Audit de la planification de la continuité des activités d'Environnement et Changement climatique Canada : Sommaire

L’audit de la planification de la continuité des activités (PCA) a été mené parallèlement à l’audit horizontal de la PCA du Bureau du contrôleur général (BCG), qui englobait des organismes et des ministères sélectionnés, de grande et de petite taille, dont Environnement et Changement climatique Canada (ECCC).

Cet audit interne avait pour objectif de déterminer si ECCC a mis en place un cadre et des processus ministériels de gouvernance pour la PCA.

L’importance de la planification de la continuité des activités

Tous les ministères sont exposés à des risques de sinistres éventuels, y compris des catastrophes naturelles, du sabotage, des pannes de courant, des perturbations des services publics et des cyberattaques. Les services ou produits essentiels sont ceux qui sont nécessaires pour assurer la survie, éviter de causer des blessures et répondre aux exigences légales ou autres d’une organisation.

Des processus et une gouvernance de la PCA pleinement intégrés sont des éléments cruciaux permettant d’améliorer la résilience des activités du gouvernement. Plus précisément, dans le cas d’une interruption des activités normales du gouvernement, ces éléments permettront d’assurer la prestation des services aux Canadiens et aux Canadiennes et de réduire au minimum le temps d’indisponibilité.

Ce que nous avons constaté

Les principaux éléments du cadre ministériel de gouvernance pour la PCA, comme les comités de gouvernance, les politiques officielles et les principaux rôles et responsabilités associés à la PCA étaient en place. Toutefois, la surveillance et la préparation de rapports se limitaient à la présentation, au Comité exécutif de gestion (CEG), de rapports d’étape annuels sur la situation de la PCA et d’un aperçu général de ce qui fonctionne bien et des domaines nécessitant des améliorations. Par ailleurs, la mise à l’essai des plans était limitée à des exercices sur table, au lieu d’essais en grandeur réelle. Des cadres officiels de surveillance et d’établissement de rapports (y compris des mises à l’essai) visant à évaluer périodiquement l’efficacité et la conformité du programme de PCA permettraient à ECCC de déterminer et d’aborder de manière proactive toute lacune existante et d’améliorer la résilience du Ministère face aux événements qui perturbent le cours normal de ses activités.

Bien que la politique et les plans ministériels prévoient des activités de formation et de sensibilisation, l’audit a permis de démontrer que les activités d’ECCC dans ce domaine se limitent, à l’heure actuelle, à l’offre de certains outils pertinents sur la PCA et les activités de rétablissement de services.

ECCC a procédé à des analyses des répercussions sur les activités (ARA) et mis en place des plans de continuité des activités relatifs aux services essentiels échantillonnés. Un accord décrivant les niveaux de service nécessaires pour assurer la reprise des services essentiels était en place pour deux des trois services examinés. Les ARA et les plans étaient, pour la plupart, élaborés conformément aux exigences du gouvernement en matière de PCA.

ECCC doit apporter des améliorations dans les domaines qui suivent, de façon à être mieux en mesure d’assurer la continuité de ses activités advenant une interruption :

• Communiquer plus efficacement aux décideurs les rôles et les responsabilités à l’égard de la PCA, en fournissant une mise à jour de la politique relative au programme de PCA qui s’harmonise avec le cadre stratégique en matière de sécurité du gouvernement;
• Contribuer à l’amélioration de l’efficacité globale du programme de PCA en veillant à ce que les rôles, les responsabilités et les liens hiérarchiques dans le cadre de la PCA soient clairement définis et communiqués officiellement au personnel qui participe au processus ministériel de PCA;
• Déterminer et aborder de manière proactive toute lacune ayant un impact sur l’efficacité du Ministère et sa conformité aux exigences globales du gouvernement en matière de PCA, en établissant un cadre officiel de surveillance et d’établissement de rapports (comprenant la mise à l’essai du programme de PCA);
• Veiller à ce que les plans de continuité des activités soient en place et aient été élaborés conformément aux exigences de base, notamment en ce qui concerne l’établissement d’une relation claire avec les intervenants externes pour la prestation de services des technologies de l’information (TI) et, plus particulièrement, la conclusion d’accords décrivant les niveaux de service nécessaires pour assurer le rétablissement des services essentiels;
• Élaborer et mettre en œuvre un plan ministériel de formation et de sensibilisation en matière de PCA et prévoir la mise à l’essai du programme.

La direction souscrit aux recommandations et a préparé un plan d’action visant à renforcer le cadre de contrôle de la gestion qui soutient la PCA.