Établir un calendrier et déterminer ce qui déclenche une revue et une réévaluation des risques liés à la sécurité matérielle. 3c) Surveiller assidûment l’état des risques identifiés et des mesures de suivi. S’assurer que la direction accepte officiellement les risques résiduels. |
3a et b) Responsabilité Action Date d’achèvement prévue 3c) Responsabilité Action Date d’achèvement prévue |
4. Les employés qui manipulent des documents de nature délicate n’ont pas toujours à leur disposition des contenants de rangement approuvés, et bénéficieraient de directives supplémentaires sur la classification et la manipulation des documents. (Critères 22, 30) | ||
La majorité de l’information reçue et traitée par les IRSC est non classifiée ou désignée PROTÉGÉ B. Une quantité limitée d’information est considérée de nature plus délicate et peut être classifiée au niveau SECRET. Il s’agit principalement de documents confidentiels du Cabinet, dont la classification et la manipulation sont régies par la Politique sur la sécurité des documents confidentiels du Cabinet du Bureau du Conseil privé.Footnote 6 Les documents confidentiels du Cabinet sont manipulés par un sous-groupe d’employés des IRSC; ces documents se composent de mémoires au Cabinet, de demandes budgétaires et de présentations au Conseil du Trésor, avec la documentation connexe et les notes d’information échangées avec le cabinet de la ministre. Le personnel clé chargé de recevoir et coordonner l’information avec le cabinet de la ministre dispose de classeurs de sécurité adéquats pour conserver l’information de nature délicate, cependant les employés qui manipulent ces documents n’en sont pas équipés. Le document Protection et manipulation de l’informationFootnote 7 des IRSC s’inspire de la Politique sur la sécurité des documents confidentiels du Cabinet et d’autres politiques du Conseil du Trésor. Le document vise à guider les IRSC sur la classification et la protection de l’information reçue, créée, traitée et conservée aux IRSC. Les documents d’orientation recommandent de classifier les présentations au Conseil du Trésor au niveau SECRET. Cependant, la Politique sur la sécurité des documents confidentiels du Cabinet stipule que les présentations au Conseil du Trésor et la documentation connexe doivent être désignées, selon leur contenu, comme étant au moins PROTÉGÉ B. Les entrevues avec des employés chargés de manipuler ces documents ont révélé l’utilisation de différentes classifications et l’utilité de fournir de plus amples directives. Des présentations au Conseil du Trésor classées au niveau SECRET n’étaient pas conservées dans des classeurs approuvés. Bien que cela ne soit pas documenté, il est généralement entendu aux IRSC que les présentations au Conseil du Trésor ne sont plus aussi sensibles une fois approuvées par le Conseil et peuvent donc être manipulées et conservées différemment qu’avant leur approbation. Or selon la Politique sur la sécurité des documents confidentiels du Cabinet, « les renseignements confidentiels du Cabinet qui existent depuis plus de 20 ans peuvent être déclassés ou déclassifiés par l’organisme émetteur, selon les critères ministériels de déclassement ou de déclassification de l’information sensible. » Risques et répercussions |
4a) Revoir les instructions pour la classification des présentations au Conseil du Trésor, les mettre à jour au besoin, et s’assurer que le personnel connaisse les exigences relatives à la gestion de ces documents durant tout leur cycle de vie. 4b) Identifier les employés qui manipulent des copies papier des documents confidentiels du Cabinet, et de leur fournir des contenants de rangement sécurisés. |
4a et b) Responsibilities Action L’équipe de la sécurité se chargera de revoir les exigences et de fournir des directives au personnel concernant les procédures et processus liés à la manipulation des documents SECRET. Date d’achèvement prévue |
5. Les exigences en matière de filtrage de sécurité applicables aux membres du conseil d’administration devraient être clarifiées, documentées et appliquées. (Critère 24) | ||
Les membres du conseil d’administration des IRSC sont nommés par le gouverneur en conseil dans le cadre d’un processus défini par le Bureau du Conseil privé. Une partie de ce processus comporte une vérification des antécédents des candidats, composée des éléments suivants :
Les résultats de la vérification des antécédents sont gardés confidentiels par le Bureau du Conseil privé et ne sont pas partagés avec les IRSC. Bien que la source de cette exigence ne soit pas documentée, les membres du conseil d’administration sont tenus d’obtenir une cote de sécurité SECRET en vertu des pratiques internes. Or, un examen des cotes de sécurité des membres du conseil d’administration (CA) en novembre 2016 a révélé que seulement quatre des quatorze membres actifs détenaient une cote de ce niveau. Des discussions avec le personnel ont révélé que la principale raison pour lequel les membres du CA ne détiennent pas une cote Secret est leur retard à remplir les formulaires requis et à les retourner aux IRSC. Risques et répercussions Bien que ce risque soit quelque peu atténué par la vérification des antécédents effectuée par le Bureau du Conseil privé, il incombe aux IRSC de s’assurer que les personnes à qui ils confient de l’information sensible aient bien obtenu les autorisations sécuritaires requises. |
5a) Le niveau d’autorisation sécuritaire requis pour les membres du CA devrait être analysé, évalué par rapport aux vérifications actuellement effectuées dans le cadre du processus du gouverneur en conseil, et documenté. 5b) S’assurer que les membres du CA obtiennent la cote de sécurité requise avant d’accéder à des documents de nature délicate. Charger le groupe concerné de s’assurer que les membres remplissent et retournent la documentation nécessaire. |
5a et 5b) Responsabilité Action Le secrétariat de la gouvernance reçoit actuellement des conseils et des instructions de l’équipe de la sécurité des IRSC concernant le processus de filtrage de sécurité et l’importance de soumettre les membres à ce processus avant le début de leur mandat. Le processus de sélection devrait intégrer le filtrage de sécurité dès le début. Date d’achèvement prévue |
6. L’agent de sécurité ministériel ne relève pas du président ou du Comité de la haute direction au niveau fonctionnel. (Critères 2, 5, 14) | ||
En vertu de la Politique sur la sécurité du gouvernementFootnote 9, l’agent de sécurité ministériel doit relever, au niveau fonctionnel, de l’administrateur général (le président) ou du comité exécutif ministériel (le Comité de la haute direction). Ce rapport hiérarchique permet à l’agent de sécurité de remplir plus facilement son rôle qui est de recommander des mesures de redressement à l’administrateur général ou au comité exécutif ministériel (selon le cas) afin de corriger les lacunes observées dans le programme de sécurité de l’organisme.Footnote 10 Aux IRSC, l’agent de sécurité ministériel cumule les fonctions de dirigeant principal de l’information et de directeur général de la gestion des technologies de l’information, et il relève de la vice-présidente à la planification et à la gestion des ressources. L’agent de sécurité ministériel présente des comptes rendus réguliers au président et peut en profiter pour lui parler directement de questions de sécurité; cependant, ce lien n’est pas officialisé dans l’organigramme. Les agents de sécurité ministériels antérieurs ont été officiellement nommés dans leur rôle par une lettre du président qui leur déléguait les pouvoirs nécessaires; cependant, cela n’a pas été fait pour l’agent de sécurité ministériel actuel. La délégation officielle des pouvoirs assure la clarté des responsabilités et des obligations redditionnelles. Conçu par l’agent de sécurité ministériel, le Plan de sécurité ministériel établit les objectifs de l’Agence en matière de sécurité pour une période de trois ans. Les plans de sécurité antérieur et actuel recommandaient des mesures à court et à moyen terme pour atteindre les objectifs en matière de sécurité. En surveillant les progrès accomplis par rapport au plan, la haute direction peut savoir si l’Agence avance dans la poursuite des objectifs en matière de sécurité et l’atténuation des risques identifiés. Cependant, le CHD n’a pas reçu de rapports réguliers sur les progrès accomplis dans l’application des recommandations des derniers plans de sécurité ministériels, et bien que le plan actuel comporte des indicateurs de rendement et des recommandations relatives aux rapports, la fréquence et les destinataires des rapports ne sont pas décrits en détail. Les rapports réguliers au CHD et au président sur les progrès accomplis dans la mise en œuvre du Plan de sécurité ministériel donneront de la visibilité aux questions de sécurité au niveau de la haute direction et contribueront à la surveillance du programme de sécurité. Risques et répercussions |
6a) Procéder à la nomination officielle de l’agent de sécurité ministériel, en le faisant relever du président ou du CHD au niveau fonctionnel. 6b) Implanter un système de rapports périodiques réguliers au CHD sur les progrès accomplis en regard du Plan de sécurité ministériel. |
6a) Responsabilité Action Date d’achèvement prévue 6b) Responsabilité D’accord Date d’achèvement prévue |
7. Il n’existe pas de processus général entourant les incidents de sécurité pour garantir que ces incidents soient bien signalés et que les données pertinentes soient recueillies à des fins d’analyse des tendances. (Critère 18) | ||
La Norme opérationnelle sur la sécurité matérielleFootnote 11 oblige les ministères à appliquer, en réponse aux incidents liés à la sécurité, des mesures permettant d’assurer que les incidents soient signalés aux responsables concernés de la sécurité et que des mesures correctives immédiates et à long terme soient prises dans les meilleurs délais. Bien que la réaction initiale à un incident soit primordiale pour garantir la protection des employés et des biens, l’analyse des incidents, les leçons à en tirer et les correctifs appliqués font aussi partie d’une gestion efficace et continue de la sécurité et des risques. Les IRSC ont défini des procédures de gestion des incidents liés à la sécurité selon le type d’incident, c’est-à-dire :
Ces procédures sont axées sur la communication initiale des incidents et, dans certains cas, sur la réponse initiale. Aviser l’équipe de la sécurité des IRSC fait partie de toutes les procédures ; cependant, les mesures à prendre ensuite par l’équipe de la sécurité et d’autres intervenants ne sont pas complètement documentées. Un cadre ou un processus documenté permettant le triage des incidents liés à la sécurité et la prise des mesures appropriées jusqu’à la clôture du dossier garantirait que tous les intervenants soient mobilisés au besoin. Une approche normalisée de collecte d’information sur les incidents liés à la sécurité permet aussi d’analyser les tendances et les éléments à risque et d’ainsi cerner des manques possibles dans la formation des employés sur la sécurité et leur sensibilisation à la question. Risques et répercussions |
7a) Établir et documenter un processus de classification des incidents liés à la sécurité afin de garantir :
|
7a) Responsabilité Action Il est important de noter que les incidents sont très rares. Date d’achèvement prévue |
Durant notre audit, nous avons trouvé de légères possibilités d’amélioration susceptibles de renforcer les mécanismes de contrôle interne, de simplifier les activités ou de perfectionner les processus relatifs à la sécurité matérielle. Nous avons consigné ces observations dans une lettre adressée à la direction.
4. Annexe
4.1. Critères d'audit
Les définitions ci-dessous sont utilisées dans l’audit pour évaluer le cadre de contrôle interne.
Conclusion par rapport aux critères | Définition des opinions |
---|---|
Bon contrôle | Bonne gestion, aucune faiblesse importante notée ou besoin d’améliorations mineures seulement. |
Problèmes modestes | Le contrôle comporte des lacunes, mais le risque couru est limité, car la probabilité ou la conséquence du risque est faible. |
Importantes améliorations requises | Le contrôle comporte des lacunes qui, individuellement ou cumulativement, présentent un risque potentiel important. |
4.2. Conclusion générale
L’audit a permis de conclure que la sécurité matérielle présente des problèmes modestes. Certaines faiblesses ont été relevées quant aux mesures de contrôle, mais le risque couru est limité puisque la probabilité ou la conséquence du risque n’est pas élevée.
Critères | Renvoi à des observations | Conclusion |
---|---|---|
Champ d’enquête 1 – Gouvernance (obligations redditionnelles, rôles, et responsabilités) | ||
1. Le président a établi un programme de sécurité pour la coordination et la gestion des activités ministérielles liées à la sécurité. | Aucune exception notée | Bon contrôle |
2. Le programme de sécurité possède une structure de gouvernance incluant des obligations redditionnelles claires et comportant la nomination d’un agent de sécurité ministériel relevant, au niveau fonctionnel, de l’administrateur général ou du comité exécutif ministériel (CHD). | Rapport d’audit (observation 6) | Problèmes modestes |
3. Le président n’a pas délégué son pouvoir de refuser, d’annuler ou de suspendre des autorisations sécuritaires. | Aucune exception notée | Bon contrôle |
4. Les objectifs du programme de sécurité ont été définis en accord avec les politiques, les priorités et les plans ministériels et gouvernementaux. | Aucune exception notée | Bon contrôle |
5. Le programme de sécurité fait l’objet de surveillance, d’évaluation et de rapports visant à mesurer les efforts et les ressources investis et les succès obtenus par la direction dans l’obtention de ses résultats escomptés, y compris la limitation et le maintien du niveau de risque résiduel à un niveau acceptable. | Rapport d’audit (observation 6) | Problèmes modestes |
6. Les obligations redditionnelles, les pouvoirs délégués, les rapports hiérarchiques, ainsi que les rôles et responsabilités des employés de l’organisation ayant un rôle à jouer dans la sécurité matérielle sont définis, documentés et communiqués. | Observation 1 de la lettre à la direction | Bon contrôle |
7. L’organisation s’est dotée d’un programme de continuité des activités pourvu d’une structure de gouvernance comportant l’établissement d’obligations redditionnelles pour la haute direction et la nomination d’un coordonnateur du PCA. | Rapport d’audit (observation 1) | Problèmes modestes |
Champ d’enquête 2 – Gestion du risque | ||
8. Il existe un processus documenté pour cerner, évaluer et gérer systématiquement les menaces, les risques et les vulnérabilités touchant la sécurité des biens matériels. Ce processus englobe la surveillance continue des risques et l’adaptation à l’évolution de l’organisation et du contexte des menaces. | Rapport d’audit (observation 3) | Problèmes modestes |
9. L’agent de sécurité ministériel (ASM) a conçu et mis en œuvre un plan de sécurité ministériel (PSM) qui est mis à jour périodiquement. | Aucune exception notée | Bon contrôle |
10. Le PSM fournit une vue d’ensemble des besoins en sécurité de l’Agence, décrivant les stratégies, les objectifs, les priorités et les délais pour améliorer la posture de sécurité de l’Agence. La posture de sécurité se réfère à des politiques, des procédures et des mesures de contrôle qui composent l’approche générale de l’Agence à l’égard de la sécurité. | Aucune exception notée | Bon contrôle |
11. Le PSM cerne les menaces, les risques et les vulnérabilités touchant la sécurité afin d’établir une série d’objectifs pertinents en matière de contrôle. | Aucune exception notée | Bon contrôle |
12. Le PSM désigne et établit des mesures de contrôle minimales et supplémentaires pour, au besoin, atteindre les objectifs en matière de contrôle et porter le niveau de risque résiduel à un niveau acceptable. | Aucune exception notée | Bon contrôle |
13. Les risques résiduels définis dans le PSM sont officiellement acceptés par l’échelon approprié de la direction. | Rapport d’audit (observation 3) | Problèmes modestes |
14. L’ASM a mis en œuvre un programme d’assurance de la qualité visant à garantir que les mesures de contrôle de la sécurité répondent de la manière la plus efficace et efficiente possible aux besoins du Ministère en matière de sécurité. | Rapport d’audit (observation 6) | Problèmes modestes |
15. Une analyse des répercussions sur les activités a été effectuée dans le but d’évaluer les impacts d’une interruption sur le Ministère et de déterminer les services essentiels et les biens nécessaires à leur prestation, et en établir l’ordre de priorité. | Rapport d’audit (observation 1) | Problèmes modestes |
16. Un plan de continuité des activités a été créé et approuvé par la haute direction en réponse aux résultats de l’analyse des répercussions sur les activités. | Rapport d’audit (observation 1) | Problèmes modestes |
17. Le plan de continuité des activités est régulièrement testé, examiné et révisé et le personnel est régulièrement formé afin de garantir que le programme de continuité des activités soit prêt en cas de besoin. | Rapport d’audit (observation 1) | Problèmes modestes |
Champ d’enquête 3 – Contrôles liés à la sécurité matérielle et du personnel | ||
18. Il existe un processus documenté pour gérer les incidents liés à la sécurité, où il est précisé quand il est obligatoire d’en faire rapport aux organismes centraux. | Rapport d’audit (observation 7) | Problèmes modestes |
19. Les besoins en matière de sécurité sont pris en compte dans la planification opérationnelle, les programmes, les services et les autres activités de gestion. | Aucune exception notée | Bon contrôle |
20. Les besoins en matière de sécurité sont pris en compte dans la passation de contrats. | Aucune exception notée | Bon contrôle |
21. Les gestionnaires et les employés sont au courant de leurs rôles et responsabilités à l’ égard de la sécurité matérielle et de la protection des biens. | Rapport d’audit (observation 2) | Problèmes modestes |
22. L’Agence a établi des lignes directrices afin de déterminer le niveau de classification et la désignation appropriée conformément aux critères établis pour le CA. Ces lignes directrices sont revues et mises à jour périodiquement. | Rapport d’audit (observation 4) | Problèmes modestes |
23. L’ASM ou son remplaçant a établi et documenté des exigences en matière de filtrage de sécurité pour l’Agence, et ces exigences sont revues périodiquement ou à la suite de changements importants. | Aucune exception notée | Bon contrôle |
24. L’ASM ou son remplaçant a établi et documenté des procédures de filtrage de sécurité qui sont coordonnées avec les procédures des ressources humaines et qui couvrent le cycle complet d’autorisation sécuritaire, à partir de l’obtention et du maintien de la cote jusqu’à son annulation, s’il y a lieu. Les procédures sont revues et mises à jour périodiquement. | Rapport d’audit (observation 5) Observation 2 de la lettre à la direction |
Problèmes modestes |
25. Un dossier de sécurité est conservé pour les personnes soumises à des enquêtes de sécurité en conformité avec le fichier de renseignements personnels (FRP) ordinaires défini par le Conseil du Trésor. | Aucune exception notée | Bon contrôle |
26. Les gestionnaires et les employés sont au courant de leurs rôles et responsabilités au regard du filtrage de sécurité du personnel. | Aucune exception notée | Bon contrôle |
27. L’accès aux biens protégés et classifiés est basé sur une hiérarchie des zones. | Aucune exception notée | Bon contrôle |
28. L’accès aux zones d’accès restreint est contrôlé par des mesures de protection qui permettent de ne laisser passer que le personnel autorisé, notamment : carte d’identité, insigne d’accès, contrôle électronique de l’accès, télévision en circuit fermé, centre de contrôle de la sécurité, pièces sécuritaires et agents de sécurité. | Observation 3 de la lettre à la direction | Bon contrôle |
29. Les activités de gestion des installations – y compris les baux, les services d’entretien et de nettoyage, l’affichage intérieur, les serrures et le contrôle des clés et la représentation au sein du comité de sécurité de l’immeuble – sont conformes à la Norme opérationnelle sur la sécurité matérielle. | Observation 4 de la lettre à la direction | Bon contrôle |
30. Les biens protégés et classifiés sont rangés dans des contenants approuvés à l’intérieur de zones d’accès restreint. | Rapport d’audit (observation 4) | Problèmes modestes |
31. Un système d’inventaire a été établi pour suivre les biens de valeur tout au long de leur cycle de vie, et ce système est entretenu et vérifié sur une base régulière. | Aucune exception notée | Bon contrôle |
32. L’autorisation de l’accès physique aux biens protégés et classifiés est maintenue durant le transport et lorsque le travail est effectué en dehors du bureau. | Aucune exception notée | Bon contrôle |
33. La restriction de l’accès physique aux biens protégés et classifiés est maintenue jusqu’au processus d’aliénation des biens, et ce processus est conforme à la Norme opérationnelle sur la sécurité matérielle. | Observation 5 et 6 de la lettre à la direction | Bon contrôle |
- Date de modification :