Audit du Programme de planification de la continuité des activités

Version PDF

Audit du Programme de planification de la continuité des activités

687 Ko, 30 pages

Cette publication est également offerte par voie électronique en version HTML prête à imprimer : www.ic.gc.ca/eic/site/ae-ve.nsf/fra/h_03783.html

Pour obtenir un exemplaire de cette publication ou un format substitut (Braille, gros caractères), veuillez remplir le formulaire de demande de publication ou communiquer avec le :

Centre de services Web
Industrie Canada
235, rue Queen
Ottawa (Ontario) K1A 0H5
Canada

Téléphone (sans frais au Canada) : 1‑800‑328‑6189
Téléphone (Ottawa) : 613‑954‑5031
TTY : 1‑866‑694‑8389
Les heures de bureau sont de 8 h 30 à 17 h (heure de l'Est).
Courriel : ic.info-info.ic@canada.ca

Autorisation de reproduction

À moins d'indication contraire, l'information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission d'Industrie Canada, pourvu qu'une diligence raisonnable soit exercée afin d'assurer l'exactitude de l'information reproduite, qu'Industrie Canada soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle ni comme une copie ayant été faite en collaboration avec Industrie Canada ou avec son consentement.

Pour obtenir l'autorisation de reproduire l'information contenue dans cette publication à des fins commerciales, veuillez demander l'affranchissement du droit d'auteur de la Couronne ou communiquer avec le Centre de services Web aux coordonnées ci‑dessus.

© Sa Majesté la Reine du Chef du Canada, représentée par le ministre de l'Industrie, 2015

No de catalogue Iu4‑165/2015F‑PDF
ISBN 978‑0‑660‑02765‑4

N.B. Dans cette publication, la forme masculine désigne tant les femmes que les hommes.

Also available in English under the title Audit of Business Continuity Planning Program.

Rapport d'audit

Audit du Programme de planification de la continuité des activités

Direction générale de la vérification et de l'évaluation

Mai 2015

Recommandé pour l'approbation du sous-ministre
par le Comité ministériel d'audit le

Approuvé par le sous-ministre le

Table des matières

Liste des sigles et acronymes utilisés dans le rapport
Acronyme Signification
ARA Analyse des répercussions sur les activités
BSF Bureau du surintendant des faillites
CGM Comité de gestion ministériel
DGGIS Direction générale des installations et de la sécurité
DPF Dirigeant principal des finances
DGVE Direction générale de la vérification et de l'évaluation
EGI Équipe de gestion des incidents
GTPCA Groupe de travail sur la planification de la continuité des activités
NSO‑PPCA Norme de sécurité opérationnelle – Programme de planification de la continuité des activités
PCA Plan de continuité des activités
PPCA Programme de planification de la continuité des activités
SBPI Secteur du Bureau principal de l'information
SCT Secrétariat du Conseil du Trésor
SGI Secteur de la gestion intégrée
SMA Sous‑ministre adjoint
SPC Sécurité publique Canada
SPS Secteur de la politique stratégique
STIT Spectre, technologies de l'information et télécommunications
TAMA Temps d'arrêt maximal admissible

1.0 Sommaire

1.1 Contexte

Le Programme de planification de la continuité des activités (PPCA) d'Industrie Canada vise à gérer et à faciliter l'exécution soutenue des activités ministérielles essentiellesNote de bas de page 1 en cas d'interruption des activités ou d'incident et à assurer un retour à la normale après l'événement. Le Plan de continuité des activités (PCA) recense et juge hautement prioritaires les six services essentiels que fournit Industrie Canada en ce qui concerne les responsabilités fédérales en matière de gestion des urgences (pour en savoir plus, se reporter à l'annexe A).

Le Programme satisfait aux exigences fédérales énoncées dans les instruments législatifs et les instruments de politique suivants :

  • Loi sur la gestion des urgences (2007);
  • Politique fédérale en matière de gestion des urgences (établie par Sécurité publique Canada, 2009);
  • Politique sur la sécurité du gouvernement (révisée par le Conseil du Trésor, 2012); et
  • Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO‑PPCA) (établie par le Conseil du Trésor, 2004).

Le Programme exige l'élaboration et la mise en œuvre en temps opportun, aux niveaux ministériel et sectoriel, des plans, mesures, procédures et préparatifs visant à assurer la continuité des activités pendant une interruption des activités ou un incident. Les principales dépendances (p. ex. Gestion de l'information, Technologie de l'information et Gestion des installations) qui appuient l'exécution des PCA doivent également être mentionnées dans les plans.

La Direction générale des installations et de la sécurité (DGGIS), au sein du Secteur de la gestion intégrée (SGI), est chargée de coordonner l'exécution du Programme à Industrie Canada. Même si le Ministère prend depuis de nombreuses années des mesures de continuité des activités, un projet ministériel de renouvellement de la planification de la continuité des activités a été lancé en 2011–2012 afin d'assurer l'efficacité des plans.

Le Plan ministériel de continuité des activités révisé a été approuvé en mars 2013 et est officiellement mis à jour dans le cadre du cycle ministériel annuel de planification intégrée et d'établissement de rapports. Les PCA sectoriels, qui sont approuvés par les chefs de secteur, font aussi partie du cycle d'examen annuel.

Les analyses des répercussions sur les activités (ARA) sont fort utiles aux PCA. Elles permettent de relever et de hiérarchiser les activités essentielles d'Industrie Canada (p. ex., dossiers de faillite, soutien aux cabinets du ministre et du sous‑ministre; estampillage de la date de la propriété intellectuelle, soutien informatique, services d'hébergement et gestion), la priorité absolue étant accordée à la mise au jour et la prise en compte des six services essentiels pour le compte du gouvernement du Canada.

Les PCA incluent des mesures et de l'information pour faire face aux événements susceptibles d'influer négativement sur les principales ressources opérationnelles comme la GI/TI et les installations. Par exemple, ils prévoient des mesures pour faire face aux interruptions se produisant dans un bâtiment particulier en recensant d'autres sites raccordés au réseau pour les ordinateurs portatifs afin de faciliter la poursuite des activités. Les plans définissent également les structures hiérarchiques et de gouvernance permettant aux décideurs principaux de se réunir rapidement pour évaluer une interruption des activités et y remédier.

De plus, le Secteur du Bureau principal de l'information (SBPI) exerce divers contrôles pour atténuer le risque ou réduire la durée d'une panne informatique, notamment l'établissement de procédures de gestion des incidents pour orienter une reprise hiérarchisée et le rétablissement des applications de TI en fonction de leur soutien aux services essentiels du gouvernement.

Toutefois, le PPCA ne doit pas établir des plans et des mesures pour la gestion d'urgence des secteurs des télécommunications et de la fabrication. Ces responsabilités incombent au Secteur du spectre, des technologies de l'information et des télécommunications (STIT) et au Secteur de l'industrie, qui y donnent suite en adoptant des mesures supplémentaires distinctes dont il est question ci‑dessous.

Responsabilités d'Industrie Canada en matière de gestion des urgences

Dans le contexte de la gestion des urgences du gouvernement du Canada, Industrie Canada est tenu de fournir six services essentiels (se reporter à l'annexe A). Cinq de ces services essentiels ont trait aux télécommunications et incombent au Secteur du STIT. Le sixième, qui se rapporte à la coordination de l'infrastructure de fabrication en cas d'urgence, relève du Secteur de l'industrie. Bien qu'il existe des liens entre ces services essentiels dans le PCA du secteur et celui du ministère et que ces services y soient mentionnés, une série distincte de plans et de mesures ont été élaborés pour assurer la prestation de ces services dans les situations d'urgence. Par exemple, le Secteur du STIT a mis en place un PCA unique ainsi que des plans d'urgence propres aux services essentiels, qui incluent des dispositifs de communications spéciaux (p. ex., téléphone satellitaire), la capacité de transférer les fonctions de l'administration centrale aux régions et la capacité de travailler temporairement en cas de panne informatique. La responsabilité du Secteur de l'industrie visait principalement l'élaboration d'une base de données contenant l'information sur les compétences et les coordonnées d'entreprises clés dans le secteur de la fabrication à la disposition des ministères et organismes fédéraux sur le site Web de Sécurité publique Canada.

1.2 Objectif, portée et conclusion de l'audit

Objectif de l'audit

L'audit avait pour objectif de fournir une assurance raisonnable que le PPCA d'Industrie Canada fonctionne efficacement dans les domaines suivants :

  1. gouvernance du PPCA;
  2. analyse des répercussions sur les activités;
  3. plans et préparatifs en vue de la continuité des activités; et
  4. mise à jour et état de préparation du PPCA.

Portée de l'audit

L'audit incluait une évaluation des activités, processus et contrôles clés de planification de la continuité des activités dans les domaines précisés dans l'objectif de l'audit aux niveaux ministériel et sectoriel à Industrie Canada. L'audit ciblait uniquement le PPCA et non les plans et les préparatifs propres aux responsabilités fédérales du Ministère en matière de gestion des urgences.

L'audit n'incluait pas une évaluation approfondie de la pertinence des PCA pour assurer la continuité des activités en cas d'interruption, car seule une mise en œuvre en temps réel des plans permettrait d'établir cette pertinence.

Cinq organisations ont été choisies pour la mise à l'essai :

  1. le Secteur de l'industrie;
  2. le Secteur du spectre, des technologies de l'information et des télécommunications (STIT);
  3. le Bureau principal de l'information (BPI);
  4. le Secteur de la gestion intégrée (SGI);
  5. le Bureau du surintendant des faillites (BSF).

Les documents examinés étaient les versions utilisées pendant les exercices 2012–2013 et 2013–2014.

Conclusion de l'audit

Les résultats de l'audit ont révélé que le PPCA fonctionne efficacement dans le domaine de la gouvernance. Des possibilités d'amélioration ont été relevées et des recommandations connexes ont été formulées pour donner suite aux risques faibles à moyens au sein du Ministère dans les domaines de l'analyse des répercussions sur les activités, des plans de continuité des activités et de la mise à jour et de l'état de préparation du Programme.

Dans l'ensemble, le processus et la structure de gouvernance du PCA sont bien établis à Industrie Canada. Les constatations et les recommandations portent sur le renforcement du programme et des plans ainsi que sur l'amélioration de leur utilité pour la haute direction.

1.3 Principales constatations et recommandations

Gouvernance

La structure de gouvernance en place pour le PPCA est bien définie. Les chefs de secteur surveillent l'élaboration, la mise en œuvre et la tenue à jour des PCA dans leur domaine de responsabilité respectif et appuient le PPCA du Ministère. Le SGI assure la coordination centrale, fournit des orientations et un soutien et exerce une fonction spéciale de remise en question auprès des secteurs, en plus d'appuyer le groupe de travail ministériel. Le SGI et le Groupe de travail sur la planification de la continuité opérationnelle (GTPCA) sont tenus de fournir des documents aux fins d'examen par les comités de surveillance – le Comité consultatif de gestion des directeurs généraux et le Comité de gestion ministériel au besoin. Les PCA ministériels annuels sont approuvés par le dirigeant principal des finances (DPF), qui détient le pouvoir délégué en matière de sécurité, lequel inclut la planification de la continuité des activités.

Analyse des répercussions sur les activités

Il existe des directives sur la façon d'évaluer la criticité des fonctions et services opérationnels, mais selon l'audit, les ARA des directions générales et des secteurs n'étaient pas effectuées conformément à ces directives. Par ailleurs, il est difficile de déterminer si la criticité des fonctions et services opérationnels a été bien évalués, car les ARA ne renferment pas une justification suffisante. Sans savoir si les évaluations de la criticité ont été réalisées de manière uniforme au sein du Ministère, on ne peut pas se fier entièrement aux ARA pour donner à la haute direction un aperçu clair de la façon de hiérarchiser les fonctions et services opérationnels.

Recommandation no 1 :  Pour accroître sa capacité de donner au Ministère un aperçu hiérarchisé des fonctions et services opérationnels, le SGI devrait :

  1. examiner et modifier le modèle d'ARA et le guide connexe pour aider davantage les directions générales et les secteurs à fournir de l'information additionnelle et une justification à l'appui des évaluations de la criticité et améliorer l'uniformité au sein du Ministère; et
  2. exercer une fonction de remise en question plus rigoureuse pour s'assurer que les ARA des directions générales et des secteurs sont uniformes et conformes aux directives en vigueur.

Les ARA font l'objet d'un examen et d'une approbation à plusieurs échelons, notamment, en bout de ligne, au niveau des chefs de direction générale ou de secteur.

Les exigences détaillées en matière de TI figurant dans les ARA des directions générales et des secteurs ne sont pas validées par le Bureau principal de l'information pendant le processus annuel d'ARA.

Recommandation no 2 : Les directions générales et les secteurs devraient s'assurer que les intervenants responsables de la prestation des services mentionnés dans les ARA, y compris le BPI, ont été consultés aux fins de validation.

Plans de continuité des activités et stratégies de reprise

Les PCA examinés traitaient de plusieurs des éléments requis par la NSO‑PPCA; cependant, il y avait matière à amélioration. De plus, bien qu'il existe des stratégies de reprise documentées dans les PCA, celles‑ci pourraient être plus détaillées et adaptées à une série d'interruptions d'une gravité variable.

Recommandation no 3 : Les directions générales et les secteurs, en collaboration avec le SGI, devrait s'assurer que les PCA satisfont à toutes les exigences de la NSO‑PPCA. Par ailleurs, ils devraient s'assurer que les plans de reprise, les ressources requises, les mesures et les procédures permettent de répondre à des interruptions diverses d'une gravité variable.

Mise à jour et état de préparation du Programme

Les PCA sont mis à jour grâce à des processus amorcés par des déclencheurs officiels et des déclencheurs spéciaux en fonction des changements survenus au sein du Ministère et dans son contexte opérationnel.

Les activités de communication et de sensibilisation se poursuivent pour aider les employés à assumer leurs rôles et leurs responsabilités en matière de planification de la continuité des activités.

La direction de certains secteurs a indiqué qu'une formation complémentaire serait bénéfique pour aider les employés à mener les activités de planification de la continuité des activités.

Recommandation no 4 : Les dirigeants des directions générales et des secteurs, avec l'aide du SGI, devraient évaluer si une formation complémentaire est requise pour les employés assumant des responsabilités en matière de planification de la continuité des activités. Si l'évaluation révèle que les directions générales et les secteurs ont un même besoin de formation, le SGI devrait coordonner la prestation de cette formation.

Des exercices sur table ont été effectués au niveau ministériel ainsi que dans certains secteurs. Toutefois, l'adoption d'une approche de simulation officielle pourrait améliorer ces mises à l'essai et permettre au Ministère de s'assurer qu'elles ont lieu assez souvent et à un degré variable de complexité.

Recommandation no 5 : Le SGI devrait élaborer et documenter une approche de simulation qui décrit la fréquence et la complexité adéquates des mises à l'essai, ainsi que la mise à l'essai des dépendances clés.

La pratique exemplaire qui consiste à tirer des leçons après une interruption réelle des activités ou un exercice de simulation est suivie, mais de manière informelle et non systématique. Par ailleurs, les mesures à prendre à la lumière des leçons tirées ne font pas l'objet d'un suivi jusqu'à leur achèvement. Il est possible de partager les leçons tirées avec le personnel assumant des responsabilités en matière de planification de la continuité des activités au sein du Ministère et de s'assurer que ces leçons sont appliquées pour améliorer les processus et pratiques à cet égard.

Recommandation no 6 : Les directions générales et les secteurs devraient :

  1. partager les leçons tirées avec tous les membres du Groupe de travail sur la planification de la continuité opérationnelle (GTPCA) par l'entremise du coordonnateur ministériel de la planification de la continuité des activités; et
  2. s'assurer qu'il est donné suite aux mesures à prendre à la lumière des leçons tirées de manière à améliorer les processus et pratiques de planification de la continuité des activités.

1.4 Opinion d'audit

À mon avis, le Programme de planification de la continuité des activités à Industrie Canada fonctionne efficacement, à quelques exceptions près. Des possibilités d'amélioration ont été relevées et des recommandations connexes ont été formulées pour donner suite aux risques faibles à moyens au sein du Ministère dans les domaines de l'analyse des répercussions sur les activités, des plans de continuité des activités et de la mise à jour et de l'état de préparation du Programme.

1.5 Conformité aux normes professionnelles

Le présent audit a été mené conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité de la Direction générale de la vérification et de l'évaluation.

space to insert signature

Brian Gear
Dirigeant principal de la vérification, Industrie Canada

2.0 À propos de l'audit

2.1 Contexte

Conformément au Plan d'audit interne pluriannuel axé sur le risque 2014–2017 d'Industrie Canada qui a été approuvé, la Direction générale de la vérification et de l'évaluation (DGVE) a entrepris l'audit du Programme de planification de la continuité des activités.

Programme de PCA

Le Programme de planification de la continuité des activités (PPCA) d'Industrie Canada vise à gérer et à faciliter l'exécution soutenue des activités ministérielles essentielles en cas d'interruption des activités ou d'incident et à assurer un retour à la normale après l'événement. Le Plan de continuité des activités (PCA) recense et juge hautement prioritaires les six services essentiels que fournit Industrie Canada en ce qui concerne les responsabilités fédérales en matière de gestion des urgences (pour en savoir plus, se reporter à l'annexe A).

Le Programme doit être mené conformément aux exigences fédérales énoncées dans les instruments législatifs et les instruments de politique suivants :

  • Loi sur la gestion des urgences (2007);
  • Politique fédérale en matière de gestion des urgences (établie par Sécurité publique Canada, 2009);
  • Politique sur la sécurité du gouvernement (révisée par le Conseil du Trésor, 2012); et
  • Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO‑PPCA) (établie par le Conseil du Trésor, 2004).

La Direction générale des installations et de la sécurité (DGGIS), au sein du Secteur de la gestion intégrée (SGI), est chargée de coordonner le Programme à Industrie Canada. Bien que le Ministère prenne depuis de nombreuses années des mesures de continuité des activités, un projet ministériel de renouvellement de la planification de la continuité des activités a été lancé en 2011–2012 afin d'assurer l'efficacité des plans.

Responsabilités d'Industrie Canada en matière de gestion des urgences : Dans le contexte de la gestion des urgences du gouvernement du Canada, Industrie Canada est tenu de fournir six services essentiels. Cinq de ces services essentiels ont trait aux télécommunications et incombent au Secteur du STIT. Le sixième, qui se rapporte à la coordination de l'infrastructure de fabrication en cas d'urgence, relève du Secteur de l'industrie. Bien qu'il existe des liens entre ces services essentiels dans le PCA du secteur et celui du ministère et que ces services y soient mentionnés, une série distincte de plans et de mesures ont été élaborés pour assurer la prestation de ces services dans les situations d'urgence. Par exemple, le Secteur du STIT a mis en place un PCA unique ainsi que des plans d'urgence propres aux services essentiels, qui incluent des dispositifs de communications spéciaux (p. ex., téléphone satellitaire), la capacité de transférer les fonctions de l'administration centrale aux régions et la capacité de travailler temporairement en cas de panne informatique. La responsabilité du Secteur de l'industrie visait principalement l'élaboration d'une base de données contenant l'information sur les compétences et les coordonnées d'entreprises clés dans le secteur de la fabrication à la disposition des ministères et organismes fédéraux sur le site Web de Sécurité publique Canada. De plus, le Secteur du Bureau principal de l'information (SBPI) exerce divers contrôles pour atténuer le risque ou réduire la durée d'une panne informatique, notamment l'établissement de procédures de gestion des incidents pour orienter une reprise hiérarchisée et le rétablissement des applications de TI en fonction de leur soutien aux services essentiels du gouvernement.

Les activités du projet de renouvellement incluaient ce qui suit :

  • Examen des structures de gouvernance ministérielles en place pour s'assurer que les rôles et les responsabilités demeurent pertinents et sont conformes aux exigences du PPCA gouvernemental.
  • Réalisation d'exercices d'ARA sectoriels et ministériels pour évaluer les répercussions de l'interruption des activités et relever et hiérarchiser les activités essentielles et les biens connexes. 
  • Création ou révision des PCA au niveau des directions générales, des secteurs et du Ministère en fonction des exercices d'ARA.
  • Établissement d'un cycle de mise à jour permanente des PCA, lequel est intégré au cycle de planification annuel du Ministère.

Les membres du Comité de gestion ministériel ont été informés de l'élaboration du PCA ministériel en mars 2013. L'accent avait été mis sur la nécessité pour les gestionnaires et les employés de savoir quoi faire en cas d'interruption des activités ou d'incidents requérant la mise en œuvre des PCA au niveau de la direction générale, du secteur ou du Ministère. Le PCA ministériel, approuvé officiellement par le sous‑ministre adjoint (SMA) du SGI et le dirigeant principal des finances (DPF), est entré en vigueur le .

Une équipe ministérielle de gestion des incidents dirigée par le SMA du SGI est chargée de coordonner les efforts ministériels en cas d'interruption. Au besoin, les secteurs ont mis sur pied leur propre équipe pour exécuter les PCA sectoriels.

Depuis l'achèvement du projet de renouvellement, il n'y a eu aucune interruption des activités nécessitant la mise en œuvre du PCA ministériel.

Les analyses des répercussions sur les activités (ARA) sont fort utiles. Elles permettent de relever et de hiérarchiser les activités essentielles d'Industrie Canada (p. ex., dossiers de faillite, soutien aux cabinets du ministre et du sous‑ministre; estampillage de la date de la propriété intellectuelle, soutien informatique, services d'hébergement et gestion), la priorité absolue étant accordée au recensement et à la prise en compte des six services essentiels pour le compte du gouvernement du Canada.

Les PCA incluent des mesures et de l'information pour faire face aux événements susceptibles d'influer négativement sur les principales ressources opérationnelles comme la GI/TI et les installations. Par exemple, ils prévoient des mesures pour faire face aux interruptions se produisant dans un bâtiment particulier en recensant d'autres sites raccordés au réseau pour les ordinateurs portatifs afin de faciliter la poursuite des activités. Les plans définissent également les structures hiérarchiques et de gouvernance permettant aux décideurs principaux de se réunir rapidement pour évaluer l'interruption des activités et y remédier.

Toutefois, le PPCA ne doit pas établir des plans et des mesures pour la gestion d'urgence des secteurs des télécommunications et de la fabrication. Ces responsabilités incombent au Secteur du STIT et au Secteur de l'industrie, qui y donnent suite en adoptant des mesures supplémentaires distinctes dont il est question dans l'encadré ci‑dessus.

2.2 Objectif et portée

L'audit avait pour objectif de fournir une assurance raisonnable que le PPCA d'Industrie Canada fonctionne efficacement dans les domaines suivants :

  1. gouvernance du PPCA;
  2. analyse des répercussions sur les activités;
  3. plans et préparatifs en vue de la continuité des activités; et
  4. mise à jour et état de préparation du PPCA.

L'audit incluait une évaluation des activités, processus et contrôles clés de planification de la continuité des activités dans les domaines précisés dans l'objectif de l'audit aux niveaux ministériel et sectoriel à Industrie Canada. L'audit ne portait pas sur les plans de soutien d'urgence et les mesures connexes entreprises par le Secteur du STIT et le Secteur de l'industrie pour assurer la prestation des six services essentiels.

La période à l'étude incluait les exercices 2012–2013 et 2013–2014.

Cinq organisations ont été choisies pour la mise à l'essai :

  1. le Secteur de l'industrie;
  2. le Secteur du spectre, des technologies de l'information et des télécommunications (STIT);
  3. le Bureau du surintendant des faillites (BSF);
  4. le Bureau principal de l'information (SBI); et
  5. le Secteur de la gestion intégrée (SGI).

L'audit n'incluait pas une évaluation approfondie de la pertinence des PCA pour assurer la continuité des activités en cas d'interruption, car seule une mise à l'essai exhaustive des plans, laquelle nécessiterait une mise en œuvre en temps réel du PCA, permettrait d'effectuer cette évaluation.

2.3 Approche d'audit

L'audit a été mené conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada. Les procédures d'audit suivies et les données recueillies sont suffisantes et appropriées pour attester l'exactitude de la conclusion et de l'opinion formulées dans le présent rapport. Cette opinion se fonde sur un examen des politiques, des procédures et des plans en place pendant la période mentionnée dans la section « Portée » du présent rapport, en fonction des critères d'audit préétablis convenus avec la direction. Cette opinion s'applique uniquement aux secteurs passés en revue et au cadre décrit dans le présent rapport.

L'audit a été réalisé en trois étapes : planification, exécution et établissement de rapports. Une évaluation des risques a été réalisée à l'étape de planification pour confirmer l'objectif de l'audit et cerner les domaines nécessitant un examen plus approfondi pendant l'étape d'exécution.

En fonction des risques relevés, l'équipe d'audit a établi des critères d'audit en lien avec l'objectif général de l'audit (se reporter à l'annexe B).

La méthode employée pour donner suite à l'objectif de l'audit incluait :

  • un examen des documents;
  • des entrevues avec 18 employés ayant des obligations redditionnelles et des responsabilités en matière de planification de la continuité des activités.

Une réunion récapitulative a été tenue avec la direction du SGI le afin de valider l'exactitude des constatations présentées dans ce rapport.

 

3.0 Constatations et recommandations

3.1 Introduction

Les constatations du présent audit reposent sur des données probantes et une analyse de l'évaluation initiale des risques et de l'exécution des procédures d'audit. En plus des constatations ci‑dessous, la DGVE a fait part à la direction oralement, aux fins d'examen, des constatations relatives aux conditions non systémiques ou présentant un très faible risque et dont l'inclusion dans le présent rapport d'audit n'était pas justifié.

3.2 Gouvernance

La structure de gouvernance en place pour le PPCA est bien définie. Les chefs de secteur surveillent l'élaboration, la mise en œuvre et la tenue à jour des PCA dans leur domaine de responsabilité respectif et appuient le PPCA du Ministère. Le SGI assure la coordination centrale, fournit des orientations et un soutien et exerce une fonction spéciale de remise en question auprès des secteurs, en plus d'appuyer le groupe de travail ministériel. Le SGI et le GTPCA sont tenus de fournir des documents aux fins d'examen par les comités de surveillance – le Comité consultatif de gestion des directeurs généraux et le Comité de gestion ministériel au besoin. Les PCA ministériels annuels sont approuvés par le dirigeant principal des finances (DPF), qui détient le pouvoir délégué en matière de sécurité, lequel inclut le PCA.

Des structures de gouvernance bien définies permettent d'orienter, de surveiller et de gérer la façon dont les programmes ajoutent de la valeur et atténuent les risques. Par ailleurs, elles contribuent à un processus décisionnel efficace, à la mobilisation des intervenants et à la communication au sein de l'organisation.

Le PPCA d'Industrie Canada a adopté un cadre de structure de gouvernance à plusieurs niveaux pour son exécution et la gestion des interruptions d'activités et des incidents. La structure de gouvernance en place est illustrée ci‑après :

Figure 1 – Structure de gouvernance du PPCA d'Industrie Canada

Structure de gouvernance du PPCA d'Industrie Canada (la description détaillée se trouve sous l'image)

Agrandir l'image
Description de figure 1 – Structure de gouvernance du PPCA d'Industrie Canada

Cet organigramme comporte cinq échelons et sept cases qui illustrent les rôles et les responsabilités distinctes au sein du Ministère ainsi que l'interaction entre les diverses parties qui régissent la planification de la poursuite des opérations (PPO).

La case supérieure indique que l'administrateur général exerce la responsabilité et la responsabilisation d'ensemble de la gouvernance de la Planification de la poursuite des opérations (PPO).

Toutes les cases se trouvant sous cet échelon sont reliées par des flèches bidirectionnelles, lesquelles indiquent une interaction continue entre les organes directeurs, menant manifestement vers l'administrateur général.

Le prochain échelon inférieur est celui du Comité de gestion. Composé des SMA et chefs de secteur, ce comité a la responsabilité d'assurer un leadership et une surveillance stratégiques. Deux flèches bidirectionnelles de connexion sont visibles : l'une mène vers le haut vers l'échelon de l'administrateur général et l'autre vers le bas vers le prochain échelon inférieur.

La troisième case, qui se trouve sous celle du Comité de gestion, est celle du Comité consultatif de gestion des directeurs généraux. Ce comité donne des conseils stratégiques et exerce le rôle d'organe de recommandation. Deux flèches bidirectionnelles de connexion sont visibles : l'une mène vers le haut vers le Comité de gestion et l'autre mène vers le bas vers le prochain échelon inférieur.

Le Secteur de la gestion intégrée (SGI) et le Groupe de travail sur la PPO se trouvent dans la quatrième case. Leur rôle consiste à appuyer la PPO et à coordonner son exécution. Deux flèches bidirectionnelles de connexion sont visibles : l'une mène vers le haut vers le Comité consultatif de gestion des directeurs généraux et l'une mène vers le bas vers le cinquième échelon.

Pour saisir l'interaction de l'organe opérationnel au sein de la structure de gouvernance, une case intitulée « Équipe de gestion des incidents d'Industrie Canada » a été positionnée sur le côté gauche du diagramme, entre les deuxième et quatrième échelons. Des flèches bidirectionnelles de connexion sont visibles : l'une mène vers le haut vers le Comité de gestion (deuxième échelon) et l'une mène vers le bas vers le SGI et le Groupe de travail sur la PPO (quatrième échelon).

Enfin, le cinquième échelon se compose de deux cases du même rang : celle de gauche est intitulée « Équipe de gestion des incidents de PPO de secteur/direction générale » et celle de droite est intitulée « Équipe(s) de PPO de secteur/direction générale ». Deux flèches bidirectionnelles de connexion, une de chaque case, fusionnent et mènent vers la case du SGI et du Groupe de travail sur la PPO.

Les directions générales et les secteurs effectuent leurs propres ARA et l'information pertinente est prise en compte dans les PCA de chaque secteur. Les chefs de secteur surveillent l'élaboration, la mise en œuvre et la tenue à jour des PCA relevant de leur responsabilité et appuient le PPCA ministériel. L'équipe d'audit a constaté que les ARA et les PCA des directions générales et des secteurs étaient approuvés par les chefs de secteur.  

Le SGI est responsable de la coordination centrale continue du PPCA. Il fournit des orientations, un soutien et une fonction de remise en question spéciale aux secteurs pour l'élaboration et la tenue à jour des ARA et des PCA. Le Secteur est également tenu d'appuyer et de diriger le GTPCA du Ministère, lequel inclut des représentants de tous les secteurs et de toutes les directions générales. Le SGI et le GTPCA sont tenus de fournir des mises à jour et des documents aux fins d'examen aux organismes de surveillance, le CCGDG et le CGM, au besoin. Des PCA ministériels annuels sont approuvés par le DPF, qui détient un pouvoir délégué en matière de sécurité, lequel comprend la planification de la continuité des activités.

En cas d'incident entraînant une interruption des activités, le SGI et le GTPCA épaulent l'équipe de gestion des incidents du Ministère, dirigée par le SMA du SGI. Les secteurs ont également établi des équipes de gestion des incidents. 

L'équipe d'audit a constaté que ces rôles et responsabilités étaient bien communiqués et compris. Les rôles et responsabilités du PPCA ont été définis et communiqués sur l'intranet du Ministère ou le wiki de la planification de la continuité des activités au moyen des instruments suivants :

  • Politique ministérielle sur la sécurité;
  • mandat du GTPCA;
  • PCA (c'est‑à‑dire plans des directions générales, des secteurs et du Ministère); et
  • outils de planification de la continuité des activités (p. ex., foire aux questions sur la planification de la continuité des activités à l'intention des employés et gestionnaires, plans d'action en cas d'incident, listes de vérification personnelles de la planification de la continuité des activités).

3.3 Analyse des répercussions sur les activités

L'analyse des répercussions sur les activités (ARA) est utilisée pour relever et hiérarchiser les activités essentielles, notamment pour recenser adéquatement les services essentiels offerts par le Secteur du STIT et le Secteur de l'industrie et pour évaluer les répercussions des interruptions. Conformément aux exigences de la Norme de sécurité opérationnelle  Programme de planification de la continuité des activités (NSO‑PPCA) du Conseil du Trésor, l'ARA ministérielle devrait inclure :

  • la nature des activités du Ministère (par exemple, son rôle et son mandat) et les services qu'il doit fournir. L'analyse doit également faire état des fonctions internes et externes dont dépendent les services;
  • les répercussions directes et indirectes des interruptions sur le Ministère, y compris les effets quantitatifs et qualitatifs;
  • une évaluation des services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et au gouvernement;
  • un classement des activités essentielles par ordre de priorité et une liste des ressources qui soutiennent directement ou indirectement les services au sein et à l'extérieur du Ministère;
  • l'approbation des résultats de l'ARA par la haute direction avant de procéder à l'élaboration des plans de continuité.

Processus d'analyse des répercussions sur les activités

Il existe des directives sur la façon d'évaluer la criticité des fonctions et services opérationnels, mais selon l'audit, les ARA des directions générales et des secteurs n'étaient pas toutes effectuées conformément à ces directives. Par ailleurs, il est difficile de déterminer si la criticité des fonctions et services opérationnels a été bien évaluée, car les ARA ne renferment pas une justification suffisante. Sans savoir si les évaluations de la criticité ont été réalisées de manière uniforme au sein du Ministère, on ne peut pas se fier entièrement aux ARA pour donner à la haute direction un aperçu clair de la façon de hiérarchiser les fonctions et services opérationnels.

L'utilisation de modèles d'ARA structurés et d'un manuel de l'utilisateur connexe élaborés par le SGI facilite la réalisation d'ARA. Ces outils fournissent des orientations sur les facteurs clés qui devraient être analysés quand on examine les répercussions de l'interruption sur le Ministère, ainsi qu'une approche structurée pour hiérarchiser les services. Par conséquent, ces outils devraient aider à mener à bien des ARA de manière uniforme au sein du Ministère.

Industrie Canada compte sur les directions générales et les secteurs pour analyser efficacement la criticité de leurs propres fonctions et services et classer ces derniers d'après leur criticité. Toutefois, il est également important qu'une fonction centrale effectue un examen aux fins d'uniformité dans l'ensemble des secteurs et remette en question les évaluations et le classement des fonctions et services opérationnels. Compte tenu du niveau de détail des actuelles ARA, l'information fournie ne permet pas au SGI de s'acquitter adéquatement de cette fonction de remise en question.

L'équipe d'audit a relevé des problèmes relatifs au modèle qui limitent la saisie d'information détaillée à l'appui des décisions concernant les évaluations des répercussions (p. ex., le champ de données concernant l'évaluation du préjudice est une liste déroulante statique qui n'inclut pas d'explication de la raison pour laquelle chaque interruption de service a été jugée causer un préjudice élevé, moyen ou faible aux Canadiens).

Conformément à la NSO‑PPCA, les ARA devraient relever les activités essentielles et les classer par ordre de priorité. La priorité devrait être établie selon le temps d'arrêt maximal admissible (TAMA) et le niveau de services minimal requis avant qu'un préjudice élevé ne soit causé. Toutefois, l'équipe d'audit a relevé des anomalies dans la hiérarchisation des services et fonctions opérationnels dans l'ARA ministérielle :

  • Certains services et fonctions opérationnels jugés modérément essentiels ont été évalués comme présentant un risque élevé de préjudice tandis que d'autres jugés essentiels ont été évalués comme présentant un risque faible ou moyen de préjudice. Ces évaluations ne sont pas conformes aux directives fournies dans le guide sur les ARA (où l'on attribue à une catégorie essentielle un niveau élevé de préjudice et à une catégorie moyennement essentielle un niveau de préjudice moyen). Plus de 50 % des fonctions et services opérationnels énumérés dans l'ARA ministérielle ne sont pas conformes à la directive fournie concernant la façon d'évaluer leur importance pendant une interruption. Sur les 80 services et fonctions opérationnels recensés, 71 font état d'un temps d'arrêt maximal admissible (TAMA) inférieur à 24 heures, ce qui semble un pourcentage très élevé compte tenu de la nature des activités essentielles d'Industrie Canada. 

Ces lacunes dans les ARA des directions générales et des secteurs empêchent le Ministère de se faire une idée des fonctions et services selon leur priorité. En ne hiérarchisant pas de manière uniforme les services et fonctions opérationnels au sein du Ministère, on risque de mal répartir les ressources clés pendant les interruptions des activités, ce qui aurait une incidence sur la capacité de gérer et de faciliter la continuité des activités essentielles au sein d'Industrie Canada.

Il convient de noter que le processus d'ARA a bien relevé les services essentiels à l'appui des responsabilités fédérales d'Industrie Canada en matière de gestion des urgences. Par conséquent, le PPCA a accepté de leur accorder la plus haute priorité.

Recommandation no 1 : Pour accroître sa capacité de donner au Ministère un aperçu hiérarchisé des fonctions et services opérationnels, le SGI devrait :

  1. examiner et modifier le modèle d'ARA et le guide connexe pour aider davantage les directions générales et les secteurs à fournir de l'information additionnelle et une justification à l'appui des évaluations de la criticité et améliorer l'uniformité au sein du Ministère; et
  2. exercer une fonction de remise en question plus rigoureuse pour s'assurer que les ARA des directions générales et des secteurs sont conformes aux directives en vigueur.

Approbation de l'analyse des répercussions sur les activités

Les ARA font l'objet d'un examen et d'une approbation à plusieurs échelons, notamment, en bout de ligne, par les chefs de direction générale ou de secteur.

Le Ministère adopte une approche ascendante à l'égard du processus d'élaboration de l'ARA, en commençant au niveau de la direction pour progresser jusqu'au niveau du secteur, qui recense lui‑même les activités essentielles qu'il fournit. Les ARA font l'objet d'un examen et d'une approbation à plusieurs échelons. Les ARA menées à bien sont approuvées en bout de ligne par le chef de direction générale ou de secteur. Les ARA approuvées recueillies auprès des directions générales et des secteurs forment l'ARA ministérielle.

Validation par les intervenants

Les exigences détaillées en matière de TI figurant dans les ARA des directions générales et des secteurs ne sont pas validées par le Bureau principal de l'information pendant le processus annuel d'ARA.

Les intervenants internes du processus d'ARA incluent la Gestion des installations et le Secteur du Bureau principal de l'information, qui sont responsables de la fourniture des ressources et des services définis dans les ARA d'autres secteurs ou directions générales. Ils devraient confirmer que les exigences connexes sont précises et réalisables. Une fois menées à bien, les ARA sont soumises au coordonnateur ministériel de la planification de la continuité des activités, et un représentant de la Gestion des installations a la possibilité de valider les besoins en installations établis par chaque direction générale et secteur (p. ex., nombre de personnes, locaux à bureaux). Le PCA ministériel montre que des installations de secours primaires et secondaires ont été mises à la disposition de chaque direction générale et secteur.

Néanmoins, les exigences en matière de TI ne sont pas entièrement validées une fois que les ARA sont soumis au coordonnateur ministériel de la planification de la continuité des activités. La validation par le coordonnateur et un représentant de la Gestion des installations vise principalement à garantir qu'un nombre suffisant de connexions réseau est disponible dans les installations de secours pour les employés essentiels des directions générales ou des secteurs; le BPI n'examine pas les applications de TI ou les ressources en GI dont une direction générale ou un secteur dit avoir besoin pendant une interruption des activités. Par ailleurs, les directions générales et les secteurs ne discutent pas toujours directement des exigences en matière de TI avec le Secteur du BPI pendant l'élaboration de leur ARA. Il existe un risque qu'on ne puisse satisfaire aux exigences en matière de TI définies dans les ARA des directions générales ou des secteurs en vue d'appuyer l'exécution continue des activités essentielles.

Il convient de noter que pour les services essentiels, le BPI a reconnu les exigences en matière de TI; le PCA du BPI a établi la correspondance entre les services essentiels du Ministère et leurs applications de TI respectives, de sorte que la priorité leur soit accordée au besoin.

Recommandation no 2 : Les directions générales et les secteurs devraient s'assurer que les intervenants responsables de la prestation des services mentionnés dans les ARA, y compris le BPI, ont été consultés aux fins de validation.

3.4 Plans de continuité des activités

Les résultats de l'ARA sont pris en compte dans le PCA sectoriel. Le PCA doit inclure suffisamment de détails pour permettre la prise des mesures requises pendant une interruption des activités. Un PCA devrait permettre de faire face à un large éventail de menaces (y compris des scénarios peu probables ayant de fortes répercussions) et inclure des plans de continuité de la GI et de la TI. La NSO‑PPCA exige que le PCA précise ce qui suit :  

  • les services essentiels, ainsi que leur dépendance à l'égard de services internes et externes, de biens et de ressources (dépendances) relevés dans l'analyse des répercussions sur les activités;
  • les stratégies de reprise approuvées;
  • les mesures à prendre pour faire face aux répercussions et aux effets des interruptions sur le Ministère;
  • les équipes d'intervention et de reprise, y compris leur composition et les coordonnées des membres;
  • les rôles, responsabilités et tâches des équipes, y compris des intervenants internes et externes. Les intervenants incluent les employés et les organisations responsables de la fourniture des dépendances ainsi que d'autres intervenants comme des fournisseurs, des clients et d'autres ministères;
  • les ressources requises et les procédures à suivre pour la reprise;
  • les mécanismes et les procédures de coordination;
  • les stratégies de communication.

De plus, selon le guide de SPC concernant la planification de la continuité des activités, les plans devraient faire état de mesures d'intervention et de reprise détaillées et des préparatifs connexes pour faciliter la continuité.

Plans de continuité des activités et stratégies de reprise

Les PCA sectoriels et ministériels examinés traitaient de plusieurs des éléments requis par la NSO‑PPCA; cependant, il y avait matière à amélioration. De plus, bien qu'il existe des stratégies de reprise documentées dans les PCA, celles‑ci pourraient être plus détaillées et adaptées à un éventail d'interruptions d'une gravité variable.

Les PCA examinés ont abordé avec succès les éléments requis par la NSO‑PPCA dans les domaines suivants :

  • les équipes d'intervention et de reprise, y compris leur composition et les coordonnées des membres;
  • les rôles et responsabilités des intervenants internes clés;
  • le pouvoir d'activer le PCA;
  • les stratégies de communication et les difficultés imprévues en cas d'interruption;
  • les mécanismes de coordination (p. ex., Système de commandement des interventions); et
  • les préparatifs en vue de la surveillance et de la gestion des coûts des interruptions des activités ou des incidents sont définis par le PPCA et appuyés par des cadres et processus financiers. 

On a relevé les exceptions suivantes :

  • Bien que les dépendances externes aient été définies et documentées dans le cadre des ARA, elles n'ont pas toutes été signalées dans les PCA. Les rôles et les responsabilités des intervenants externes ne sont pas non plus documentés (p. ex., Services partagés Canada, services d'urgence).
  • Même si les ressources d'information requises pour continuer à fournir les services ont été définies et documentées dans le cadre des ARA, elles n'ont pas été mentionnées dans les PCA.   
  • Les plans de continuité de la GI et de la TI et les préparatifs qui appuient la prestation continue des services de TI essentiels en cas d'interruption des activités n'ont pas été établis ni intégrés au PPCA. Ces documents sont en cours d'élaboration, et pour atténuer ce risque, les secteurs responsables des services essentiels (p. ex., STIT et Secteur de l'industrie) ont indiqué avoir des dispositifs en place pour accéder à l'information clé en cas de panne informatique. De plus, le BPI exerce divers contrôles pour atténuer le risque ou réduire la durée d'une panne informatique.

En ce qui concerne les stratégies de reprise, Industrie Canada a adopté une approche tous risques pour se préparer à d'éventuelles interruptions des activités. Comme l'indique SPC, il s'agit d'une approche de gestion des urgences qui reconnaît que les mesures requises pour atténuer les répercussions des urgences sont essentiellement les mêmes, peu importe la nature de l'incident, ce qui permet une optimisation des ressources affectées à la planification, à l'intervention et au soutien. Toutefois, les stratégies de reprise prévues dans le PCA ministériel pourraient être plus détaillées pour permettre de réagir à un éventail de scénarios d'interruption. Le Ministère est fortement tributaire des connaissances des personnes qui se sont vu confier un rôle dans la planification de la continuité des activités (c'est‑à‑dire coordonnateurs de la planification de la continuité des activités et membres des diverses EGI) pour adapter la réponse à l'interruption en question.

Les aspects suivants des PCA ministériels pourraient tirer parti d'une approche de planification plus détaillée :

  • Les PCA visés par le présent audit ne traitent pas d'un éventail d'interruptions de gravité variable touchant les systèmes de TI (p. ex., panne d'une ou de plusieurs applications ministérielles, du réseau tout entier, de l'intranet, d'Internet, des disques partagés et des téléphones).
  • Les plans ne traitent pas d'un éventail d'interruptions touchant les installations. Les PCA renferment des plans visant à faire face à des interruptions dans des bâtiments particuliers, par exemple au cas où un bâtiment principal (p. ex., 235, rue Queen) ne serait pas disponible, ils définissent un lieu de travail secondaire. Toutefois, en raison de la distance qui sépare ces deux emplacements, il est probable que l'interruption touche les deux bâtiments simultanément. Les dispositions prises présupposent que d'autres bâtiments dans la RCN seront accessibles et disponibles comme milieux de travail adéquats, mais il existe des situations plausibles où ce ne sera pas le cas. Il convient de noter que les PCA précisent que l'EGI approuvera l'affectation des ressources disponibles aux secteurs et directions générales en fonction des priorités opérationnelles du Ministère, les services essentiels pour le compte du gouvernement du Canada étant de la plus haute importance. Les PCA proposent également diverses solutions pour assurer la continuité en cas d'indisponibilité de l'infrastructure (p. ex., télétravail, travail à partir d'un autre site ou suspension des services qui ne sont pas aussi essentiels que d'autres pendant une courte période), mais on ne dispose pas d'information détaillée suffisante pour décrire clairement comment chaque solution serait choisie et mise en œuvre.    

Bien que la planification de chaque incident éventuel susceptible d'entraîner la mise en œuvre du PCA ne soit pas réaliste et ne représente pas une utilisation efficace des ressources, une planification plus détaillée de l'intervention ministérielle permettrait mieux à Industrie Canada de limiter efficacement les répercussions d'un incident éventuel.

En l'absence de plans de reprise plus détaillés, il revient à la direction d'effectuer les analyses et de prendre les décisions relativement aux solutions de reprise possibles pendant un incident ou une crise. Il existe un risque que les décisions prises dans ces situations ne soient pas optimales.

Recommandation no 3 : Les directions générales et les secteurs, en collaboration avec le SGI, devraient s'assurer que les PCA satisfont à toutes les exigences de la NSO‑PPCA. Par ailleurs, ils devraient s'assurer que les plans de reprise, les ressources requises, les mesures et les procédures permettent d'intervenir dans tout un éventail d'interruptions de gravité variable.

3.5 Mise à jour du Programme et état de préparation

Les PCA sont mis à jour grâce à des processus amorcés par des déclencheurs officiels et des déclencheurs spéciaux en fonction des changements survenus au sein du Ministère et dans son contexte opérationnel.

Une fois que les PCA sont élaborés, approuvés et mis en œuvre, il importe d'établir un cycle de mise à jour permanente incluant un examen continu de tous les plans pour tenir compte des changements observés au sein du Ministère et dans son contexte opérationnel (p. ex., activités, dépendances, lois, gestion, mandat, organisation, intervenants et contexte de menaces).

Les entrevues et l'examen des documents ont montré qu'il existe des processus amorcés par une série de déclencheurs officiels et spéciaux (p. ex., dictés par les circonstances) pour mettre à jour les PCA et les documents d'appui en dehors du cycle d'examen annuel, notamment :

  • Déclencheurs officiels :
    • Cycle d'examen annuel; et
    • Demandes mensuelles du GTPCA en vue d'obtenir des listes à jour des personnes‑ressources.
  • Déclencheurs spéciaux :
    • Leçons tirées et améliorations abordées pendant les réunions du GTPCA;
    • Changements apportés à la structure organisationnelle; et
    • Changements dans le personnel.

Les résultats ont montré que les PCA sont tenus à jour au moyen d'actualisations continues visant à tenir compte des changements survenus au sein du Ministère et dans son contexte opérationnel.

Sensibilisation et formation

Les activités de communication et de sensibilisation se poursuivent pour aider les employés à assumer leurs rôles et leurs responsabilités en matière de planification de la continuité des activités.

Des activités efficaces de sensibilisation et de formation aident les employés à assumer leurs responsabilités relativement à la mise à jour du PPCA (c'est‑à‑dire élaboration des ARA et des PCA) et à l'intervention en cas d'incident.

La stratégie de communication et de sensibilisation en matière de planification de la continuité des activités, qui a été définie et documentée en 2012–2013, décrit comment le Ministère informera la haute direction et les employés du Projet de renouvellement du PPCA et de leurs rôles et responsabilités connexes. La stratégie de communication et de sensibilisation incluait les activités suivantes : 

  • Comptes rendus à la haute direction sur l'état d'avancement du PPCA;
  • Diffusion de messages de sensibilisation dans Cette semaine @ IC, bulletin ministériel hebdomadaire à l'intention de tous les employés;
  • Réunions périodiques du GTPCA;
  • Exercices sur table périodiques; et
  • Affichage des PCA des directions générales, des secteurs et du Ministère sur le wiki d'Industrie Canada.

Bien que la stratégie de communication et de sensibilisation n'ait pas été mise à jour pour les exercices 2013–2014 et 2014–2015, selon les entrevues et l'examen des documents, les responsables du PPCA ont mené à bien les activités suivantes pour préparer les employés à assumer leurs rôles et responsabilités en matière de planification de la continuité des activités, ce qui est conforme à la stratégie de communication et de sensibilisation de 2012–2013 :

  • Comptes rendus à la haute direction sur l'état d'avancement du PPCA;
  • Réunions périodiques du GTPCA qui ont fourni aux coordonnateurs de la planification de la continuité des activités la possibilité de partager les pratiques exemplaires et les leçons tirées;
  • Des exercices sur table (c'est‑à‑dire simulation facilitée) ont été réalisés au niveau du Comité de gestion ministériel et du GTPCA. Par ailleurs, certaines directions générales et certains secteurs ont effectué leurs propres exercices sur table à l'interne en vue de former et de remettre à niveau les employés désignés relativement à une intervention conforme au PCA; 
  • Des modèles, des guides et des produits de sensibilisation (p. ex., listes de vérification et plans d'action en cas d'incident) ont été produits à l'appui de l'élaboration des ARA et des PCA.

La direction de certains secteurs a indiqué qu'une formation complémentaire serait bénéfique pour aider les employés à assumer les responsabilités en matière de planification de la continuité des activités.

Les rôles et responsabilités clés du personnel en matière de planification de la continuité des activités sont doubles : la mise à jour du programme (p. ex., élaboration des ARA et des PCA) et l'intervention en cas d'incident.

Les connaissances et l'information requises pour assurer la mise à jour du programme reposent principalement sur des tableaux et des guides. Par ailleurs, des employés désignés participent aux réunions du GTPCA et obtiennent un soutien du coordonnateur de la planification de la continuité des activités pour surveiller l'élaboration des ARA et des PCA. Aucune formation officielle n'est offerte pour la mise à jour du programme.

La deuxième série de responsabilités a trait à l'intervention en cas d'incident. Les exercices sur table ont été le principal outil pour former et remettre à niveau les employés concernant l'intervention en cas d'incident et les responsabilités et rôles généraux. Toutefois, certains gestionnaires sectoriels interrogés ont indiqué qu'une formation complémentaire serait profitable aux personnes menant des activités liées à la planification de la continuité des activités.

En l'absence d'une formation suffisante, il existe un risque que les employés clés ne comprennent pas pleinement leurs rôles et leurs responsabilités quand le PCA est mis en œuvre, et les coordonnateurs de la planification de la continuité des activités ou leurs délégués peuvent ne pas posséder les connaissances ou compétences adéquates pour élaborer ou actualiser efficacement chaque année les ARA et les PCA.

Recommandation no 4 : Les dirigeants des directions générales et des secteurs, avec l'aide du SGI, devraient évaluer si une formation complémentaire est requise pour les employés assumant des responsabilités en matière de planification de la continuité des activités. Si l'évaluation révèle que les directions générales et les secteurs ont un même besoin de formation, le SGI devrait coordonner la prestation de cette formation.

Mise à l'essai et validation

Des exercices sur table ont été effectués au niveau ministériel ainsi que dans certains secteurs. Toutefois, l'adoption d'une approche de simulation officielle pourrait améliorer ces mises à l'essai et permettre au Ministère de s'assurer qu'elles ont lieu assez souvent et à un degré variable de complexité.

Une mise à l'essai et une validation régulières des PCA devraient être réalisées afin de déterminer si le Ministère est bien outillé pour réagir efficacement à un large éventail de types d'incidents ou de menaces (y compris des scénarios peu probables ayant de fortes répercussions) et relever les points à améliorer.

Pendant ses réunions, le GTPCA encourage les directions générales et les secteurs à effectuer au moins un exercice sur table par an pendant le cycle annuel d'actualisation. Avec la participation des représentants des directions générales et des secteurs, des exercices sur table ont été organisés au niveau du Comité de gestion ministériel et du GTPCA. Par ailleurs, certaines directions générales et certains secteurs ont réalisé leurs propres exercices sur table à l'interne.

Bien que les exercices sur table du GTPCA aient lieu une fois par an, les directions générales et les secteurs participent à des activités de mise à l'essai de façon ponctuelle. Bien que divers exercices de simulation aient eu lieu, il n'existe pas d'approche de simulation régulière qui coordonne les essais aux divers échelons de l'organisation. Pour mieux officialiser la fréquence des exercices de simulation, le PPCA prévoit que les exercices sur table annuels seront obligatoires pour les directions générales et les secteurs à partir du prochain cycle d'actualisation du PCA (novembre 2014), ce qui cadre avec la Politique ministérielle sur la sécurité, laquelle indique que les PCA visant des processus opérationnels essentiels devraient être sans cesse examinés et mis à l'essai pour s'assurer qu'ils demeurent d'actualité.

Il est également important que des exercices de simulation soient effectués à divers niveaux de complexité afin de valider adéquatement les plans. En plus, les essais devraient inclure la validation des principales dépendances, notamment les ressources en TI et les installations.

Les entrevues et l'examen des documents ont indiqué que les essais dans certains secteurs étaient limités. Dans de nombreux cas, les exercices de simulation ont été décrits comme des outils de formation (p. ex., rappeler aux employés leurs rôles et leurs responsabilités ainsi que les concepts de planification de la continuité des activités) au lieu de servir à valider les PCA et à en vérifier l'efficacité. La mise à l'essai des dépendances clés n'a pas été intégrée aux exercices sur table, et la mise à l'essai indépendante des dépendances clés comme les ressources en TI (notamment la connectivité et l'accès) et les installations n'a pas été uniforme.

Il existe un risque que tous les PCA des directions générales et des secteurs n'aient pas été mis à l'essai et validés adéquatement de manière à relever leurs lacunes, notamment les dépendances clés comme les ressources en TI et les installations.

Recommandation no 5 : Le SGI devrait élaborer et documenter une approche de simulation qui décrit la fréquence et la complexité adéquates des mises à l'essai ainsi que la mise à l'essai des dépendances clés.

Leçons tirées

La pratique exemplaire qui consiste à tirer des leçons après une interruption réelle des activités ou un exercice de simulation est suivie, mais de manière informelle et non systématique, et les mesures à prendre à la lumière des leçons tirées ne font pas l'objet d'un suivi jusqu'à leur achèvement.

Le programme peut sans cesse améliorer sa pratique qui consiste à tirer des leçons des interruptions des activités et des exercices de simulation et à effectuer un suivi jusqu'à ce que des mesures découlant des leçons aient été menées à bien ou mises en œuvre.

Les auditeurs ont examiné des bilans et des rapports de situation provenant de deux incidents réels et de trois exercices de simulation et ont constaté que dans tous les cas, aucun mécanisme officiel n'était en place pour suivre les mesures à prendre du début à la fin. Il existe un risque que les plans et les outils ne soient pas mis à jour comme il se doit en fonction des leçons tirées des vraies interruptions d'activités ou des simulations.

Recommandation no 6 : Les directions générales et les secteurs devraient :

  • partager les leçons tirées avec tous les membres du GTPCA par l'entremise du coordonnateur ministériel de la planification de la continuité des activités; et
  • s'assurer qu'il est donné suite aux mesures à prendre à la lumière des leçons tirées de manière à améliorer les processus et pratiques de planification de la continuité des activités.

3.6 Réponse de la direction et plan d'action

Les constatations et les recommandations du présent audit ont été présentées à la Direction générale des installations et de la sécurité au sein du SGI ainsi qu'au BPI. La direction est d'accord avec les constatations figurant dans le rapport et prendra des mesures pour donner suite aux recommandations. La plupart des mesures de suivi seront mises en œuvre par le SGI d'ici mai 2015. Le BPI a accepté de peaufiner un cadre du Programme de gestion de la continuité des services de TI et un plan de mise en œuvre qui cadrent avec la NSO‑PPCA d'ici mai 2015. Par la suite, le BPI mettra en œuvre le programme d'ici mars 2017, ce qui nécessite la conception, l'élaboration, la documentation, la mise à l'essai et la tenue à jour de procédures à l'appui des plans d'intervention pour assurer la continuité de la TI. Par ailleurs, il y aura des parties de ces plans qui relèveront conjointement d'Industrie Canada et de Services partagés Canada.

Le processus d'ARA, notamment les outils, sera examiné et modifié pour mieux aider à évaluer la criticité et à définir les exigences des fonctions et services opérationnels. Par ailleurs, les documents de planification de la continuité des activités seront mis à jour pour assurer une couverture complète de la NSO‑PPCA du SCT. Pour appuyer l'état de préparation du PPCA, il faudra évaluer s'il est nécessaire d'offrir une formation supplémentaire. En outre, l'approche de simulation sera documentée officiellement et les mesures de suivi découlant des leçons tirées feront l'objet d'un suivi officiel.

4.0 Conclusion générale

L'audit portait uniquement sur le PPCA qui fournit des orientations à Industrie Canada concernant ses responsabilités pendant une interruption des activités. L'audit n'a pas porté sur les plans de soutien en cas d'urgence et les mesures connexes prises par le Secteur du STIT et le Secteur de l'industrie pour assurer la prestation des six services essentiels.

Les résultats de l'audit ont révélé que le PPCA fonctionne efficacement dans le domaine de la gouvernance. Des possibilités d'amélioration ont été relevées et des recommandations connexes ont été formulées pour faire face aux risques faibles à moyensNote de bas de page 2 au sein du Ministère dans les domaines de l'analyse des répercussions sur les activités, des plans de continuité des activités et de la mise à jour et de l'état de préparation du Programme.

Annexe A : Responsabilités de la fonction de soutien en cas d'urgence d'Industrie Canada relativement aux services essentiels du gouvernement du Canada et aux services essentiels connexes

I. Responsabilités de la fonction de soutien en cas d'urgence d'Industrie Canada à l'égard du gouvernement du Canada

Selon la Loi sur la gestion des urgences, par gestion des urgences, on entend les activités en matière de prévention, d'atténuation, de préparation, d'intervention et de rétablissement. En vertu de cette loi, le ministre de la Sécurité publique est chargé de coordonner l'intervention du gouvernement du Canada en cas d'urgence. Le Plan fédéral d'intervention d'urgence (PFIU) est la réponse aux urgences tous risques du gouvernement fédéral.

Sécurité publique Canada a élaboré le PFIU en consultation avec d'autres institutions fédérales. Le PFIU décrit les processus et mécanismes qui facilitent une intervention intégrée du gouvernement du Canada en cas d'urgence et éliminent la nécessité pour les institutions fédérales de coordonner une intervention plus vaste à l'échelle du gouvernement du Canada.

Industrie Canada a été désigné ministère principal à l'appui des secteurs des télécommunications et de la fabrication. Un ministère principal est une institution fédérale investie d'un mandat se rapportant directement à un élément clé d'une urgence. Ses responsabilités sont énoncées en détail dans chaque fonction de soutien en cas d'urgence.

Les fonctions de soutien en cas d'urgence (FSU) fournissent les mécanismes permettant de regrouper les fonctions les plus souvent utilisées pour fournir un soutien fédéral aux provinces et territoires ou lorsqu'une institution fédérale en assiste une autre en réponse à une demande pendant une urgence. Les FSU sont confiées aux institutions fédérales en conformité avec les domaines de responsabilité relevant de leur mandat, notamment les politiques et la législation, les hypothèses concernant la planification et un concept des activités. À leur tour, les FSU sont utilisées pour renforcer et appuyer les principaux programmes, préparatifs ou autres mesures du gouvernement fédéral en vue d'aider les gouvernements provinciaux et territoriaux et par l'entremise de ces gouvernements, les autorités locales ou pour aider le Centre des opérations du gouvernement (COG) à coordonner l'intervention du gouvernement du Canada en cas d'urgence.

Relation entre l'intervention d'urgence et la continuité des activités

Durant une intervention d'urgence, Industrie Canada est chargé de gérer le flux d'information à destination et en provenance des intervenants (c'est‑à‑dire télécommunications et fabrication) et d'autres ministères, en particulier le ministère de la Sécurité publique. Industrie Canada peut intensifier sa participation quand la situation se détériore et que le milieu des télécommunications demande de l'aide, comme des fréquences additionnelles pour les premiers intervenants.

Il convient de noter qu'Industrie Canada peut intervenir dans le contexte d'une interruption de ses activités ou en dehors de ce contexte.

Les responsabilités des FSU d'Industrie Canada comprennent les six services essentiels qui sont les suivants :

  1. Coordination des radiofréquences internationales
  2. Télécommunications d'urgence et intervention relative à la cybersécurité
  3. Élimination des interférences terrestres
  4. Délivrance de licences aux services terrestres
  5. Certification, coordination et analyse technique pour la diffusion, la radio et la télévision
  6. Approvisionnement industriel sûr (fabrication) pour la protection de l'infrastructure essentielle

Cinq des six services essentiels sont liés aux télécommunications et relèvent du Secteur des STIT. Pour assurer la prestation de ces services essentiels, au besoin, le Secteur du STIT a élaboré :

  • Un PCA unique pour les services essentiels en télécommunications qui vient compléter le PCA du STIT et du Ministère. Le document fournit les coordonnées de la direction et du représentant principal des services essentiels (en cas d'urgence en télécommunications pendant un incident nécessitant la mise en œuvre du PCA. Par ailleurs, le document décrit le transfert de la chaîne de commandement aux régions au cas où l'interruption des activités a une grande incidence sur la RCN.
  • Des plans d'urgence stratégiques et opérationnels en télécommunications à l'appui de la prestation des services essentiels. L'un des plans d'urgence régionaux décrit les processus opérationnels reposant sur une série des situations d'urgence les plus courantes, notamment la réception d'une demande d'aide d'une autre région (tirant ainsi parti de l'effectif réparti du secteur à l'appui de ces services essentiels).
  • Les mesures en matière de communication qui incluent l'utilisation de services prioritaires sans fil et de téléphones satellitaires en cas de congestion des réseaux terrestres et sans fil.

Pour assumer sa responsabilité en matière de fabrication en cas d'urgence, le Secteur de l'industrie du Ministère a axé ses efforts sur l'élaboration d'une base d'information permettant de joindre rapidement et de surveiller le plus grand nombre possible d'entreprises dans le secteur de la fabrication (établissant dès lors un réseau d'approvisionnement).

Pour ce qui est de la capacité de fournir des services essentiels en cas d'interruption des activités, le Secteur du STIT et le Secteur de l'industrie travaillent en étroite collaboration avec SPC, d'autres ministères ainsi que des intervenants clés à la préparation aux situations d'urgence. Par conséquent, les deux secteurs ont indiqué qu'ils avaient participé aux exercices de simulation au niveau fédéral et provincial. Le Secteur du STIT et le Secteur de l'industrie ont mentionné que des mesures étaient en place pour avoir accès à l'information clé en cas de panne informatique à Industrie Canada. Par ailleurs, le BPI a pris note des exigences en matière de TI pour les services essentiels; le PCA du BPI a établi un lien entre les services essentiels du Ministère et leurs applications de TI respectives de sorte que la priorité leur soit accordée au besoin.

Par conséquent, le Ministère a des mesures en place pour assumer ses responsabilités en matière de FSU qui peuvent être mises en œuvre dans le contexte d'une interruption des activités.

Annexe B

Critères d'audit
Critères Critère satisfait, satisfait à quelques exceptions près ou non satisfait
Gouvernance du PPCA
  1. Les structures de gouvernance permettent d'orienter et de surveiller le PPCA.
 Satisfait
Analyse des répercussions sur les activités
  1. Les ARA évaluent les répercussions des interruptions sur le Ministère et hiérarchisent les activités essentielles et les biens connexes.
 Satisfait à quelques exceptions près
Plan de continuité des activités et préparatifs
  1. Des stratégies de continuité des activités et de reprise ont été établies, évaluées, sélectionnées et approuvées, et les PCA sont conformes aux exigences stratégiques.
 Satisfait à quelques exceptions près
Mise à jour et état de préparation du PPCA
  1. Les PCA sont tenus à jour grâce à un examen continu en vue de tenir compte des changements au sein du Ministère et dans son contexte opérationnel (p. ex., lois, activités essentielles, organisation, mandat, gestion, contexte de menaces, intervenants et dépendances).
 Satisfait
  1. Le programme de formation et de sensibilisation en matière de planification de la continuité des activités prépare les employés à assumer leurs rôles et leurs responsabilités relativement au PPCA.
 Satisfait à quelques exceptions près
  1. Les PCA font l'objet de mises à l'essai et de validations, ce qui inclut la préparation de rapports sur les leçons tirées et la mise à jour des PCA après des activités de simulation ou des incidents réels.
 Satisfait à quelques exceptions près

Réponse de la direction et plan d'action

Version PDF

Réponse de la direction et plan d'action

53 Ko, 5 pages

A – Aux fins d'inclusion dans le rapport

Les constatations et les recommandations de l'audit ont été présentées à la Direction générale des installations et de la sécurité du Secteur de la gestion intégrée (SGI) et au Secteur du Bureau principal de l'information (BPI). La direction est d'accord avec les constatations figurant dans le présent rapport et prendra des mesures pour donner suite aux recommandations d'ici mars 2017.

Inclure un bref résumé des mesures de gestion, notamment des éléments clés ou importants du plan d'action de gestion détaillé au besoin.

B – Aux fins de suivi : Mesures détaillées à prendre pour donner suite aux recommandations formulées dans le rapport

Aux fins de suivi : Mesures détaillées à prendre pour donner suite aux recommandations formulées dans le rapport
Recommandation Mesure prévue pour donner suite à la recommandation Responsable (poste) Date d'achèvement cible

Recommandation no 1 : 
Pour accroître sa capacité de donner au Ministère un aperçu hiérarchisé des fonctions et services opérationnels, le SGI devrait :

  1. examiner et modifier le modèle d'ARA et le guide connexe pour aider davantage les directions générales et les secteurs à fournir de l'information additionnelle et une justification à l'appui des évaluations de la criticité et améliorer l'uniformité au sein du Ministère; et
  2. exercer une fonction de remise en question plus rigoureuse pour s'assurer que les ARA des directions générales et des secteurs sont uniformes et conformes aux directives en vigueur.
 Le SGI examinera et modifiera le modèle d'analyse des répercussions sur les activités (ARA) pour s'assurer que les utilisateurs fournissent de l'information additionnelle et une justification à l'appui de l'évaluation de la criticité. Directeur de la sécurité, SGI Menée à bien
Le SGI examinera et mettra à jour le Guide sur les ARA pour l'harmoniser avec les changements apportés au modèle d'ARA. Directeur de la sécurité, SGI Menée à bien
Le SGI présentera au GTPCA les constatations figurant dans le rapport d'audit afin qu'il les examine pendant la mise à jour de l'ARA cet automne. Directeur de la sécurité, SGI Menée à bien
Les directions générales et les secteurs s'assureront que l'information fournie dans les ARA est conforme aux directives. Directions générales et secteurs Menée à bien
Le SGI examinera les ARA pour s'assurer que les directions générales et les secteurs suivent les directives fournies dans le Guide sur les ARA. Directeur de la sécurité, SGI Menée à bien

Recommandation no 2 : 
Les directions générales et les secteurs devraient s'assurer que les intervenants responsables de la prestation des services mentionnés dans les ARA, y compris le BPI, ont été consultés aux fins de validation.

Le SGI modifiera le processus d'ARA pour inclure la présentation des ARA préliminaires au coordonnateur ministériel de la planification de la continuité des activités aux fins d'examen et de validation, suivie d'un examen et d'une remise en question par un ou plusieurs représentants de la Gestion de l'information et un ou plusieurs représentants du BPI avant de les soumettre à l'approbation des chefs de direction générale ou de secteur et du SMA. Directeur de la sécurité, SGI Menée à bien

Recommandation no 3 : 
Les directions générales et les secteurs, en collaboration avec le SGI, devraient s'assurer que les PCA satisfont à toutes les exigences de la NSO‑PPCA. Par ailleurs, ils devraient s'assurer que les plans de reprise, les ressources requises, les mesures et les procédures permettent de répondre à des interruptions diverses d'une gravité variable.

 Le SGI modifiera le modèle de PCA pour tenir compte des exigences de la NSO‑PPCA. Une formation sera offerte aux membres du GTPCA pour s'assurer que les changements sont pris en compte dans les PCA des directions générales et des secteurs. Directeur de la sécurité, SGI Menée à bien
Sous la direction du SGI, les directions générales et les secteurs doivent s'assurer de la prise en compte des changements dans leur PCA. Directions générales et secteurs Mars/avril 2015
Le BPI peaufine le cadre du Programme de gestion de la continuité des services de TI et le plan de mise en œuvre qui sont conformes à la NSO‑PPCA. BPI Mai 2015
Par la suite, le PBI mettra en œuvre le programme. BPI Mars 2017
Le SGI discutera des protocoles avec Sécurité publique Canada en cas d'interruption dans la RCN et avec le BPI en cas d'interruption des systèmes de TI et élaborera des procédures et des mesures au besoin, notamment la mise à jour du modèle de PCA pour tenir compte de l'information supplémentaire. Directeur de la sécurité, SGI Menée à bien
Le SGI informera les membres du GTPCA des modifications apportées au modèle et aux exigences. Directeur de la sécurité, SGI Menée à bien

Recommandation no 4 : 
Les dirigeants des directions générales et des secteurs, avec l'aide du SGI, devraient évaluer si une formation complémentaire est requise pour les employés assumant des responsabilités en matière de planification de la continuité des activités. Si l'évaluation révèle que les secteurs et les directions générales ont un même besoin de formation, le SGI devrait coordonner la prestation de cette formation.

 Les dirigeants des directions générales et des secteurs, avec l'aide du SGI, évaluera si une formation complémentaire est nécessaire pour les employés assumant des responsabilités en matière de planification de la continuité des activités et continuera de fournir cette formation au besoin. Directions générales, secteurs et directeur de la sécurité, SGI Mai 2015
Le SGI officialisera les exigences en matière de formation pour les membres du GTPCA en incluant ces exigences dans le mandat du Groupe de travail. Directeur de la sécurité Mai 2015
Le SGI fournira aux membres du GTPCA de l'information sur la formation du groupe responsable du Système de commandement des interventions. Directeur de la sécurité Mai 2015

Recommandation no 5 : 
Le SGI devrait élaborer et documenter une approche de simulation qui décrit la fréquence et la complexité adéquates des mises à l'essai ainsi que la mise à l'essai des dépendances clés.

 Le SGI documentera officiellement dans le modèle de PCA l'approche de simulation de complexité variable ainsi que la mise à l'essai des dépendances pour les directions générales et les secteurs responsables des activités essentielles. Directeur de la sécurité, SGI Menée à bien
De plus, le SGI élaborera un calendrier annuel de mises à l'essai conforme à l'approche documentée. Directeur de la sécurité, SGI Menée à bien

Recommandation no 6 : 
Les directions générales et les secteurs devraient :

  1. partager les leçons tirées avec tous les membres du Groupe de travail sur la planification de la continuité des activités (GTPCA) par l'entremise du coordonnateur ministériel de la planification de la continuité des activités; et
  2. s'assurer qu'il est donné suite aux mesures à prendre à la lumière des leçons tirées de manière à améliorer les processus et pratiques de planification de la continuité des activités.
 Le SGI élaborera des modèles que les directions générales et les secteurs utiliseront pour tirer des leçons des exercices sur table et d'événements réels et produire des rapports connexes. Directeur de la sécurité, SGI Menée à bien
Les directions générales et les secteurs seront tenus de présenter aux membres du GTPCA un rapport sur les leçons tirées s'il y a lieu. Directions générales et secteurs Mise en œuvre
Le SGI élaborera un modèle de plan d'action pour la mise en œuvre des leçons tirées. Directeur de la sécurité, SGI Menée à bien
Les directions générales et les secteurs seront chargés de transposer les leçons tirées dans les PCA. Directions générales et secteurs Mise en œuvre
 Signaler un problème sur cette page
Date de modification: