ARCHIVÉE - Rapport de vérification définitif - Vérification de la planification de la continuité des activités

mars 2011

Table des matières

Sommaire

Un plan de la continuité des activités est une collection de procédures et de renseignements documentée, préparée et maintenue en disponibilité pour assurer la continuité des services essentiels en cas de perturbation. Santé Canada possède un programme de sécurité intégrée qui comprend un programme ministériel de planification de la continuité des activités (PCA) sous l'égide de la Direction générale des services de gestion.

L'objectif de la vérification était d'évaluer le cadre de contrôle de gestion de la PCA de Santé Canada en ce qui concerne la gouvernance, la gestion des risques et les contrôles. La vérification a été effectuée par le Bureau de la vérification et de la responsabilisation. Selon le jugement du Dirigeant Principal de la vérification, des procédures suffisantes et convenables ont été suivies et la preuve a été réunie pour appuyer l'exactitude de la conclusion de la vérification. Les constatations et la conclusion de la vérification sont basées sur une comparaison des conditions qui existaient à la date de vérification aux critères établis en accord avec la direction. De plus, la preuve a été réunie conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada ainsi qu'aux Normes internationales pour la pratique professionnelle de la vérification interne.

Le Programme ministériel de la PCA s'est considérablement développé au cours de l'année écoulée. La Division de la gestion de la sécurité et des mesures d'urgence s'est employée avec diligence à rehausser davantage son Programme de la PCA comprenant un cadre d'administration solide, une méthode pour la préparation de plans de continuité des activités, un dépôt central pour garder les plans de continuité et un leadership ministériel pour les Directions générales et les régions dans la préparation de plans de continuité. Ces actions ont mis le Ministère en meilleure position pour assurer la continuité et les plans d'urgence.

Le Programme de la PCA a appuyé avec succès la participation de Santé Canada aux récents événements nationaux comme la pandémie de grippe A/H1N1 de 2009-2010, les Jeux Olympiques 2010 en Colombie-Britannique et les Sommets du G-8 et du G-20 en Ontario. En octobre 2009, Santé Canada était considéré comme étant « prêt » en cas d'interruption par Sécurité publique Canada. Pour l'exercice de préparation des Jeux Olympiques 2010 effectué par le gouvernement du Canada, le Ministère avait également été déclaré « prêt ». En plus de l'expérience inestimable acquise par la récente participation aux événements nationaux, le programme de sécurité de Santé Canada a reçu une note « solide » selon l'auto évaluation 2009-2010 pour le Cadre de responsabilisation de la gestion.

Cette vérification met en valeur les domaines où des mesures supplémentaires serviraient à renforcer davantage la culture de la gestion des mesures d'urgence à Santé Canada et à mieux adapter le programme de « Norme de sécurité opérationnelle - Programme de la PCA ». Par exemple, même si le modèle d'analyse des répercussions sur les opérations contient de nombreux éléments essentiels, sa portée devrait être étendue pour inclure tous les éléments exposés dans la norme. Des pratiques renforcées d'analyse des répercussions sur les opérations amélioreraient la qualité de l'information tirée de l'analyse et permettrait une meilleure prise de décision afin d'élaborer une «courte liste» des services essentiels et des stratégies de récupération correspondantes.

En 2009-10, l'équipe de la PCA a collaboré avec les directions générales pour les aider à préparer et à mettre à jour leurs plans de continuité en prévision d'une pandémie possible. Les plans sont sauvegardés dans la base de données de la PCA. La vérification a étudié des échantillons de plan et a remarqué qu'ils pourraient être plus complets, comprenant une détermination explicite des dépendances et des stratégies détaillées de récupération pour mieux préparer le Ministère aux interruptions des activités. Par ailleurs, la mise en œuvre d'un cycle d'entretien permanent augmentera la probabilité d'avoir des plans précis, mis à jour pour les cas d'interruption des activités.

Même s'il n'est pas nécessaire pour les ministères et les organismes d'avoir un plan organisationnel de continuité, c'est souvent un objectif au fil de l'évolution du Programme de la PCA. Le travail dans ces domaines clés servira à renforcer la fonction de la PCA et à mettre le Ministère en meilleure position pour produire un plan ministériel à long terme.

La direction a souscrit aux huit recommandations et a préparé un plan d'action qui servira à renforcer davantage le Programme de planification de la continuité des activités.

1. Introduction

1.1 Contexte

Un plan de continuité des activités est une collecte de procédures et de renseignements documentée, préparée et maintenue en disponibilité pour assurer la continuité des services essentiels en cas de perturbation. Il comprend des stratégies de récupération (restauration des services), des mesures permettant de traiter les répercussions et les effets de perturbation, des responsabilités et des tâches pour les équipes d'intervention et de récupération, ainsi que des ressources et des procédures pour la récupération.

Selon la définition indiquée dans la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada, un service essentiel est un service dont la disponibilité est obligatoire pour éviter de graves préjudices à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou au fonctionnement efficace du gouvernement du Canada.

La PCA a connu une évolution considérable comme pratique de gestion depuis qu'on a établi en 2000 l'importance de la planification des mesures d'urgence pour les ressources d'information (données de valeur) ; le 11 septembre 2001 a prouvé que des événements de répercussion considérable/à faible risque pouvaient se produire et que la récupération sera possible. La Loi sur la gestion des urgences de 2007 du gouvernement du Canada a renforcé l'obligation pour les ministères de planifier la continuité des activités pour les cas d'urgence. Ainsi, la PCA à Santé Canada continue à progresser.

Santé Canada possède un programme de sécurité intégrée, qui inclut le programme ministériel de la PCA, sous l'égide de la Division de la gestion de la sécurité et des mesures d'urgence de la Direction générale des services de gestion. Le mandat du programme de la PCA de Santé Canada consiste à assurer la disponibilité des services essentiels et des ressources qui s'y rattachent pour assurer la santé, la sûreté, la sécurité et le bien-être économique des Canadiens, et le fonctionnement efficace du gouvernement. Par ailleurs, toutes les directions générales et les régions doivent préparer des plans locaux de continuité.

Le programme ministériel de la PCA s'est développé considérablement en 2009-10. La Division de la gestion de la sécurité s'est employée avec diligence à mettre en place un programme plus complet incluant un cadre d'administration solide, une méthode pour la préparation de plans de continuité des activités, un dépôt central pour garder les plans de continuité et un leadership ministériel pour les directions générales et les régions dans la préparation de plans de continuité.

De plus, le Programme de la PCA a appuyé avec succès la participation de Santé Canada aux récents événements nationaux comme la pandémie de grippe A/H1N1 2009-2010, les Jeux Olympiques 2010 en Colombie-Britannique et les Sommets du G-8 et du G-20 en Ontario. Quant à la pandémie H1N1, tous les ministères intéressés ont été évalués selon 15 critères pour que la Sécurité publique puisse considérer un ministère ou un organisme « prêt ». En octobre 2009, Santé Canada a reçu « l'assurance de disponibilité » complète selon les 15 critères et a donc été identifié comme étant « prêt » pour les cas d'interruption due à une pandémie. Pour l'exercice de préparation des Jeux Olympiques 2010 effectué par le gouvernement du Canada, le Ministère avait également été identifié comme étant « prêt ». En plus de l'expérience inestimable acquise par la récente participation aux événements nationaux, le programme de sécurité de Santé Canada a reçu une note « solide » selon l'auto évaluation 2009-2010 pour le Cadre de responsabilisation de la gestion.

1.2 Objectif de la vérification

L'objectif de la vérification est d'évaluer le cadre de contrôle de gestion de la PCA de Santé Canada quant à la gouvernance, à la gestion des risques et au contrôle.

1.3 Portée et méthode

La vérification de la PCA a été entreprise par le Bureau de la vérification et de la responsabilisation selon le plan de vérification axé sur les risques de Santé Canada pour la période de 2009-2010 à 2011-2012 qui a été avalisé par le Comité ministériel de vérification le 22 mai 2009 et approuvé ensuite par le Sous-ministre. La vérification a été effectuée conformément à la Politique sur la vérification interne du gouvernement du Canada et elle a examiné une preuve suffisante et pertinente, et obtenu suffisamment d'information et d'explications pour fournir un niveau raisonnable d'assurance en appui à sa conclusion.

La vérification a examiné le programme de la PCA de Santé Canada pour conformité à la « Norme de sécurité opérationnelle - Programme PCA » (mentionnée par la suite comme norme de la PCA du gouvernement du Canada). Les critères de vérification provenaient de la norme de la PCA du gouvernement du Canada et d'autres cadres de contrôle de gestion (voir Annexe A).

La période de vérification allait du 1er janvier 2009 au 18 août 2010. La vérification a été effectuée dans les directions générales et les régions et la méthode comprenait un examen des dossiers de la PCA, de la documentation, des analyses de répercussion sur les opérations, des politiques, des normes, des directives, des cadres de travail et des plans de continuité de la PCA. Des entrevues ont été effectuées avec divers intervenants de la PCA. De plus, un échantillon--basé sur les risques--des plans de continuité pour les services les plus essentiels (ceux qui doivent reprendre dans les 24 heures) a été examiné.

Même si la vérification s'est assuré que les plans de continuité avaient des stratégies en place--y compris des stratégies de récupération de la gestion de l'information et de la technologie de l'information (GI/TI) --elle n'a pas testé la faisabilité technique de la mise en œuvre. La vérification a examiné les arrangements avec des fournisseurs externes y compris d'autres ministères, mais elle n'a pas évalué les plans de continuité des organisations extérieures à Santé Canada.

Enfin, pendant la vérification, Sécurité publique Canada était en train de procéder à un examen des services essentiels du Ministère. La direction a indiqué qu'elle a terminé l'exercice en fournissant la liste des services essentiels du Ministère à Sécurité publique Canada, tel qu'on l'a demandé de la part de tous les ministères du gouvernement du Canada.

1.4 Énoncé d'assurance

Selon le jugement du Dirigeant Principal de la vérification, des procédures suffisantes et convenables ont été suivies et la preuve a été réunie pour appuyer l'exactitude des conclusions de la vérification. Les constatations et la conclusion de la vérification sont basées sur une comparaison des conditions qui existaient à la date de vérification aux critères établis en accord avec la direction. De plus, la preuve a été réunie conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada ainsi qu'aux Normes internationales pour la pratique professionnelle de la vérification interne.

2. Constatations, recommandations et réponses de la direction

2.1 Gouvernance

2.1.1 Surveillance stratégique pour la PCA

Critère de vérification : La haute direction du Ministère fournit une surveillance stratégique pour le programme de la PCA.

Haute Direction

Le Sous-ministre et le Comité exécutif fournissent une surveillance stratégique de la haute direction pour le Programme de la PCA afin de s'assurer que les services essentiels restent disponibles pendant une situation de crise en vue de maintenir les opérations quotidiennes du Programme de la PCA. Comme prévu, en temps de crise, le Comité exécutif guiderait et dirigerait les moyens d'intervention à mettre en œuvre et fournirait des directives générales sur les communications. Le cas échéant, le Comité coordonnerait les mesures avec les autres ministères et autoriserait la réaffectation du personnel spécialisé.

Structure de gouvernance de la PCA à Santé Canada

Structure de gouvernance de la PCA à Santé Canada

Agent de sécurité du Ministère

Le Comité exécutif est soutenu par l'agent de sécurité du Ministère qui établit et dirige le programme ministériel de sécurité. Sous la direction de l'agent de sécurité du Ministère, Santé Canada a conçu et mis en œuvre un programme de sécurité intégrée qui inclut le Programme de la PCA. L'agent de sécurité du Ministère est chargé de la mise en œuvre du Programme de la PCA et, ce faisant, il doit évaluer tous les plans de continuité des directions générales et des régions.

Dans le cadre des priorités de l'agent de sécurité du ministère, les engagements annuels pour le Programme de la PCA ont été communiqués dans le Plan opérationnel du ministère de Santé Canada pour 2010-2011. De plus, la direction du Programme de la PCA compte mettre au point un plan de sécurité intégrée pour traiter les risques ministériels et elle participe au Comité ministériel de gestion des risques intégrée.

Équipe de gestion des urgences

L'équipe de gestion des urgences est l'élément clé de la gouvernance du Programme de la PCA de Santé Canada. L'Équipe est composée de directeurs généraux et elle devient opérationnelle pendant une urgence. Pendant une crise, le Sous-ministre et le Comité exécutif collaboreraient avec l'Équipe de gestion des urgences pour activer les plans de continuité. L'Équipe de gestion des urgences est présidée par le sous-ministre adjoint, Direction générale des services de gestion. L'ébauche de son mandat indique ses responsabilités et elle est membre de plein droit avec les remplaçants nécessaires.

L'Équipe de gestion des urgences procède à des exercices afin d'améliorer sa disponibilité pour la mise en service des plans en cas d'interruption et pour orienter les nouveaux membres. En 2009, l'Équipe de gestion des urgences a procédé à deux exercices d'essai et a produit un rapport définitif d'après exercice déterminant des éléments de mesures correctives. Le Comité de gestion des urgences a effectué des exercices ad hoc et il profiterait des modifications du mandat pour énoncer l'exigence de procéder à des exercices réguliers.

Recommandation 1

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, en collaboration avec les autres sous-ministres adjoints, révise le mandat de l'Équipe de gestion des urgences pour y inclure une exigence d'exercice annuel pour le Comité.

Réponse de la direction

Le sous-ministre adjoint, Direction générale des services de gestion souscrit à la recommandation.

La Direction des installations et de la sécurité modifiera le mandat de l'Équipe de gestion des urgences (ÉGU) pour y inclure un exercice annuel de Plan de continuité des activités (PCA) qui sera effectué pour toutes les directions générales et les régions.

2.1.2 Politique de la PCAPCO

Critère de vérification : Il existe une politique en place pour le Programme de la PCA permettant aux programmes et aux activités ministériels actuels de réponde aux exigences de la politique du Secrétariat du Conseil du Trésor du Canada.

Chaque ministère doit avoir une politique de la PCA pour communiquer les procédés de planification de continuité (voir Annexe B). La politique devrait également exposer les rôles et les responsabilités pour l'application des exigences de la norme de la PCA du gouvernement du Canada aux programmes et aux opérations nouveaux ou existants.

Santé Canada possède une politique de la PCA incorporée à la Politique ministérielle sur la sécurité de 2007. Elle est conforme à la norme de la PCA pour : la responsabilité du Ministère d'établir un Programme de la PCA; la détermination des éléments fondamentaux du Programme de la PCA; et le rôle de l'agent de sécurité du Ministère. Cependant, la politique profiterait de l'inclusion de l'approche tous risques (considérant toutes les menaces), de la préparation d'un plan décentralisé et de l'utilisation de la base de données de la PCA. Même si la politique inclut bien le rôle du coordinateur de la norme de la PCA, ce rôle serait renforcé si on donnait les détails de tous les éléments de la norme de la PCA du gouvernement du Canada. Par exemple, les liens avec les autres ministères sont exclus de la politique. Il est important que Santé Canada intègre ses activités en matière de continuité avec ses partenaires clés pour la répartition coordonnée des mandats respectifs. Enfin, la politique profiterait d'une description explicite des rôles et des responsabilités des directions générales et des régions pour que les programmes ministériels nouveaux ou existants répondent aux exigences de la norme de la PCA du gouvernement du Canada.

Recommandation 2

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion mette à jour la politique de la PCA avec une description plus détaillée du programme ministériel, et des rôles et des responsabilités prescrits dans la norme de planification de la continuité des activités du gouvernement du Canada, et la fasse approuver par le Comité exécutif.

Réponse de la direction

Le sous-ministre adjoint, Direction générale des services de gestion souscrit à la recommandation.

La Direction des installations et de la sécurité mettra à jour la politique de la PCA avec une description plus détaillée du programme ainsi que des rôles et responsabilités selon la norme de la PCA du gouvernement du Canada. La politique mise à jour sera communiquée aux directions générales et aux régions pour consultation et l'ébauche définitive sera présentée au Comité exécutif pour approbation.

2.1.3 Coordonateur ministériel de la PCA

Critère de vérification : Un coordonateur ministériel de la PCA devrait être nommé pour remplir les responsabilités du programme de la PCA.

Santé Canada a créé un poste de coordonateur de la PCA et le rôle a été intégré au Programme de la PCA. Le coordonateur a la responsabilité administrative du Programme de la PCA et tient l'agent de sécurité du Ministère au courant des activités dans tout le cycle de vie du programme, selon la norme de la PCA du gouvernement du Canada et la Politique ministérielle sur la sécurité. Les responsabilités du coordonateur comprennent : l'assurance que les plans sont complets; la collaboration avec les experts internes; et l'intégration de l'information reliée à la dépendance et de l'information technique. De plus, le coordonateur a fourni de nombreuses séances de formation et conçu/dirigé plusieurs exercices, augmentant la sensibilité à la PCA dans le Ministère.

La description de travail du coordonateur reflète la plupart des exigences de la norme de la PCA du gouvernement du Canada; cependant, il en manque d'autres, comme la coordination des activités de la PCA avec d'autres ministères, la coordination avec la GI/TI et la préparation de stratégies de communication. La description de travail classifiée comprend un lien hiérarchique avec l'agent de sécurité du Ministère; cependant, le coordonnateur dépend directement du Directeur, Enquêtes et opérations relatives à la sécurité, un niveau plus bas que l'agent de sécurité du Ministère.

Enfin, le poste de coordonateur ministériel de la PCA est doté sur une base temporaire depuis janvier 2009. Ainsi, le programme profiterait d'une dotation permanente pour conserver la mémoire du Ministère et stabiliser l'activité du Programme de la PCA.

2.1.4 Groupe de travail sur la PCA

Critère de vérification : Un groupe de travail sur la PCA est en place pour appuyer les activités de la PCA--y compris la GI/TI--en collaboration avec le coordonateur de la PCA.

Un groupe de travail sur la PCA est un forum essentiel pour assurer la continuité des services. Pour être efficaces, les groupes de travail devraient avoir déterminé et approuvé les rôles et les responsabilités et se rencontrer régulièrement.

Santé Canada possède un Comité ministériel de la PCA avec un mandat approuvé. Le mandat du Comité est de faciliter la coordination, un entretien permanent et la mise en œuvre du Programme de la PCA du Ministère, et de fournir des conseils stratégiques. Le Comité se compose d'intervenants de la PCA (comme le coordonateur ministériel de sécurité de la TI, la Direction des biens immobiliers et des installations et les ressources humaines) ainsi que de coordonateurs de la PCA pour les directions générales et les régions, responsables pour la préparation, la mise en œuvre et l'entretien de l'application des plans de continuité de Santé Canada.

Actuellement, la participation du Comité est inconséquente et la pertinence des niveaux devrait être examinée. De plus, le coordonateur de sécurité de la TI, qui fournit le soutien de la GI/TI, est absent des réunions depuis janvier 2009, cependant, le coordonateur de la PCA de la Direction des services de gestion de l'information a participé à quelques réunions. En général, le Comité profiterait de la participation accrue des experts techniques en GI/TI pour appuyer les directions générales et les régions dans la préparation des plans de continuité. Enfin, la participation des partenaires du portefeuille de la santé et d'autres membres sur la liste est irrégulière.

Sans réunions régulières, pleine participation et une composition efficaces, le Comité est moins actif en appuyant les activités ministérielles de la PCA. Il manque au Comité une possibilité essentielle pour que la GI/TI facilitent la préparation des stratégies nécessaires de récupération des ressources d'information en soutien aux services essentiels; en particulier quand la possibilité d'intégration de l'expertise de la PCA et de la GI/TI--par le biais d'autres groupes de travail ou Comités comme le Comité de la GI/TI de continuité des activités et du plan anti sinistre--qui est absent.

Recommandation 3

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion examine les membres et encourage des réunions et une participation régulières du Comité ministériel de la PCA.

Réponse de la direction

Le sous-ministre adjoint, Direction générale des services de gestion souscrit à la recommandation.

La Direction des installations et de la sécurité examinera et mettra à jour la liste des membres de l'Équipe de gestion des urgences et du Comité ministériel de la PCA dans le cadre du mandat, et préparera des cycles de réunions trimestrielles qui seront obligatoires. Les membres en seront informés pour souligner l'importance de la participation régulière, soit par les membres principaux ou par les remplaçants.

2.2 Gestion des risques

Critère de vérification : Des analyses de répercussions sur les opérations ont été effectuées, documentées et approuvées

2.2.1 Analyse des répercussions sur les opérations

L'analyse des répercussions sur les opérations est une première étape essentielle du processus de continuité des activités. Il s'agit d'une méthode clé utilisée par les organisations pour déterminer les services essentiels et les priorités. L'analyse des répercussions sur les opérations évalue les répercussions potentielles d'interruption sur l'organisation pour aider la direction à déterminer les services essentiels et à établir des priorités des services à récupérer selon le temps d'arrêt maximal admissible. Selon la norme de la PCA du gouvernement du Canada, l'approbation des analyses de répercussions sur les opérations par la haute direction doit être effectuée avant la préparation des plans de continuité.

Éléments d'une analyse des répercussions sur les opérations

  • Nature des opérations, des services et des dépendances.
  • Répercussions quantitatives et qualitatives de l'interruption.
  • Degré potentiel de préjudice pour les Canadiens en cas d'interruption.
  • Ordre de priorité des services, selon le temps d'arrêt maximal admissible, le niveau de service minimal et le degré potentiel de préjudice.
  • Approbation par la haute direction avant la préparation des plans de continuité.

Santé Canada utilise un modèle d'analyse de répercussions sur les opérations pour examiner les services essentiels afin d'évaluer les répercussions potentielles d'interruption et pour la prise de décision par la direction. L'information obtenue par l'analyse des répercussions sur les opérations est utilisée pour préparer des plans de continuité. Les analyses ministérielles des répercussions sur les opérations sont mémorisées dans la base de données de la PCA.

Tel que mentionné, l'analyse des répercussions sur les opérations sert à déterminer les services essentiels, cependant quand une liste de services essentiels de premier niveau a été demandée de la part des directions générales et les régions, elle différait du nombre fourni par le coordonateur ministériel de la PCA. Le nombre des services essentiels adopté par les directions générales et les régions totalisait 169 environ, alors que le Ministère en indiquait 77. De plus, quand on a réconcilié les nombres des deux séries de données, les services essentiels différaient d'environ 25 pour cent. En conséquence, les services considérés essentiels par les directions générales et les régions n'ont peut-être pas été retenus comme tels à l'administration centrale et vice versa. Afin d'éliminer l'écart, il devrait y avoir une «courte liste» ministérielle convenue et approuvée qui prendrait en considération la capacité de l'infrastructure de la TI de Santé Canada afin d'appuyer les services essentiels identifiés.

Recommandation 4

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, en collaboration avec les autres sous-ministres adjoints, identifie les services essentiels, les systèmes de soutien et les biens et déposer cette information devant le Comité exécutif pour approbation.

Réponse de la direction

La direction souscrit à la recommandation.

La Direction des installations et de la sécurité identifiera et révisera les services essentiels, les systèmes de soutien et les biens du Ministère par l'entremise des résultats de l'établissement de la carte des services essentiels. La Direction des installations et de la sécurité utilisera l'Équipe de gestion des urgences et le Comité ministériel de gestion de la continuité des activités en tant que forum de discussion et pour élaborer une liste consolidée des services essentiels. Une liste consolidée des services et des activités essentiels sera déposée auprès du Comité exécutif pour approbation.

Services essentiels de premier niveau

L'équipe de vérification a examiné les plans de continuité pour 53 des services essentiels de premier niveau de Santé Canada pour la conformité à la norme de la PCA du gouvernement du Canada. Elle a pris particulièrement des échantillons des services essentiels qui devaient être déterminés via une analyse des répercussions sur les opérations puisque c'est la meilleure pratique reconnue pour cibler les services essentiels. L'analyse de conformité a établi que 89 pour cent des services essentiels avaient des analyses de répercussions sur les opérations correspondantes, dont 77 pour cent étaient reflétés comme définitifs dans la base de données de la PCA. La majorité des analyses de répercussions sur les opérations (89 pour cent) comprenaient une information sur le temps d'arrêt maximal admissible selon les répercussions financières et opérationnelles. Cependant, 4 pour cent seulement avaient une information contact pour d'autres ministères et vendeurs (information de dépendance) qui sont particuliers au service essentiel, et la documentation appuyant les approbations de toutes les analyses de répercussions sur les opérations étaient absentes.

Service de premier niveau

Un service qui est requis immédiatement pour la protection de la vie, de la sécurité publique ou pour l'intérêt national. Le temps d'arrêt maximal acceptable est de 0-24 heures.

Actuellement, le modèle d'analyse des répercussions sur les opérations exclut certains éléments de la norme de la PCA du gouvernement du Canada, comme l'établissement d'une liste de tous les services que l'organisation doit livrer (par exemple, selon la législation, les arrangements de partage de service, les protocoles d'entente) et la détermination des fonctions internes et externes dont dépendent ces services. Les analyses des répercussions sur les opérations profiteraient de l'information des répercussions quantitatives des interruptions (comme les dépenses prévues pour le recrutement d'employés supplémentaires), d'une justification dans la section des observations appuyant la détermination du niveau d'importance des services, et d'approbation enregistrée. Même si les analyses des répercussions sur les opérations documentées étaient assez complètes, des éléments supplémentaires seraient utiles afin de justifier pleinement les priorités de récupération des services.

Recommandation 5

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion mette à jour le modèle d'analyse de répercussion sur les opérations afin de saisir tous les éléments requis par la norme de la PCA du gouvernement du Canada, y compris la documentation de l'approbation des analyses de répercussion sur les opérations.

Réponse de la direction

La direction souscrit à la recommandation.

La Direction des installations et de la sécurité, en consultation avec le Comité ministériel de gestion de la continuité des activités, examinera les mécanismes et les processus d'approbation actuels des analyses de répercussion sur les opérations et élaborera une évaluation des besoins. Suivant ce travail, la direction élaborera des exigences d'analyses de répercussion sur les opérations ministérielles (couvrant les options de récupération, planification de la continuité) afin d'aligner l'analyse de répercussion des activités de Santé Canada avec les exigences du gouvernement du Canada.

La direction cherchera l'approbation de la part de l'Équipe de gestion des urgences concernant le processus d'approbation récemment mis au point.

Enfin, la direction mettra à jour le modèle d'analyse de répercussion sur les opérations afin de saisir tous les éléments requis par la politique du gouvernement du Canada en se fondant sur les résultats de l'évaluation des besoins.

2.3 Contrôles

2.3.1 Planification de continuité

Critère de vérification : Les activités, les plans et les arrangements de continuité des activités --y compris des plans de continuité pour la GI/TI--sont complets, documentés, approuvés et basés sur les analyses des répercussions sur les opérations.

Les plans constituent la pierre angulaire de toutes les activités de continuité et exigent des arrangements pour être prêts à être activés en cas d'interruption. En général, les pratiques de la PCA stipulent que, lorsqu'un service est déterminé comme étant essentiel dans une analyse de répercussions sur les opérations approuvée, l'approbation par la haute direction devrait être obtenue pour assurer le soutien et le financement des stratégies de récupération. L'approbation par la haute direction est un contrôle important pour que la stratégie la plus convenable soit retenue.

Santé Canada a documenté des plans de continuité dans la base de données ministérielle de la PCA. Un examen des plans de continuité correspondant à tous les services essentiels de premier niveau a révélé que seules deux directions générales ont conservés les approbations de plan de continuité; pour les autres directions générales et régions, des dossiers incomplets ont été gardés. De plus, des dossiers manquaient pour que l'évaluation des options de récupération démontre que la stratégie de récupération la plus convenable a été choisie par la haute direction. L'exercice d'échantillonnage mentionné plus haut établissait également que 89 pour cent des 53 services essentiels avaient des plans de continuité documentés. Cependant, 42 pour cent des plans examinés n'ont toujours pas l'accord entre le coordonateur de la PCA et l'autorité responsable que les plans sont complets. De plus, les stratégies de récupération n'ont été décrites que pour 40 pour cent des services essentiels de premier niveau examinés. La section des procédures d'activation des plans de continuité profiterait d'avoir une référence explicite du pouvoir du Sous-ministre et des responsabilités de l'Équipe de gestion des urgences.

Éléments d'un plan de continuité des activités

  • Les services essentiels, actifs informationnels et dépendances etc.
  • Les stratégies de récupération approuvées
  • Des mesures pour faire face aux impacts et aux effets des perturbations sur le Ministère
  • L'adhésion, les coordonnées, les rôles, les responsabilités et les tâches des équipes d'intervention et de récupération, y compris les intervenants internes et externes
  • Les ressources et procédures de récupération
  • La coordination des mécanismes et des procédures
  • Les stratégies de communication

Même si on n'a pas effectué de vérification des systèmes sur la base de données de la PCA du Ministère, des rapports indiquent la perte de plans et des détails dans la base de données manquent pour la version imprimée des plans. Dans le cas des stratégies de récupération, par exemple, il est possible d'énumérer les ressources, les quantités et les exigences et d'affecter des responsabilités dans la base de données; cependant, la version imprimée ne contient que les ressources et les quantités, et elle profiterait de la présentation des exigences et des responsabilités communiquées dans la base de données. En cas d'interruption, les copies imprimées des plans peuvent être celles qui sont disponibles pour utilisation, et devraient donc contenir tous les détails requis pour la mise en œuvre.

Santé Canada est absent d'une liste des services essentiels partagés avec d'autres ministères. Cinq des dix contrats de services professionnels les plus importants en termes de coût (au-dessus de 2 000 000 $) du Ministère ne sont pas convenablement documentés comme dépendances dans les plans de continuité correspondants.

En résumé, il est raisonnable de s'attendre à ce que les employés qui ont préparé des plans de continuité peuvent avoir des connaissances de récupération plus détaillées que celles qui figurent dans les plans documentés. Cependant, il est important d'exposer pleinement les procédures de récupération pour les cas d'absence ou de départ d'employés. Des dossiers incomplets d'approbation de plans de continuité par la direction ont été gardés. Par ailleurs, des dossiers pour l'évaluation des options de récupération manquaient. En conséquence, il est de plus en plus probable que des plans de continuité seront difficiles à mettre en œuvre en cas d'interruption, en particulier s'ils doivent être mis en œuvre par des employés moins initiés à la préparation des plans. Si des plans de continuité sont imprécis, il est également de plus en plus probable que la récupération des services (par exemple, dans les 24 heures) sera difficile à réaliser.

Recommandation 6

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion, en collaboration avec les autres sous-ministres adjoints, exerce un contrôle trimestriel plus rigoureux des plans de continuité des activités respectifs pour les directions générales et les régions, y compris les descriptions des stratégies de récupération, et approuve les plans.

Réponse de la direction

La direction souscrit à la recommandation.

La Direction des installations et de la sécurité utilisera le Comité ministériel de la PCA pour communiquer les exigences en matière de rapports sur les plans de continuité -- exposant l'importance d'une meilleure qualité, y compris une documentation complète sur les stratégies de récupération avec l'approbation du sous-ministre adjoint. Des rapports trimestriels seront établis et ils seront communiqués au sous-ministre adjoint, Direction générale des services de gestion de façon trimestrielle.

De plus, le sous-ministre adjoint, Direction générale des services de gestion communiquera ces exigences à tous les autres sous-ministres adjoints de Santé Canada.

2.3.2 Entretien des plans de continuité

Critère de vérification : Un cycle d'entretien permanent est établi pour que le plan de continuité des activités soit prêt à entrer en vigueur.

Un cycle d'entretien permanent est vital pour garder les plans actuels comportant des changements dans l'environnement interne et externe de Santé Canada (législatif et organisationnel par exemple) et prêts à mettre en œuvre en cas d'interruption. La norme de la PCA du gouvernement du Canada définit un cycle d'entretien permanent comme ceci : examen et révision permanents des plans pour tenir compte des changements; formation le cas échéant; tests et validation réguliers des plans, y compris un rapport sur les leçons apprises après les tests ou les événements réels; et préparation d'un cycle de vérification comme base des rapports sur le programme. Un plan de continuité des activités ne peut être considéré comme étant complet qu'après avoir été testé par les directions générales et les régions. L'objectif des tests est de s'assurer que le plan servira au Ministère en cas de crise. Les tests, qui font partie du cycle d'entretien permanent sont différents des exercices de l'Équipe de gestion des crises dans le sens qu'ils mobilisent les employés responsables pour la mise en œuvre des stratégies de récupération en vue de valider le contenu des plans.

Les gestionnaires de centres de coûts sont chargés d'élaborer les plans de continuité des activités. Par conséquent, le Ministère requiert de la formation afin de mener des activités décentralisées. Un nombre considérable de cours de formation sont offerts aux coordonateurs de la PCA des directions générales et des régions dans tout le Canada. La formation comprend un aperçu général de la PCA, des causes communes de désastres et la manière d'utiliser les caractéristiques de la base de données. La formation serait renforcée en exposant les exigences de la norme de la PCA du gouvernement du Canada reliées aux analyses des répercussions sur les opérations, aux plans de continuité et à l'entretien, ainsi que les rôles et les responsabilités des coordonnateurs de la PCA des directions générales et des régions selon la Politique sur la sécurité du gouvernement.

Le Programme de la PCA du Ministère a des activités d'entretien requises--tests annuels et mises à jour trimestrielles des plans de continuité--qui pourraient être entreprises plus complètement. Par exemple, en mai 2010, seulement 28 pour cent (10 sur 36) des plans de continuité échantillonnés ont été testés et 6 pour cent seulement étaient conformes à l'exigence de mise à jour trimestrielle. De plus, le Programme de la PCA manque une occasion de produire des rapports sur les leçons apprises basés sur les essais par les directions générales et les régions des stratégies de récupération et les mises à jour des plans de continuité.

Le 16 juillet 2010, l'équipe de vérification a effectué des « appels-éclair » pour tester la fiabilité de l'information contact contenue dans les plans de continuité. Le personnel déterminé dans la portion contact des plans de continuité est responsable pour l'activation des plans de continuité et la récupération des services essentiels. Les résultats ont montré que 50 pour cent des appels seulement ont été retournés dans les 2 heures, dont seuls 25 pour cent pouvaient confirmer leurs responsabilités de la PCA. On a également remarqué dans l'enquête téléphonique que la sensibilisation aux responsabilités concernant la PCA est plus grande dans les équipes de gestion que chez les employés individuels chargés de la récupération des services essentiels.

En général, le programme profiterait de l'examen de l'information contact pour s'assurer de son intégrité et de son exactitude afin que la bonne personne à la bonne place puisse effectuer le travail nécessaire en cas d'une urgence. Les tests des plans de continuité ministériels pour la GI/TI et des plans de continuité de la Direction des services de gestion de l'information de Santé Canada par les autorités responsables et les coordonnateurs de la PCA des directions générales et des régions sont également absents.

Il y a peut-être moins de sensibilisation à l'importance de l'entretien en raison du fait que la majorité des cours de formation ministérielle est centrée sur l'utilisation de la base de données ministérielle de la PCA du Ministère. De plus, la Politique du Programme de la PCA devrait articuler un cycle d'entretien permanent de la PCA ministérielle. En conséquence, les directions générales et les régions sont peut-être en train d'utiliser des cycles d'entretien différents et il est de plus en plus probable que les plans de continuité seraient inexacts, périmés ou inutilisables si leur activation était requise.

Recommandation 7

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion offre une formation supplémentaire en conjonction avec la formation de la base de données de la PCA afin de mieux soutenir les praticiens de la PCA des directions générales et des régions.

Réponse de la direction

La direction souscrit à la recommandation.

La Direction des installations et de la sécurité mettra en œuvre une stratégie de la formation et du soutien de la PCA pour la communauté de praticiens.

De plus, la Direction des installations et de la sécurité examinera et évaluera la base de données actuelle de la PCA et identifiera les lacunes/déficiences afin de mieux soutenir les praticiens de la PCA au niveau des Directions générales et des Régions.

Recommandation 8

Il est recommandé que le sous-ministre adjoint, Direction générale des services de gestion mette en œuvre un cycle d'entretien permanent pour le Programme de la PCA, y compris l'examen, la formation et les tests.

Réponse de la direction

La direction souscrit à la recommandation.

La Direction des installations et de la sécurité préparera des lignes directrices et des directives pour un cycle d'entretien permanent conformément à la norme de la PCA du gouvernement du Canada, comprenant, par exemple, des mises à jour trimestrielles du plan de continuité des activités ainsi que des processus de gestion du changement pour valider les modifications aux applications, aux listes des services essentiels, aux emplacements et au personnel. La direction consultera également la Direction générale du contrôleur ministériel pour l'inclusion de la fonction de la PCA dans le Cadre intégré de planification et de rapport.

3. Conclusion

En général, le Programme de la PCA continue à évoluer. Le cadre actuel de gouvernance pour la PCA fournit un bon aperçu de la haute direction sur la fonction, cependant, le cadre de travail pourrait profiter d'une participation accrue au niveau du groupe de travail ainsi que de l'approbation des plans de la PCA.

Comme prévu par le gouvernement du Canada, le Ministère a choisi d'utiliser le modèle d'analyse des répercussions sur les opérations pour préparer les plans de continuité au niveau des directions générales et des régions. Même si le modèle contient de nombreux éléments essentiels, sa portée devrait être étendue pour inclure tous les éléments exposés dans la norme du gouvernement du Canada. Des pratiques renforcées d'analyse des répercussions sur les opérations amélioreraient la prise de décision autour de la détermination des services essentiels et la mise au point de stratégies de récupération.

Le Ministère a des plans de continuité au niveau des directions générales et des régions, cependant, des plans plus complets, incluant une détermination explicite des dépendances et des stratégies de récupération décrites en détail prépareraient mieux le Ministère aux interruptions des opérations. De plus, la mise en œuvre d'un cycle d'entretien permanent augmenterait la probabilité d'avoir des plans exacts, mis à jour pour le cas d'interruption des opérations.

Même s'il n'est pas nécessaire pour les ministères et les organismes d'avoir un plan « directeur » de continuité unique, c'est souvent l'objectif à mesure que le Programme de la PCA évolue. Le travail dans ces domaines clés servira à renforcer la fonction de la PCA et à mieux positionner le Ministère pour produire un plan unique à long terme.

Annexe A - Champs d'enquête et critères de vérification

Champs d'enquête Critères de vérification

1) Gouvernance

1.1 Les cadres du Ministère fournissent un aperçu stratégique pour le Programme de planification de la continuité des activités (PCA).

1.2 Une politique approuvée pour le Programme de la PCA est en place pour que les programmes et les opérations ministériels existants ou nouveaux répondent aux exigences de la politique du Secrétariat du Conseil du Trésor du Canada.

1.3 Un coordonateur de la PCA du Ministère a été nommé et il assume les responsabilités requises du Programme de la PCA.

1.4 Des groupes de travail de la PCA sont en place pour soutenir les activités de la PCA --y compris la gestion de l'information (GI) et la technologie de l'information (TI) --en collaboration avec le coordonateur de la PCA.

2) Gestion des risques

2.1 Il existe des analyses de répercussions sur les opérations qui sont complètes, documentées et approuvées.

3) Contrôle

3.1 Les activités, les plans et les arrangements de continuité des activités --y compris des plans de continuité pour la GI/TI--sont complets, documentés, approuvés et basés sur les analyses des répercussions sur les opérations.

3.2 Un cycle d'entretien permanent est établi pour que le plan de continuité des activités soit prêt à entrer en vigueur.

Annexe B - Aperçu du processus de la PCA

* Selon la norme PCA du gouvernement du Canada

Aperçu du processus de la planification de la continuité des activités
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :