Plan de continuité des activités de l'ACFC pour l’exercice 2024-2025

Un instrument stratégique pour assurer la continuité des activités

1. Fondement

1.1 Objet

Le présent document a été rédigé à l’attention des intervenants visés par le Plan de continuité des activités (PCA). Il vise également à informer l’ensemble du personnel de l’ACFC. Il facilite la reprise rapide des activités essentielles en cas de perturbation.

1.2 Plans de reprise

Les plans de reprise des activités des directions générales sont le fondement du PCA de l’ensemble de l’Agence. Ils permettent de coordonner efficacement les activités avec le dirigeant principal de la sécurité (DPS) durant la gestion des situations d’urgence. Des directives et des renseignements contextuels pour l’élaboration des plans de reprise des activités sont fournis aux annexes A et B.

• Guide de reprise des activités de la Direction générale de la surveillance et de la mise en application
• Guide de reprise des activités de la Direction générale de la recherche, des politiques et de l’éducation
• Guide de reprise des activités de la Direction générale des affaires publiques
• Guide de reprise des activités de la Direction générale des ressources humaines
• Guide de reprise des activités de la Direction générale des services intégrés

L’intégration dans le PCA du plan de reprise pour le bureau de Toronto, le Secrétariat et les services juridiques est prévue en 2024-2025.

1.3 Responsabilités de l’équipe de reprise

Les membres de l’équipe de reprise sont nommés dans les plans de reprise. Ils ont des responsabilités bien précises et rendent des comptes à leur chef de direction générale (ou à leur représentant désigné de l’équipe de reprise). Les membres de l’équipe de reprise doivent :

• connaître le contenu de ce plan ainsi que celui du plan de leur direction générale;
• suivre les instructions de leur chef de direction générale ou de leur représentant désigné de l’équipe de reprise;
• fournir une rétroaction à leur chef de direction générale en ce qui concerne les activités de reprise;
• participer à la formation et aux exercices en matière de continuité des activités lorsqu’il y a lieu.

1.4 Chef de direction générale ou représentant désigné de l’équipe de reprise

Le chef de direction générale peut désigner un représentant pour l’équipe de reprise aux fins de la coordination des activités du PCA. Il incombe au chef de direction générale ou au représentant désigné de l’équipe de reprise :

• d’approuver le plan de reprise de sa direction générale;
• de communiquer ce plan de reprise à l’équipe de reprise;
• de tester ce plan de reprise.

1.5 Plan d’urgence du représentant désigné de l’équipe de reprise en cas de panne de communication

Voici les procédures d’urgence pour les représentants désignés de l’équipe de reprise si les scénarios suivants se produisent :

• les réseaux mobiles fonctionnent, mais il y a une panne d’internet;
• les réseaux mobiles et l’internet sont en panne, mais les lignes téléphoniques fixes (avec fil) fonctionnent;
• les réseaux mobiles, l’internet et les lignes téléphoniques fixes sont en panne.

2. Contexte

2.1 Portée

Ce plan s’applique au bureau de l’ACFC à Ottawa. Les documents suivants complètent le PCA et leur mise en œuvre peut être déclenchée au besoin : 

• Plan de gestion des événements de cybersécurité
• Documentation sur la réponse et la reprise des services de TI pour le personnel de la TI seulement

2.2 Hypothèses de planification

• Le déclenchement de la mise en œuvre du PCA ne permet pas de résoudre instantanément les problèmes en suspens, et l’immeuble pourrait ne pas être accessible pendant 48 heures ou plus.
• Notre technologie permet le travail à distance et la communication reste possible par divers moyens.
• Certains éléments du plan de reprise sont mis en œuvre dans les quatre heures suivant la perturbation. Les employés essentiels, les remplaçants et les équipes de reprise jouent leur rôle en cas d’indisponibilité de certains membres du personnel.
• Toutes les directions générales collaborent avec le gestionnaire d’incidents de l’ACFC pour minimiser les répercussions de la situation, et les intervenants externes sont prêts à apporter leur aide durant la reprise des activités.
• La fonctionnalité de stockage de sauvegarde hors site est sécurisée et accessible, ce qui permet d’assurer la protection des données et la continuité des activités.

2.3 Formation et sensibilisation

Des séances de formation et de sensibilisation ont été organisées sporadiquement. Elles coïncident souvent avec les semaines nationales de sensibilisation. En 2024-2025, l’ACFC va établir un programme structuré de formation et de sensibilisation pour renforcer sa résilience et son état de préparation.

3. Rôles et responsabilités

Le PCA est mis en œuvre par le commissaire, le DPS dans l’exercice de ses fonctions de gestionnaire d’incidents, les chefs de direction générale (ou les représentants désignés de l’équipe de reprise) ainsi que les membres de l’équipe de reprise. Ensemble, ils forment l’équipe de gestion des incidents :

Figure 1. Équipe de gestion des incidents

3.1 Commissaire

Il incombe au commissaire^{Note de bas de page 1} :

• de passer en revue tout risque résiduel pour la sécurité dépassant la portée des pouvoirs décisionnels établis en matière de gestion des risques pour la sécurité;
• d’enquêter et d’intervenir lorsque des questions importantes de conformité aux politiques surviennent, et veiller à ce que des mesures correctives appropriées soient prises afin de traiter de ces questions.

Le commissaire va :

• déclarer le moment où la mise en œuvre du PCA sera déclenchée et arrêtée;
• fournir des orientations stratégiques au DPS et à l'équipe de gestion;
• autoriser le financement d'urgence;
• approuver les messages à communiquer à propos de situation de crise.

3.2 Dirigeant principal de la sécurité (DPS)^{Note de bas de page 2} 

Le DPS veille à ce que l'ACFC teste le PCA régulièrement (c.-à-d. au moins tous les deux ans) pour assurer un état de préparation adéquat. Le dernier test a été effectué en octobre 2022 et le prochain est prévu pour l'automne 2024. Le DPS agit à titre de gestionnaire d’incidents et dirige les efforts de reprise. Il lui incombe :

• de demander au personnel d'effectuer ou d'obtenir une évaluation des dommages;
• de demander aux chefs de direction générale de l’ACFC de se pencher sur leurs stratégies de reprise;
• d’exiger le recours aux procédures de continuité des activités et d’assurer leur mise en œuvre.

3.3 Chefs de direction générale

Il incombe aux chefs de direction générale :

• de procéder chaque année à l'examen et à la mise à jour de leur documentation liée au PCA, y compris l'analyse des répercussions sur les activités et le plan de reprise de leur direction générale (ces documents ont été achevés en mai 2024), au plus tard à la fin du premier trimestre de l’exercice ou immédiatement après un changement important aux opérations de l'ACFC;
• de mettre à jour, deux fois par année, les coordonnées des personnes-ressources clés dans un document enregistré dans GCDocs.
• Durant les efforts de reprise, il incombe aux chefs de direction générale/représentants désignés de l'équipe de reprise :
• d'assurer leur sécurité et celle des membres de leur direction générale;
• de coordonner la communication des instructions aux membres de l'équipe de reprise et aux autres employés de la direction générale;
• d'évaluer les répercussions de la situation sur les activités importantes de la direction générale et de fixer des priorités;
• de communiquer les besoins et les priorités au DPS ou à la personne désignée par le DPS;
• de diriger et coordonner les efforts de reprise au sein de leur direction générale;
• de fournir au DPS des mises au point sur l'état d'avancement de la reprise des activités de l'ACFC selon les besoins.

3.4 Flux des communications

Lorsque la mise en œuvre d'un PCA est déclenchée (comme l'illustre l'annexe A), il est INTERDIT D’UTILISER LES MÉDIAS SOCIAUX. Tous les autres moyens de communication peuvent être employés. La communication suit la hiérarchie. Voici les personnes-ressources clés et numéros utiles.

3.3 Communications de crise

La Direction générale des affaires publiques fournit un soutien pour les communications de crise, à savoir :

• pour les communications internes concernant le PCA et les situations d'urgence;
• aux fins de la coordination avec les partenaires du CSIF en cas de crise dans une entité sous réglementation fédérale ou l'infrastructure du marché financier.

L'équipe des communications de crise de la Direction générale des affaires publiques n'a pas besoin de se trouver au même endroit que le commissaire, mais ceux-ci doivent avoir un moyen de communication commun.

4. Survol des services essentiels

4.1 Trois phases du PCA

Phase 1 – Réponse immédiate à un événement ou incident

Ce sont les réponses immédiates qui visent à assurer la sécurité. Le DPS dirige l'exécution des plans comme les plans d'évacuation d'urgence et les protocoles de santé et sécurité.

Phase 2 – Mise en œuvre du Plan de continuité des activités

Après un incident pour lequel la mise en œuvre du PCA a été déclenchée, l'objectif est de rétablir les activités essentielles à leur niveau normal dans un délai prescrit.

 Phase 3 – Démobilisation

Cette étape conclut la mise en œuvre du PCA en se concentrant sur la reprise des activités normales et le retour aux lieux habituels. Elle marque la fin du cycle de réponse et met l'accent sur les leçons à tirer de l'expérience.

4.2 Services essentiels

Le tableau ci-dessous décrit les principales activités du PCA à l'échelle de l'Agence.

Temps d’arrêt maximal admissible (TAMA) : Dans un délai de 4 heures

• Qui :
  • Équipe de gestion des incidents
• Activités :
  • Évaluation des dommages et mises au point sur la situation
  • Communication de crise (intervenants internes et externes)
  • Déclenchement des activités de réponse à l'incident, de reprise et de rétablissement
• Qui :
  • DPS
• Activités :
  • Responsabilité d’assurer la sécurité physique du personnel, des biens matériels et des installations de l'ACFC, c'est-à-dire des lieux et des personnes.
• Qui :
  • GI-TI
  • (dans les 24 premières heures)
• Activités :
  • L'équipe de la TI commence le processus de reprise dans un délai de 24 heures. Le temps d’arrêt est susceptible d’être au moins trois jours, mais pourrait atteindre 29 jours.
  • Les services informatiques clés qui doivent être rétablis comprennent les services suivants de soutien à l'infrastructure :
    • Logiciels de sécurité (p. ex., pare-feu)
    • Réseaux internes
    • Liens de communication avec le monde extérieur et centre de données de rechange
    • Serveurs (y compris les bases de données)
    • Dispositifs informatiques personnels

Temps d’arrêt maximal admissible (TAMA) : Dans un délai de 72 heures

• Qui :
  • Finances et approvisionnement
• Activités :
  • Veiller à ce qu'il y ait suffisamment de fonds pour assurer la continuité des activités et financer au moins les salaires et les efforts de reprise
  • Traiter les demandes de rémunération d'urgence du personnel
  • Approvisionnement d'urgencet
• Qui :
  • Sécurité et administration
• Activités :
  • Soutien au personnel de l'ACFC
  • Prestation de services de paye d'urgence pour toutes les catégories d'employés
  • Accélération du recrutement en cas de besoins urgents en main-d'œuvre pour la reprise
  • Prestation de services ou de conseils en matière de relations de travail
• Qui :
  • Ressources humaines
• Activités :
  • Soutien au personnel de l'ACFC
  • Prestation de services de paye d'urgence pour toutes les catégories d'employés
  • Accélération du recrutement en cas de besoins urgents en main-d'œuvre pour la reprise
  • Prestation de services ou de conseils en matière de relations de travail
• Qui :
  • Centre d’information aux consommateurs (CIC)
• Activités :
  • Sur demande, utiliser le CIC pour communiquer avec le public et les institutions financières sous réglementation fédérale
• Qui :
  • Mise en application
• Activités :
  • Procès-verbal de violation pour un cas en cours (uniquement dans les 30 jours suivant la délivrance du procès-verbal de violation et sur demande du commissaire)
• Qui :
  • Éducation
• Activités :
  • Il pourrait être nécessaire d'envoyer des alertes aux consommateurs à la demande du commissaire si un événement important se produit pendant une interruption des opérations.

Remarque : Tableau agrégé du personnel essentiel – PCA – Plans de reprise

Annexe A – Dépendances internes et externes

Services essentiels

• Commissaire/équipe de gestion
  • Établir les priorités et les stratégies de l’Agence, faire preuve de leadership et donner des directives.
  • Assurer la liaison avec les partenaires du CSIF, les institutions financières sous réglementation fédérale et d’autres ministères et organismes gouvernementaux, et échanger de l’information avec ceux-ci suivant les besoins.
  • Transmettre régulièrement des rapports au ministre des Finances à propos des activités et des résultats de l’ACFC.

Soutien interne

• TI
• Affaires publiques
• Services administratifs
• Services juridiques

Dépendances externes

• Partenaires du CSIF
• Autres institutions gouvernementales suivant les besoins

Services essentiels

• Direction générale de la surveillance et de la mise en application
  • Veiller à ce que les renseignements essentiels concernant la surveillance et la conformité soient coordonnés et communiqués à l’interne aux autres équipes de l’ACFC afin de les aider à accomplir leur travail (par exemple au CIC).
  • Surveiller les entités financières à l'échelle de l'industrie et enquêter sur les problèmes de conformité propres à chaque entité.
  • Surveiller la conformité de l’industrie aux codes de conduite et engagements publics adoptés sur une base volontaire.
  • Effectuer des examens annuels de la conformité.
  • Effectuer au besoin des examens dans les locaux des institutions financières sous réglementation fédérale pour régler des problèmes de conformité importants.
  • Aider les institutions financières contrevenantes à corriger le tir.

Soutien interne

• TI
• CIC
• Affaires publiques

Dépendances externes

• Ministère des Finances
• Ministère de la Justice
• BSIF
• Entités réglementées
• Consommateurs, commerçants

Services essentiels

• Direction générale de la recherche, des politiques et de l'éducation
  Mettre en place, améliorer et promouvoir des outils et des ressources en ligne pour aider les consommateurs à prendre des décisions financières judicieuses, et communiquer des informations à l'interne à d'autres équipes de l'ACFC pour les aider à accomplir leur travail (par exemple, le CIC et l'équipe de la littératie financière), et assurer un soutien à cet égard.

Soutien interne

• TI
• CIC
• Affaires publiques
• Recherche, politiques et éducation

Dépendances externes

• Comité interministériel sur la littératie financière
• Réseaux régionaux de littératie financière

Annexe B – Élaboration d'un plan de reprise propre à une direction générale : stratégies communes

1. Perte d'espace de travail

Les lieux où se déroulent les processus opérationnels de l'ACFC ne sont pas accessibles pendant une longue période ou temporairement.

Stratégies de reprise

• Faire travailler le personnel à domicile avec les outils de télétravail, sauf pour certaines tâches de sécurité et d'expédition qui doivent être effectuées en personne.
• Si possible, utilisez les espaces de cotravail du gouvernement du Canada pour le travail ou les réunions.

2. Perte de personnel

Indisponibilité permanente ou temporaire du personnel

Stratégies de reprise

• Faire appel à des remplaçants pour les membres du personnel indisponibles.
• Confier à des employés de l'ACFC des fonctions plus urgentes que celles qu'ils exercent habituellement pendant un certain temps.
• Utiliser des procédures écrites pour aider des personnes capables d’exercer certaines fonctions, mais peu familiarisées avec le travail à accomplir, ou recruter du personnel pour les postes vacants.

3. Perte d'infrastructure de TI, d'applications informatiques ou de bases de données

Défaillance totale ou partielle de l'infrastructure de TI

Stratégies de reprise

• Déclencher la mise en œuvre du le plan de réponse et de reprise des services informatiques dont l'élaboration est prévue dans le cadre de la feuille de route de la TI en 2024-2025.
• Utiliser des procédures manuelles pour effectuer des tâches sans soutien informatique tout en faisant le nécessaire pour qu’un rapprochement puisse être effectué lorsque les systèmes informatiques seront de nouveau en ligne.

4. Destruction des documents physiques

La principale préoccupation à cet égard est le risque d’endommagement des documents physiques, par exemple en cas d'incendie ou de dégâts d'eau causés par le feu.

Stratégies de reprise : Obtenez et utilisez des copies des documents importants ou urgents qui étaient auparavant conservés sur place.

5. Perte de matériel ou de fournitures

Manque de matériel ou de fournitures nécessaires à la réalisation des activités de l'ACFC ou impossibilité de les remplacer

Stratégies de reprise

• Utiliser les accords conclus avec les fournisseurs pour s'assurer que ceux-ci fournissent les services convenus à l'ACFC dans les délais prescrits.
• Chercher d'autres fournisseurs susceptibles d'offrir à l'ACFC du matériel ou des fournitures semblables.
• Utiliser les accords d'aide mutuelle pour emprunter du matériel spécialisé auprès d'organisations partenaires pendant les périodes de perturbation.

Annexe C – Déclenchement de la mise en œuvre du PCA

Selon l'ampleur et la gravité de la situation, le déclenchement de la mise en œuvre du PCA peut nécessiter une décision officielle. L'objectif de l'évaluation préliminaire est de déterminer rapidement si l'équipe de reprise du PCA doit intervenir.

Figure 2. Diagramme de flux du Plan de continuité des activités

ÉTAPE 1

Le DPS ou son adjoint, l’ADPS, est avisé d’une perturbation ou constate lui-même la situation. L'ADPS veille à ce que l’équipe de gestion des installations effectue une évaluation de la capacité du site à maintenir et à fournir des services et fait rapport sur les dommages.

ÉTAPE 2

Le DPS ou l'ADPS organise une conférence téléphonique avec les chefs de direction générale pour discuter du besoin de faire intervenir les équipes de reprise en fonction de l'évaluation des répercussions immédiates.

Personnes-ressources clés et numéros utiles

Annexe D – Pour les responsables des équipes de reprise

Objectif de l'annexe : Aider à déterminer les renseignements qui doivent être recueillis et communiqués à l'équipe de reprise.

1. Décrire brièvement la situation.
2. Noter où le DPS (gestionnaire d'incidents) se trouve.
3. Fournir le numéro de téléphone du DPS (ou de la personne qu'il a désignée).
4. Faire une liste des mesures à prendre immédiatement.
5. Vérifier si le lieu de travail est accessible.
6. Si nécessaire, préciser le lieu et l'heure de toute réunion d'équipe.
7. Rappeler aux membres de l'équipe d'apporter une pièce d'identité avec photo et de la présenter sur demande aux responsables de la sécurité ou aux autorités.
8. Demander aux employés de ne pas parler aux médias.

Lorsqu'un événement perturbateur se produit, le commissaire, par l'intermédiaire du DPS ou de l'ADPS, tient informés tous les employés désignés comme non essentiels au moyen d'outils comme le numéro d'information des employés (613-941-1424) ou d'autres moyens appropriés. 

Tous les employés essentiels qui ont des responsabilités au sein de l'équipe de réponse et de reprise seront contactés et pourraient être appelés à se présenter à un lieu de travail de rechange déterminé à l'avance.