Audit interne horizontal de la sécurité matérielle dans les grands et petits ministères

Avis aux lecteurs

Ce rapport contient des renseignements confidentiels, ou bien de l’information liée à la sécurité. En vertu de la Loi sur l’accès à l’information, ces informations ont été caviardées.

Juillet 2020
Bureau du contrôleur général

Sur cette page

Sommaire

Dans cette section

Le présent audit visait à déterminer si les éléments suivants étaient en place :Note de bas de page 1

  • des cadres de gouvernance pangouvernementaux et ministériels appuyant la sécurité matérielle
  • des processus ministériels appuyant l’élaboration, la mise en œuvre, la mise à jour et la surveillance des mesures de sécurité matérielle

La portée de l’audit visait principalement les cadres et les processus en place au 30 juin 2017. À la fin de l’étape d’examen, les constatations détaillées ont été communiquées à tous les ministères participants. Toutefois, la publication de ce rapport a été retardée en raison de priorités opérationnelles imprévues qui ont entraîné la réaffectation temporaire des ressources de l’audit à d’autres projets. Afin d’assurer la pertinence continue des constatations et des recommandations dans le contexte actuel, l’audit a également pris en compte des initiatives pangouvernementales entreprises entre le 30 juin 2017 et le 31 janvier 2020 (comme l’émission d’un cadre des politiques sur la sécurité du Conseil du Trésor renouvelé, en vigueur en juillet 2019).

Pourquoi est-ce important

Les événements récents liés à la sécuritéNote de bas de page 2 survenus dans le monde soulignent l’importance d’avoir en place une sécurité matérielle efficace pour aider à protéger adéquatement les personnes, l’information et les biens. [Caviardé], des manifestants qui accèdent à des audiences de l’Office national de l’énergieNote de bas de page 3 et à divers bureaux des Affaires autochtones et du Nord CanadaNote de bas de page 4 en 2016 ainsi que la fusillade sur la Colline du Parlement en 2014Note de bas de page 5 montrent que le Canada n’est pas à l’abri des menaces à la sécurité.Note de bas de page 6

Le gouvernement du Canada emploie environ 220 000 personnes au sein de l’administration publique centrale,Note de bas de page 7 gère plus de 86 milliards de dollars de biens non financiersNote de bas de page 8 et possède ou loue plus de 38 000 immeubles.Note de bas de page 9 Bien que les différents ministères puissent faire face à des menaces différentes selon leurs activités, leur emplacement et leurs biens, tous les ministères fédéraux pourraient faire face à des préjudices importants en matière de perte de confidentialité et d'intégrité, et d'indisponibilité des employés, de l’information et des biens si la sécurité matérielle devait être compromise.Note de bas de page 10 Les répercussions pourraient être aggravées par les interdépendances croissantes entre les ministères, comme le recours à des services internes intégrés ou le partage de locaux.

Dans ce contexte, des cadres de gouvernance complets et solidement intégrés, ainsi que des processus ministériels appuyant la sécurité matérielle, sont essentiels pour aider à protéger adéquatement les employés, l’information et les biens du gouvernement contre toute compromission.

Principales constatations

Cadres de gouvernance en matière de sécurité matérielle

L’audit a révélé que, dans l’ensemble, des cadres de gouvernance en matière de sécurité matérielle étaient en place à l’échelle du gouvernement et des ministères. Toutefois, il existe plusieurs possibilités d’amélioration aux deux niveaux.

L’orientation de la politique pangouvernementale sur la sécurité matérielle a été instaurée dans le cadre des politiques sur la sécurité du Conseil du Trésor. Ce cadre reposait sur une orientation technique émise par la Gendarmerie royale du Canada (GRC), qui est le principal organisme responsable de la sécurité matérielle. Bien que le cadre des politiques sur la sécurité du Conseil du Trésor ait été renouvelé en 2019, et que des travaux semblables soient en cours en vue de renouveler une partie de l’orientation technique de la GRC, l’audit a permis de constater qu’il a fallu plusieurs années pour effectuer ces mises à jour. Dans les ministères, les rôles et les responsabilités étaient généralement définis pour les employés qui assumaient des responsabilités liées à la sécurité matérielle, souvent par l’intermédiaire de politiques sur la sécurité ministérielles. Toutefois, des possibilités d’améliorer la communication, l’approbation et le maintien des rôles, des responsabilités et des liens hiérarchiques ont été cernées dans la plupart des ministères.

Plusieurs comités interministériels étaient en place et appuyaient activement la sécurité matérielle. La majorité des ministères ont également mis sur pied des comités de gouvernance chargés d’assurer la surveillance dans ce secteur. Toutefois, le suivi des décisions des comités n’a pas été fait uniformément par certains comités, tant au niveau des ministères que du gouvernement dans son ensemble. De plus, une possibilité de collaboration accrue entre les différents comités interministériels a été cernée.

À l’échelle du gouvernement, des mécanismes ont été mis en place pour la planification stratégique des initiatives des principaux organismes chargés de la sécurité qui appuient la sécurité matérielle; toutefois, les plans stratégiques n’ont pas été achevés. Bien que les principaux organismes chargés de la sécurité aient entrepris des initiatives pour appuyer les ministères dans le secteur de la sécurité matérielle, les services liés à la sécurité de l’immeuble de baseNote de bas de page 11 pourraient être améliorés. La planification des initiatives de sécurité matérielle au niveau ministériel se fait dans le cadre des plans de sécurité ministériels (PSM), qui ont été élaborés et approuvés dans tous les ministères. Toutefois, ces plans ne cadraient généralement pas entièrement avec l’orientation du Secrétariat du Conseil du Trésor du Canada (le Secrétariat) et n’étaient pas tenus à jour périodiquement.

Enfin, l’audit a permis de constater que, bien que le Secrétariat ait surveillé la conformité des ministères avec certaines exigences des instruments de politique sur la sécurité matérielle et en ait fait rapport dans le cadre de ses évaluations du Cadre de responsabilisation de gestion (CRG), ces évaluations n’ont pas permis d’avoir une vision globale de l’ensemble du gouvernement ni d’évaluer l’efficacité des instruments de politique. Toutefois, des travaux visant à combler ces lacunes sont en cours. De plus, les cadres de surveillance et de communication sur la sécurité matérielle dans les ministères n’étaient pas en place ou étaient limités.

Processus ministériels de sécurité matérielle

Les ministères sont tenus de définir, de documenter, de mettre en œuvre, d’évaluer, de surveiller et de tenir à jour les pratiques et les mesures de sécurité matérielle conformément aux « Procédures obligatoires relatives aux mesures de sécurité matérielle » en annexe à la Directive sur la gestion de la sécurité. Cet exercice comprend la tenue d’évaluations de la sécurité, telles que les évaluations de la menace et des risques (EMR),Note de bas de page 12 de la mise en œuvre de mesures de sécurité matérielle visant à restreindre l’accès aux installations et à détecter les tentatives d’effraction ou les infractions réelles, ainsi que des processus permettant de signaler et de mettre en place des mesures correctives découlant d’incidents de sécurité, et d’enquêter sur le sujet.

Bien que tous les ministères aient réalisé des EMR ou des évaluations équivalentes, [Caviardé]. La plupart des ministères avaient mis en place un processus pour déterminer et mettre en œuvre des mesures de sécurité matérielle, [Caviardé]. De plus, bien que des processus de signalement des incidents de sécurité aient été en place dans la plupart des ministères, des processus d’enquête sur les incidents de sécurité et de production de rapports sur les résultats n’étaient pas en place dans certains ministères.

Conclusion

En général, l’audit a révélé un besoin d’apporter des améliorations aux cadres de gouvernance pangouvernementaux et ministériels, ainsi qu’aux processus de sécurité matérielle en place au sein des ministères.

Bien que les principaux organismes chargés de la sécurité se soient acquittés de leurs responsabilités de base à l’appui de la sécurité matérielle à l’échelle du gouvernement, plusieurs possibilités d’amélioration ont été relevées en ce qui concerne les éléments suivants :

  • la mise à jour des instruments de politique
  • les services liés à la sécurité de l’immeuble de base
  • la coordination et le fonctionnement des comités interministériels de gouvernance
  • la planification stratégique des priorités des principaux organismes chargés de la sécurité
  • les cadres de surveillance et d’établissement de rapports

Au sein des ministères, il y avait aussi plusieurs possibilités d’améliorer les cadres de gouvernance de la sécurité matérielle en ce qui concerne :

  • le niveau de participation des comités de gouvernance
  • la communication des rôles et des responsabilités (en particulier dans les bureaux régionaux)
  • la tenue à jour des PSM et leur harmonisation avec l’orientation émise par les principaux organismes chargés de la sécurité
  • les cadres de surveillance et d’établissement de rapports

Enfin, des lacunes [Caviardé] ont été relevées dans les processus ministériels de sécurité matérielle :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]
  • le signalement des incidents
  • les enquêtes sur les incidents
  • le suivi des recommandations issues d’enquêtes antérieures

Conformité aux normes professionnelles

Cet audit interne a été effectué conformément aux Normes internationales pour la pratique professionnelle de l’audit interne.

Mike Milito, MBA, CIA, ACGR
Contrôleur général adjoint et dirigeant principal de l’audit
Secteur de l’audit interne, Bureau du contrôleur général

Contexte

Dans cette section

Sécurité matérielle au sein du gouvernement du Canada

La sécurité matérielle, qui constitue l’une des huit mesures de sécuritéNote de bas de page 13 dans le secteur plus vaste de la sécurité du gouvernement, vise à fournir une assurance raisonnable que les personnes, l’information et les biens sont adéquatement protégés, ce qui facilite la prestation des programmes, des services et des activités du gouvernement. Pour ce faire, if faut définir, documenter, mettre en œuvre, évaluer, surveiller et tenir à jour les exigences, les pratiques et les mesures de sécurité matérielle à toutes les étapes du cycle de vie de la gestion des biens immobiliers et du matériel.

Plus précisément, la sécurité matérielle renvoie à l’utilisation de mesures de sécuritéNote de bas de page 14 (les portes d’entrée dans les bureaux du gouvernement, les gardes de sécurité, les classeurs verrouillés, les caméras, les alarmes et bien d’autres) pour empêcher ou retarder l’accès non autorisé aux employés, à l’information et aux biens, et pour détecter et signaler les accès non autorisés tentés ou réels.

La sécurité matérielle repose sur d’autres aspects d’une fonction de sécurité ministérielle et la complète. Finalement, pour que la protection des personnes, de l’information et des biens soit efficace, les mesures de sécurité matérielle doivent être adaptées aux ministères et intégrées aux autres mesures de sécurité énoncées dans la Politique sur la sécurité du gouvernement du Conseil du Trésor. Par exemple, l’efficacité des portes d’entrée où se fait le contrôle de l’accès dépend de l’intégrité du processus de délivrance des cartes d’accès aux personnes ayant la cote de sécurité appropriée (filtrage de sécurité). L’efficacité d’autres mesures de sécurité, telles que la sécurité des technologies de l’information, repose à son tour sur les mesures de protection de la sécurité matérielle (comme restreindre efficacement l’accès aux salles de serveurs). De même, la réussite de l’intervention à l’échelle des ministères et/ou du gouvernement face à certains incidents ou événements de sécurité (gestion des événements de sécurité) dépend de l’efficacité des mesures de sécurité matérielle (les caméras, les alarmes, les gardes de sécurité et bien d’autres) afin de détecter de tels incidents ou événements et de les signaler en temps utile aux autorités compétentes.

Bien que la sécurité matérielle des ministères incombe en fin de compte aux administrateurs généraux, il convient de noter que la responsabilité de la sécurité du gouvernement dans son ensemble est partagée entre plusieurs intervenants (les organismes centraux, les principaux organismes chargés de la sécurité, les organisations de services internes intégrésNote de bas de page 15 et les ministères).

Les principaux organismes chargés de la sécurité assument une fonction de leadership et de soutien en ce qui concerne la sécurité du gouvernement et contribuent à l’atteinte des objectifs des instruments de politique sur la sécurité du gouvernement. Bien que leurs responsabilités particulières varient, les principaux organismes chargés de la sécurité partagent également les responsabilités de fournir des conseils, des orientations et des services pour appuyer les activités de sécurité ministérielles.

Les principaux organismes responsables de la sécurité matérielleNote de bas de page 16 sont les suivants :

  • le Conseil du Trésor et son Secrétariat pour leurs rôles stratégiques en tant qu’organisme central
  • la Gendarmerie royale du Canada (GRC), en tant que principal organisme responsable de la sécurité matérielle
  • Services publics et Approvisionnement Canada (SPAC) pour son rôle en matière de sécurité de l’immeuble de baseNote de bas de page 17 assuré en tant qu’organisation de services internes intégrés
  • le Bureau du Conseil privé (BCP) pour son rôle en matière de sécurité nationale

Cadre des politiques sur la sécurité matérielle

Le cadre des politiques sur la sécurité du Conseil du Trésor, qui énonce les exigences en matière de sécurité matérielle, vise à s’assurer que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères tout en contribuant à la gestion efficace de la sécurité à l’échelle du gouvernement. Au cours de l’audit, le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) a renouvelé ce cadre et a rationalisé les instruments de politique afin d’offrir une plus grande souplesse aux ministères.Note de bas de page 18 Après examen, il a été déterminé que le cadre des politiques renouvelé n’annule pas les exigences du cadre des politiques précédent sur lequel se fondait cet audit.Note de bas de page 19

Le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé est entré en vigueur le 1er juillet 2019 et comprend les instruments suivants pertinents à la sécurité matérielle :

  • la Politique sur la sécurité du gouvernement du Conseil du Trésor
  • la Directive sur la gestion de la sécurité du Secrétariat (comprend les « Procédures obligatoires relatives aux mesures de sécurité matérielle »)

Conformément à la Politique sur la sécurité du gouvernement récemment renouvelée, il incombe à la GRC d’exercer un rôle de leadership et d’offrir des conseils et une orientation concernant les questions liées à la sécurité matérielle. Conformément à cette responsabilité, entre 1998 et 2014, la GRC a émis une orientation technique sur la sécurité matérielle pour compléter le cadre des politiques sur la sécurité du Conseil du Trésor et soutenir les activités de sécurité ministérielles.Note de bas de page 20 La GRC procède actuellement à la mise à jour d’une partie de son orientation afin de s’harmoniser avec le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé.

Objectifs et portée de l’audit

Le présent audit visait à déterminer si les éléments suivants étaient en place :Note de bas de page 21

  • des cadres de gouvernance pangouvernementaux et ministériels appuyant la sécurité matérielle
  • des processus ministériels appuyant l’élaboration, la mise en œuvre, la mise à jour et la surveillance des mesures de sécurité matérielle

La portée de l’audit visait principalement les cadres et les processus en place au 30 juin 2017. À la fin de l’étape d’examen, les constatations ministérielles détaillées ont été communiquées à chacun des ministères participants. Toutefois, la publication de ce rapport indiquant les constatations et les recommandations horizontales a été retardée en raison de priorités opérationnelles imprévues qui ont entraîné la réaffectation temporaire des ressources d’audit à d’autres projets. Afin d’assurer la pertinence continue du présent rapport dans le contexte actuel, les initiatives pangouvernementales entreprises par les principaux organismes chargés de la sécurité entre le 30 juin 2017 et le 31 janvier 2020 ont été examinées au cours de l’étape d’établissement de rapport (comme l’émission du cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé).

Compte tenu du retard mentionné précédemment, certains ministères participants ont peut-être depuis donné suite aux constatations et recommandations présentées dans le présent rapport. Tout progrès réalisé à cet égard doit être indiqué et suivi dans les plans d’action de la direction ministériels.

Les champs d’enquête et les critères de cet audit ont été initialement élaborés selon le cadre des politiques sur la sécurité du Conseil du Trésor en vigueur au 30 juin 2017. Afin de s’assurer qu’ils demeurent pertinents pour l’objet du présent rapport, ces champs d’enquête et ces critères ont également été mis en correspondance avec le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé.Note de bas de page 22 Bien que le nouveau cadre des politiques ait rationalisé les exigences en matière de sécurité afin d’offrir aux ministères une plus grande souplesse, il a été déterminé que la plupart des exigences sous-jacentes liées à la sécurité matérielle qui constituaient la base des critères de l’audit étaient toujours pertinentes. Toutefois, les nouvelles exigences instaurées dans le cadre des politiques révisé, telles que celle visant à ce que les ministères mettent en œuvre les processus d’évaluation et d’autorisation liés à la sécurité de l’installation, n’ont pas été examinées dans le cadre de l’audit.

Les éléments de gouvernance examinés étaient :

  • les cadres des politiques
  • les comités et les structures organisationnelles
  • la planification stratégique à l’échelle du gouvernement
  • les services des principaux organismes chargés de la sécurité qui appuient les ministères
  • les processus interministériels de coordination et de collaboration
  • les rôles et responsabilités des ministères
  • la planification de la sécurité ministérielle
  • la surveillance et l’établissement de rapports

Les processus ministériels de sécurité matérielle examinés étaient :

  • la réalisation et le maintien des évaluations de la menace et des risques (EMR)
  • la mise en œuvre de mesures de sécurité matérielle et de mesures de détection
  • la formation et les outils
  • le signalement des incidents de sécurité matérielle et l’enquête sur ces derniers

Dans le cadre de l’audit, les mesures de sécurité matérielle au sein des ministères mêmes n’ont pas été évaluées ni mise à l’essai (les systèmes d’alarme, les claviers, les tourniquets et bien d’autres). L’examen était plutôt axé sur les processus en place visant à mettre en œuvre et à tenir à jour ces mesures, y compris les processus permettant de surveiller leur efficacité.

La gestion de l’information, la sécurité des technologies de l’information et la gestion de la continuité des activités ont été exclues de la portée de l’audit, étant donné que d’autres audits internes horizontaux du Bureau du contrôleur général (BCG) ont porté sur ces secteurs. Le filtrage de sécurité, la gestion des événements liés à la sécurité, les exigences de sécurité liées aux contrats et autres ententes, et la sécurité et la santé au travail ont également été exclus de la portée de l’audit compte tenu de leur nature unique, de leur complexité et des risques qu’ils présentent.Note de bas de page 23 La nécessité d’un audit comprenant ces secteurs continuera d’être prise en considération dans le cadre du processus annuel de planification de l’audit interne axé sur les risques du BCG.

La liste des ministères et des principaux organismes chargés de la sécurité inclus dans l’audit figure à l’annexe B.

L’annexe C décrit les champs d’enquête et les critères d’audit connexes utilisés pour tirer des conclusions sur les objectifs de l’audit.

Constatations et recommandations

Dans cette section

Constatation 1 : La gouvernance à l’échelle pangouvernementale

Une gouvernance efficace de la sécurité, tant au sein des ministères que dans l’ensemble du gouvernement, est l’un des résultats escomptés de la Politique sur la sécurité du gouvernement du Conseil du Trésor. Dans le cadre de cette politique, le Secrétariat est responsable de l’établissement d’une gouvernance pangouvernementale de la Politique sur la sécurité. Cette responsabilité comprend l’établissement d’une orientation et de priorités stratégiques, ainsi que la coordination pangouvernementale des priorités, des plans et des activités en matière de sécurité. Les principaux organismes chargés de la sécurité doivent participer à la gouvernance pangouvernementale de la Politique sur la sécurité (dont la formulation de conseils sur la mise en œuvre de la politique aux ministères). Enfin, les organisations de services internes intégrés sont responsables d’établir une gouvernance afin de superviser les questions liées à la sécurité pour les services internes intégrés qu’elles fournissent.

Compte tenu de la complexité des activités du gouvernement fédéral, des divers intervenants concernés, des responsabilités partagées et de la diversité des menaces et des risques auxquels sont confrontés les ministères, une gouvernance clairement définie et intégrée à l’échelle du gouvernement est essentielle à la coordination efficace des activités de sécurité matérielle.

L’audit visait à déterminer si le Secrétariat et les principaux organismes chargés de la sécurité sélectionnés, ainsi que les organisations de services internes intégrés sélectionnées, ont assumé leurs responsabilités en matière de gouvernance de la sécurité matérielle en vertu de la Loi sur la gestion des finances publiques et de la Politique sur la sécurité du gouvernement. À l’échelle du gouvernement, l’audit portait sur les aspects de gouvernance suivants : les instruments de politique, les initiatives soutenant les ministères, les structures de comité, la planification stratégique et les cadres de surveillance et d’établissement de rapports.

Le Secrétariat et la GRC ont publié des instruments de politique afin de fournir une orientation pangouvernementale sur la sécurité matérielle. Après plusieurs années, les instruments du Secrétariat ont été révisés et le travail pour mettre à jour l’orientation technique de la GRC est en cours.

Conformément aux responsabilités comprises dans son mandat, le Secrétariat a publié des instruments de politique sur son site Web afin d’appuyer l’approche pangouvernementale en matière de sécurité matérielle. Au cours de l’audit, les principaux instruments élaborés par le Secrétariat pour donner une orientation pangouvernementale quant aux rôles, responsabilités et exigences pour la sécurité matérielle comprenaient : la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité (en vigueur depuis juillet 2019), y compris les « Procédures obligatoires relatives aux mesures de sécurité matérielle », la Directive sur la gestion de la sécurité ministérielle (maintenant archivée) et la Norme opérationnelle sur la sécurité matérielle (maintenant archivée).

Au moment de l’étape d’examen de l’audit, le cadre des politiques sur la sécurité du Conseil du Trésor n’avait pas été mis à jour depuis plusieurs années. Les principales raisons évoquées par les représentants du Secrétariat pour l’expliquer étaient : le besoin d’une analyse détaillée pour améliorer la clarté des exigences, la nécessité de se recadrer avec les priorités émergentes (y compris la nouvelle Politique sur les services et le numérique) et un changement au sein de la haute direction du Secrétariat. Cependant, le Secrétariat était sur le point de renouveler ce cadre et a terminé ce projet d’envergure pendant l’étape de production du rapport de l’audit en 2019. Dans le cadre du processus, le Secrétariat a demandé à divers intervenants de l’ensemble de la collectivité de la sécurité du gouvernement de formuler des commentaires, dont les petits ministères, les comités de gouvernance interministériels, les organisations de services internes intégrés ainsi que d’autres principaux organismes chargés de la sécurité. Les instruments de politique provisoires ont également été largement accessibles sur l’intranet du gouvernement fédéral (GCpedia) tout au long du processus, aux fins de consultation, afin de mobiliser les ministères et de les aider à se préparer à la transition.

Pendant la transition vers le nouveau cadre des politiques sur la sécurité du Conseil du Trésor, il existe un risque inhérent que ses nouvelles exigences rationalisées ne soient pas adéquatement mises en œuvre par les ministères. Les représentants interrogés au Secrétariat en sont conscients et ont mentionné que des travaux sont en cours pour publier une orientation sur la gestion du changement à l’appui des exigences en matière de sécurité matérielle actuellement en vigueur.

Conformément aux responsabilités qui lui incombent en vertu de la Politique sur la sécurité du gouvernement, la GRC, en tant que principal organisme responsable de la sécurité matérielle, a également publié plusieurs lignes directrices techniques sur la sécurité matérielle sur son site Web. Toutefois, comme pour les instruments de politique du Secrétariat, elles n’avaient pas été mises à jour ces dernières années, dont une en particulier qui avait été publiée il y a 20 ans. Plusieurs ministères visés par l’audit ont soulevé cette question, et les représentants de la GRC interrogés ont expliqué que sa capacité limitée à remplir son rôle de principal organisme chargé de la sécurité était le principal défi à cet égard. Des travaux sont en cours pour mettre à jour le Guide d’équipement de sécurité, que la GRC considère comme l’orientation technique sur la sécurité matérielle la plus utile pour la collectivité de la sécurité. De plus, des représentants de la GRC ont indiqué qu’un plan stratégique était en cours d’élaboration pour un examen et une mise à jour prévus de l’ensemble de ses directives techniques sur la sécurité matérielle.

Le risque que les rôles, les responsabilités, les attentes et les exigences ne soient pas clairement compris et mis en œuvre serait réduit si des instruments de politique pangouvernementaux sur la sécurité matérielle et une orientation technique étaient largement communiqués, harmonisés et régulièrement tenus à jour pour répondre aux besoins des intervenants. De cette façon, l’état de préparation du gouvernement fédéral ainsi que sa résilience aux perturbations seraient accrus.

Recommandations : Instruments de politique pangouvernementaux

  1. Le Secrétariat et la GRC devraient établir des mécanismes officiels pour veiller à ce que leurs instruments de politique pangouvernementaux respectifs à l’appui de la sécurité matérielle soient examinés périodiquement et mis à jour en temps opportun à l’avenir.
    • À titre d’exemple, de tels mécanismes pourraient comprendre un plan ou une stratégie officiellement approuvé décrivant les processus, les rôles, les responsabilités et les échéances pour l’examen et la mise à jour des instruments de politique, ainsi qu’une évaluation de la capacité d’appuyer l’achèvement des examens et des mises à jour. Le fait de lier ces plans aux ententes de rendement et/ou aux ordres du jour des prochaines réunions d’un comité de gouvernance pourrait permettre de veiller à ce que ces plans soient mis en œuvre
  2. Le Secrétariat et la GRC devraient :
    1. en consultation avec la collectivité de la sécurité du gouvernement, évaluer les besoins pangouvernementaux en matière d’orientation sur la gestion du changement (tout en respectant les contextes opérationnels ministériels individuels) et en établir l’ordre de priorité afin de contribuer à la mise en œuvre efficace des exigences renouvelées en matière de sécurité matérielle conformément à l’ensemble des politiques sur la sécurité du Conseil du Trésor en vigueur
    2. émettre les directives supplémentaires requises pour répondre à ces besoins

Pour compléter les instruments de politique sur la sécurité à l’échelle du gouvernement, les principaux organismes chargés de la sécurité ont également apporté un soutien aux ministères dans le secteur de la sécurité matérielle. Le soutien apporté à la sécurité de l’immeuble de baseNote de bas de page 24 pourrait être amélioré en ce qui concerne la mise à jour des EMR,Note de bas de page 25 ainsi que la consultation pour déterminer les risques, les besoins et les priorités.

En plus de fournir une orientation et des conseils techniques officiels, les principaux organismes chargés de la sécurité partagent la responsabilité de fournir des services à l’appui des activités quotidiennes en matière de sécurité des ministères (voir l’annexe E).

Pour s’acquitter de cette responsabilité, les principaux organismes chargés de la sécurité ont entrepris diverses initiatives générales liées à la sécurité matérielle. Par exemple, le Secrétariat, SPAC et la GRC ont tous apporté un soutien quotidien aux activités de sécurité ministérielles (dont la sécurité matérielle) en répondant aux demandes de renseignements reçues dans les comptes de courriel génériques établis à cette fin. De façon ponctuelle, le Secrétariat a également examiné les plans de sécurité ministériels (PSM) (y compris les mesures de sécurité matérielle) et fourni une rétroaction à ce sujet, à la demande des ministères. Par l’intermédiaire de son Centre d’excellence en sécurité,Note de bas de page 26 le BCP a tenu des séances d’information avec des professionnels de la sécurité nouvellement nommés afin de les informer de ses diverses initiatives qui appuient la sécurité dans l’ensemble du gouvernement. En outre, le Secrétariat a indiqué que sa Division de la Politiques sur la sécurité du gouvernement rencontre les dirigeants principaux de la sécurité nouvellement nommés pour les informer de leurs responsabilités en matière de politiques. Pour appuyer la collectivité fonctionnelle de la sécurité, des sommets annuels sur la sécurité (portant sur des sujets liés à la sécurité matérielle certaines années) ont été tenus et organisés conjointement par le Secrétariat, le BCP et Sécurité publique Canada. Ces événements visaient à sensibiliser les professionnels de la sécurité de l’ensemble du gouvernement aux nouvelles initiatives de sécurité, à échanger des connaissances et à leur offrir la possibilité de tisser des réseaux.

En ce qui concerne la sécurité de l’immeuble de base, SPAC a fourni plusieurs services internes intégrés pour appuyer les ministères dans ce domaine; toutefois, des possibilités d’amélioration ont été ciblées. Dans le cadre des responsabilités comprises dans son mandat, SPAC a géré l’approvisionnement de services de garde de sécurité, créé une adresse électronique générique pour interagir avec les membres de la collectivité de la sécurité qui avaient des questions ou qui avaient besoin d’avertir SPAC des incidents survenus dans les immeubles, et a réalisé des EMR liées aux immeubles de base. Toutefois, au cours de l’audit, il a été constaté que même si SPAC avait mis en place des mécanismes pour suivre la réalisation des EMR dans les immeubles de base, il y a eu des cas où ces mécanismes n’ont pas été mis à jour à la fréquence prévue par le Ministère (tous les cinq ans). [Caviardé] Les représentants de SPAC ont indiqué que certaines EMR de l’immeuble de base nécessitent des mises à jour plus fréquentes que d’autres et qu’un nouveau modèle axé sur les risques est en voie de mise en œuvre pour améliorer la planification des mises à jour. De plus, des représentants de certains ministères interrogés dans le cadre de l’audit ont mentionné avoir connu des difficultés au moment d’obtenir des copies des EMR de l’immeuble de base pour leurs installations. Les ministères ont besoin de l’information provenant des EMR de l’immeuble de base de SPAC pour éclairer l’élaboration de leurs propres EMR. Les représentants de SPAC ont indiqué qu’une présentation avait été faite depuis pour aviser la collectivité de la sécurité qu’elle pouvait obtenir des copies des EMR en communiquant avec le groupe des opérations de la sécurité des immeubles de base de SPAC, à l’adresse électronique générique pour la communication avec la communauté et les enquêtes sur les EMR. Au moment de l’audit, SPAC n’avait pas démontré avoir mis en place un processus continu pour s’assurer que les ministères soient constamment informés de ses divers services et des mécanismes disponibles pour collaborer sur des questions de sécurité liées à l’immeuble de base (comme la façon d’obtenir une copie d’une EMR de l’immeuble de base). SPAC n’a pas non plus démontré qu’il avait consulté d’autres ministères et principaux organismes chargés de la sécurité pour déterminer les risques et les priorités liés à la sécurité des immeubles de base.

Dans un contexte où les exigences ont maintenant été considérablement simplifiées, les ministères s’appuieront probablement de plus en plus sur les services, les conseils et l’orientation fournis par les principaux organismes chargés de la sécurité pour naviguer à travers les nouvelles flexibilités comprises dans les exigences à niveau plus élevé du cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé.

Recommandations : Services habilitants appuyant les ministères dans le secteur de la sécurité matérielle

  1. SPAC devrait continuer de consulter régulièrement les ministères clients et les autres principaux organismes chargés de la sécurité afin de déterminer les risques, les besoins et les priorités en matière de sécurité de l’immeuble de base.
  2. SPAC devrait finaliser la mise en œuvre de son approche axée sur les risques pour effectuer les EMR de l’immeuble de base et les tenir à jour.

Des comités interministériels de gouvernance de la sécurité étaient en place et appuyaient activement la sécurité matérielle. Les activités des comités pourraient être améliorées davantage.

Dans un organisme complexe comme le gouvernement fédéral, où plusieurs intervenants partagent diverses responsabilités pour assurer une sécurité matérielle adéquate, la gouvernance interministérielle est essentielle pour coordonner les efforts de manière efficace. Le Secrétariat et la GRC partagent les principales responsabilités pour l’établissement d’une gouvernance pangouvernementale dans ce secteur (voir l’annexe E).

Le Secrétariat et la GRC ont mis sur pied des comités de gouvernance interministériels appuyant une approche pangouvernementale de la sécurité matérielle. Le Secrétariat, pour sa part, a mis sur pied des comités de gouvernance stratégiques ayant de vastes mandats visant à fournir des directives à l’appui de la Politique sur la sécurité du gouvernement. Son comité au niveau des sous-ministres adjoints est coprésidé par le BCP.Note de bas de page 27 Par ailleurs, la GRC a créé le Comité consultatif sur la sécurité matérielle (CCSM), un comité de travail qui cherche exclusivement à apporter un soutien pangouvernemental à la sécurité matérielle. Tous ces comités ont manifesté leur appui à une approche pangouvernementale de la sécurité matérielle dans le cadre de discussions périodiques. Par exemple, le CCSM a présenté plusieurs mises à jour sur ses activités aux comités de gouvernance stratégiques du Secrétariat et du BCP.

Des possibilités d’amélioration ont été cernées quant à la façon dont fonctionnent les comités susmentionnés. Certains de ces comités n’ont pas démontré qu’ils assuraient un suivi et la surveillance constante de leurs décisions. En ce qui concerne le CCSM, aucun document appuyant l’approbation de son mandat ou démontrant que les rôles et les responsabilités ont été définis et communiqués à ses divers groupes de travail n’a été trouvé. De plus, la représentation des petits ministères au sein de tous ces comités était limitée pour différentes raisons. Le Secrétariat était au courant de cette situation et a indiqué que des travaux étaient en cours pour régler cette question, en collaboration avec des représentants de petits ministères. Enfin, certains représentants des principaux organismes chargés de la sécurité interrogés ont signalé qu’une coordination accrue entre les comités interministériels de gouvernance de la sécurité (par exemple, à l’aide de mises à jour régulières du statut des activités de sécurité matérielle) serait bénéfique.

La mise en place de cadres de référence formellement approuvés et documentés pour tous les comités de gouvernance qui définissent clairement leurs mandats, rôles, responsabilités et obligations de rendre compte respectifs pourraient aider les divers intervenants concernés à collaborer de façon plus efficace et efficiente. De plus, un suivi constant des décisions des comités permettrait de veiller à ce qu’elles soient mises en œuvre comme prévu. Enfin, une coordination plus étroite entre les comités de gouvernance pourrait donner lieu à des synergies qui pourraient à leur tour renforcer davantage la sécurité matérielle dans l’ensemble du gouvernement.

Recommandations : Comités interministériels de gouvernance

  1. Le Secrétariat et la GRC devraient veiller à ce que leurs comités de gouvernance de la sécurité coordonnent régulièrement leurs activités pangouvernementales de sécurité matérielle (comme au moyen de rapports de situation périodiques).
  2. Le Secrétariat et la GRC devraient veiller à ce que les comités de gouvernance dont ils sont responsables concernant la sécurité matérielle pangouvernementale assurent le suivi et la surveillance constante de leurs décisions et initiatives.
  3. Le Secrétariat et la GRC, en collaboration avec les comités de gouvernance interministériels pertinents des petits ministères (comme le comité des chefs des organismes fédéraux), devraient évaluer conjointement la composition des divers comités de gouvernance appuyant la sécurité matérielle pangouvernementale pour assurer une représentation adéquate des petits ministères.
  4. La GRC devrait veiller à ce que ses comités de gouvernance (y compris les groupes de travail) qui appuient la sécurité matérielle pangouvernementale aient des cadres de référence officiellement approuvés et documentés qui définit clairement leurs mandats, rôles, responsabilités et obligations de rendre compte respectifs. Ces cadres de référence devraient également être communiqués à tous les membres des comités de gouvernance pertinents.

Des mécanismes fondamentaux ont été mis en place pour planifier de façon stratégique des initiatives pangouvernementales qui appuient la sécurité matérielle; toutefois, les plans stratégiques n’ont pas été achevés.

Le Secrétariat est chargé d’établir une gouvernance pangouvernementale de la Politique sur la sécurité afin de déterminer l’orientation et les priorités stratégiques, ce qui comprend la coordination des priorités, des plans et des activités du gouvernement en matière de sécurité. Tous les principaux organismes chargés de la sécurité doivent participer à ce processus. En particulier, la GRC a été désignée comme étant le principal organisme chargé de la sécurité spécifiquement responsable de diriger les activités liées à la sécurité matérielle.

Dans le cadre de ses responsabilités, le Secrétariat a créé, au niveau des directeurs généraux, le Comité sur les mesures de sécurité intégrées du gouvernement du Canada (CMSIGC) afin d’agir à titre d’organisme consultatif sur l’élaboration des stratégies visant à renforcer l’efficacité des politiques, des services et des opérations connexes du gouvernement en matière de sécurité (y compris la sécurité matérielle). Tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés figurant dans la Politique sur la sécurité du gouvernement sont membres de ce comité. Le cadre de référence précise que les membres sont responsables de l’élaboration et de la surveillance des priorités sur une base annuelle afin de s’acquitter des diverses responsabilités à titre de principal organisme chargé de la sécurité et d’organisation de services internes intégrés conformément à la Politique sur la sécurité du gouvernement. Les responsabilités du président comprennent la communication des progrès réalisés quant à la mise en œuvre des priorités à l’intention d’un comité de sécurité des sous-ministres adjoints (CS SMA) interministériel mis sur pied par le Secrétariat et d’autres comités de la haute direction, le cas échéant. Le CS SMA, qui comprend tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés, est l’organe décisionnel pour les initiatives stratégiques concernant la sécurité à l’échelle du gouvernement. Son mandat consiste à fournir une orientation stratégique et à assurer un leadership pour l’élaboration, la mise en œuvre et l’évaluation continue de la Politique sur la sécurité du gouvernement. Cela comprend le soutien d’une approche intégrée axée sur les risques entre les principaux organismes chargés de la sécurité, les fournisseurs de services internes intégrés, les organismes centraux et les ministères à l’appui des objectifs de la Politique sur la sécurité du gouvernement du Canada et des opérations permanentes connexes (y compris la sécurité matérielle).

Pendant l’étape d’examen de l’audit et l’étape d’établissement du rapport, le CMSIGC a démontré que des travaux étaient en cours pour dresser un plan de travail officiel annuel conjoint entre les principaux organismes chargés de la sécurité et les organisations de services internes intégrés en matière de sécurité afin de déterminer et de suivre les progrès accomplis quant à l’atteinte des priorités stratégiques. Un plan partiellement achevé qui énumère certaines priorités en matière de sécurité matérielle, y compris l’état, les dates cibles des jalons et les produits livrables, a été fourni. Des priorités ont été définies pour tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés en matière de sécurité visés par l’audit.

L’audit a également permis de constater que le CMSIGC avait offert une séance d’information au CS SMA (en juin 2019) afin de donner un aperçu de ses objectifs et de certaines lacunes, des risques potentiels, des possibilités et des enjeux qui pourraient avoir une incidence sur la sécurité du gouvernement du Canada. Lors de cette réunion, le président du CMSIGC a présenté des tableaux de bord fictifs à utiliser à l’avenir pour déterminer et suivre les progrès accomplis quant à la réalisation des priorités stratégiques (y compris la sécurité matérielle). Le CMSIGC du GC s’est également engagé à faire participer régulièrement le CS SMA ainsi que d’autres comités au niveau des administrateurs généraux.

Une planification stratégique officielle et coordonnée à l’échelle du gouvernement aiderait à renforcer l’intégration de la gestion de la sécurité matérielle entre tous les intervenants concernés.

Recommandations : Planification stratégique pangouvernementale pour la sécurité matérielle

  1. Sous la direction du Secrétariat, le CMSIGC devrait finaliser le plan de travail pour les principaux organismes chargés de la sécurité et les services internes intégrés en matière de sécurité et veiller à ce que toutes les priorités stratégiques en matière de sécurité matérielle soient cernées. Le comité devrait également mettre en place des mécanismes pour tenir à jour régulièrement ce plan et tirer parti du CCSM dans le cadre du processus.
  2. Sous la direction du Secrétariat, le CMSIGC devrait donner suite à son engagement de mobiliser régulièrement le CS SMA et d’autres comités pertinents au niveau des administrateurs généraux sur les priorités stratégiques des principaux organismes chargés de la sécurité (y compris les priorités en matière de sécurité matérielle).

Bien que le Secrétariat ait surveillé la conformité et en ait rendu compte, son approche actuelle à l’égard de la surveillance ne donne pas une vue d’ensemble de la conformité avec les instruments de politique en matière de sécurité matérielle à l’échelle du gouvernement et n’évalue pas leur efficacité. Des travaux visant à combler ces lacunes sont en cours.

Le Secrétariat est chargé d’assurer la surveillance de la Politique sur la sécurité du gouvernement et de surveiller une approche de la gestion de la sécurité dans l’ensemble du gouvernement. Il s’agit notamment de procéder à des examens périodiques de l’efficacité des services de soutien à la sécurité afin de veiller à ce qu’ils continuent de répondre aux besoins du gouvernement dans son ensemble.

En ce qui concerne la surveillance de la conformité avec les exigences en matière de sécurité matérielle à l’échelle du gouvernement et la production de rapports à ce sujet, le Secrétariat a effectué des évaluations annuelles du Cadre de responsabilisation de gestion (CRG) des ministères. Toutefois, le Secrétariat a reconnu que les évaluations du CRG se limitaient à l’évaluation de certains grands ministères et organismes, et que, par conséquent, les constatations de l’évaluation n’offraient pas une vue d’ensemble de la conformité à l’échelle du gouvernement.

En outre, le Secrétariat n’a pas démontré qu’il avait suivi de près l’efficacité de son cadre des politiques sur la sécurité portant sur la sécurité matérielle et qu’il en avait rendu compte. De plus, le Secrétariat n’a pas démontré qu’il avait vérifié si les principaux organismes chargés de la sécurité s’acquittaient efficacement de leurs responsabilités en matière de sécurité matérielle conformément à la Politique sur la sécurité du gouvernement.

Cependant, au cours de l’étape d’établissement du rapport de l’audit, le Secrétariat a démontré que des travaux étaient en cours pour élaborer un cadre de mesure de rendement en matière de sécurité du gouvernement du Canada (CMRS du GC) afin de combler les lacunes dans la surveillance mentionnées précédemment. [Caviardé] Enfin, l’audit a permis de constater que le Secrétariat prévoit élaborer le CMRS du GC selon une approche progressive, qui comprendra des consultations avec la collectivité de la sécurité du gouvernement et un projet pilote dans certains ministères avant sa mise en œuvre complète.

Des cadres complets de surveillance et d’établissement de rapports à l’échelle du gouvernement, qui permettent de surveiller périodiquement l’efficacité et le respect des instruments de politique qui appuient la sécurité matérielle, aideraient à accroître la probabilité que les objectifs, les résultats escomptés et l’aboutissement de la nouvelle Politique sur la sécurité du gouvernement soient atteints.

Recommandation : Surveillance et établissement de rapports à l’échelle du gouvernement

  1. Le Secrétariat devrait finaliser et mettre en œuvre son CMRS du GC en consultation avec d’autres principaux organismes chargés de la sécurité ainsi qu’avec des organisations de services internes intégrés, des ministères et la collectivité de la sécurité du gouvernement. Le CMRS du GC devrait couvrir la surveillance de la conformité avec le cadre des politiques sur la sécurité du Conseil du Trésor, ainsi que la surveillance de l’efficacité du cadre des politiques, et l’établissement de rapports à ces sujets.

Constatation 2 : La gouvernance à l’échelle ministérielle

La Politique sur la sécurité du gouvernement du Conseil du Trésor précise que les administrateurs généraux sont responsables de l’établissement de la gouvernance de la sécurité au sein de leur ministère. L’audit visait à déterminer si les ministères avaient assumé leurs responsabilités en matière de gouvernance conformément au cadre des politiques sur la sécurité du gouvernement en vigueur au 30 juin 2017 (voir l’annexe A). Après examen, il a été déterminé que le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé, publié en juillet 2019, n’annule pas les exigences du cadre des politiques précédent sur lequel se fondent les constatations de la présente section.Note de bas de page 28

L’audit a porté sur les aspects suivants de la gouvernance ministérielle de la sécurité matérielle :

  • les comités de gouvernance
  • la communication des rôles et des responsabilités
  • la planification de la sécurité ministérielle
  • la surveillance et l’établissement de rapports

Compte tenu du retard dans la production du rapport pour le présent audit mentionné précédemment, certains ministères participants ont peut-être depuis donné suite aux constatations et aux recommandations présentées dans la présente section. Tout progrès réalisé à cet égard doit être indiqué et suivi dans les plans d’action de la direction ministériels. Les recommandations comprises dans cette section ont été formulées dans le contexte du cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé afin d’en assurer la pertinence continue.

Bien que la grande majorité des ministères aient mis sur pied des comités de gouvernance chargés de superviser les activités de sécurité matérielle, la moitié d’entre eux n’a pas démontré que ces comités participaient activement à ce secteur.

Conformément à la Directive sur la gestion de la sécurité ministérielle, les ministères devaient établir des mécanismes de gouvernance de la sécurité (tels que des comités et des groupes de travail) pour assurer la coordination et l’intégration des activités de sécurité et pour faciliter la prise de décisions.

L’audit a permis de constater que presque tous les ministères avaient mis en place des comités de gouvernance officiels dotés de vastes mandats, dont la supervision et le soutien des activités de sécurité matérielle. En tant que pratique exemplaire, l’audit a permis de constater que la moitié des grands ministères et la majorité des petits ministères avaient créé des comités ou des groupes de travail dotés de mandats spécifiquement consacrés à la sécurité ministérielle.

Toutefois, la moitié des ministères n’ont pas démontré que ces comités de gouvernance appuyaient activement les activités de sécurité matérielle, tant en discutant régulièrement de sujets liés à la sécurité matérielle lors de leurs réunions, qu’en suivant les initiatives dans ce domaine et en y donnant suite. C’était particulièrement le cas dans les ministères qui n’ont pas de comités chargés de la sécurité.

La participation active des comités de gouvernance aiderait à mieux faire connaître la sécurité matérielle au sein des ministères et à mieux intégrer les activités connexes aux autres mesures de sécurité.

Recommandation : Comités de gouvernance ministériels

  1. Les ministères devraient veiller à ce que les comités de gouvernance appuient activement les activités de sécurité matérielle en se réunissant régulièrement pour discuter des sujets connexes et en donnant systématiquement suite aux initiatives à cet égard.

Bien que les rôles et les responsabilités en matière de sécurité matérielle aient été définis dans tous les ministères, leur documentation, leur approbation et leur communication pourraient être améliorées.

La Politique sur la sécurité du gouvernement exigeait que les administrateurs généraux nomment un agent de sécurité ministériel (ASM)Note de bas de page 29 pour gérer le programme de sécurité ministériel. L’ASM devait faire rapport de façon fonctionnelle soit à l’administrateur général, soit au comité exécutif ministériel. De plus, les ministères devaient nommer des praticiens de la sécurité pour appuyer le programme de sécurité ministériel. Ces praticiens étaient tenus de maintenir un lien hiérarchique fonctionnel ou direct avec l’ASM. Enfin, selon la Directive sur la gestion de la sécurité ministérielle, les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés du ministère détenant des responsabilités liées à la sécurité devaient être définis, documentés et communiqués aux personnes concernées.

L’audit a permis de constater que tous les ministères ont nommé un ASM et des praticiens de la sécurité responsables de la sécurité matérielle. Les rôles et les responsabilités de la plupart des principaux intervenants en matière de sécurité ont été définis dans tous les ministères, souvent par l’intermédiaire d’une politique sur la sécurité ministérielle approuvée. Dans la grande majorité des cas, les ASM et les praticiens de la sécurité devaient également assumer leurs responsabilités en matière de sécurité matérielle dans le cadre de leurs ententes de gestion du rendement. En tant que pratique exemplaire, l’audit a permis de constater que l’Agence canadienne d’inspection des aliments exigeait de ses gestionnaires et de ses employés qu’ils confirment officiellement leur compréhension de la Politique sur la sécurité du gouvernement et de la Directive sur la gestion de la sécurité ministérielle et leur engagement à leur égard. Toutefois, bien que les praticiens de la sécurité de presque tous les ministères aient des rapports hiérarchiques directs ou fonctionnels avec leur ASM, il a été noté que dans la moitié des grands et des petits ministères, les rapports hiérarchiques entre l’ASM et l’administrateur général ou le comité exécutif n’étaient pas conformes aux attentes.

Des possibilités d’amélioration en ce qui concerne la documentation, l’approbation et la communication des rôles et des responsabilités ont également été cernées dans la plupart des ministères. Par exemple, les rôles et les responsabilités précis et à jour en matière de sécurité matérielle n’ont pas été définis pour les comités de gouvernance dans la plupart des grands ministères et dans la moitié des petits ministères. De plus, les rôles et les responsabilités définis n’ont pas été approuvés de façon uniforme dans la moitié des grands ministères et des petits ministères. Dans tous les ministères qui ont attribué des rôles et des responsabilités en matière de sécurité matérielle aux employés travaillant dans les bureaux régionaux, l’audit a permis de constater que la communication entourant ces rôles et responsabilités pourrait être améliorée. Par exemple, plusieurs praticiens de la sécurité régionaux ont exprimé le désir d’obtenir un soutien accru de l’administration centrale (comme en offrant des possibilités de formation supplémentaires). Enfin, la plupart des grands et des petits ministères n’avaient pas examiné tous les rôles et responsabilités en matière de sécurité matérielle. Deux petits ministères ont indiqué qu’ils attendaient que le Secrétariat finalise le renouvellement de son ensemble de politiques avant de mettre à jour leurs propres politiques de sécurité ministérielles.

Veiller à ce que les rôles et les responsabilités à jour en matière de sécurité matérielle soient communiqués officiellement à tous les intervenants pertinents contribuerait à une meilleure compréhension des attentes et à la coordination des efforts, et aiderait à s’assurer que les responsabilités attribuées sont assumées. En outre, l’harmonisation des relations hiérarchiques des cadres supérieurs avec la Politique sur la sécurité du gouvernement contribuerait à élever le profil de sécurité au sein des ministères et à assurer une bonne coordination pendant les incidents de sécurité.

Recommandation : Rôles et responsabilités du ministère

  1. Les ministères devraient veiller à ce que les rôles, les responsabilités et les rapports hiérarchiques à jour soient officiellement communiqués à tous les intervenants qui participent aux activités de sécurité matérielle, conformément au cadre des politiques sur la sécurité du Conseil du Trésor.

La plupart des ministères avaient un PSM global couvrant la sécurité matérielle; toutefois, le contenu des PSM n’était généralement pas conforme au processus du PSM suggéré par les lignes directrices du Secrétariat et, dans la plupart des cas, les PSM n’étaient pas régulièrement examinés et mis à jour.

Selon la Directive sur la gestion de la sécurité ministérielle, les ministères étaient tenus d’élaborer et de tenir à jour un PSM offrant une vision intégrée des exigences ministérielles en matière de sécurité (y compris la sécurité matérielle). Le but des PSM était de préciser les décisions relatives à la gestion des risques en matière sécurité et de définir les stratégies, les buts, les objectifs, les priorités et les échéanciers pour améliorer la sécurité ministérielle. Pour aider les ministères à répondre aux attentes, le Secrétariat a publié des lignes directrices sur la façon d’élaborer des PSM.

L’audit a permis de constater que tous les ministères avaient mis en place un PSM approuvé. La majorité des PSM des grands ministères et la moitié de ceux des petits ministères portaient sur les buts, les objectifs, les priorités et les échéanciers. La plupart des ministères ont également démontré qu’un processus avait été établi et suivi pour cerner et analyser les risques, y compris ceux liés à la sécurité matérielle. De plus, la plupart des ministères ont consulté les intervenants pertinents du ministère au cours de l’élaboration de leurs PSM.

En général, le contenu des PSM examinés n’était pas toujours conforme à la Ligne directrice sur l’élaboration d’un plan de sécurité ministériel du Secrétariat. Les possibilités d’amélioration à cet égard ont principalement trait à la nécessité d’inclure des détails supplémentaires en ce qui concerne les indicateurs de rendement, les stratégies de mise en œuvre et les évaluations des risques pour déterminer si les risques cernés étaient acceptables ou non. De plus, la moitié des grands ministères et la majorité des petits ministères n’ont pas démontré qu’ils avaient maintenu leur PSM en effectuant des examens et des mises à jour périodiques. Dans la moitié des petits ministères, le principal enjeu soulevé concernait le manque de ressources pour mener à bien ces examens et mises à jour.

La tenue à jour et l’harmonisation régulières des PSM avec les instruments de politique du Secrétariat aideraient les ministères à mieux faire face aux nouveaux risques à la sécurité et à clarifier les priorités. Cela permettrait également de disposer d’une base de référence plus solide au sein des ministères pour surveiller l’efficacité de leurs plans au fil du temps et pour déterminer quand et où des mesures correctives pourraient être nécessaires. Des PSM solides et à jour pourraient aussi aider les ministères à composer plus efficacement avec les enjeux de capacité en priorisant leurs ressources limitées afin d’atténuer les risques les plus élevés à la sécurité.

Recommandation : Plans de sécurité ministériels (PSM)

  1. Les ministères devraient régulièrement (au moins une fois par année) examiner leur PSM afin de veiller à ce qu’il soit à jour et conforme aux attentes du cadre des politiques sur la sécurité du Conseil du Trésor.

Les cadres de surveillance en matière de sécurité matérielle et d’établissement de rapports connexes étaient inexistants ou limités.

Les ASM étaient tenus de surveiller activement la mise en œuvre de toutes les activités de sécurité au sein de leur ministère et de recommander des mesures correctives appropriées à l’administrateur général ou au comité de la haute direction (selon le cas) pour remédier à toute lacune. Cette attente comprenait l’évaluation de l’atteinte des objectifs énoncés dans le PSM et de l’efficacité des mesures de sécurité ainsi que la communication des résultats aux comités de gouvernance appropriés.

Bien que la plupart des ministères aient mené à bien certaines activités de surveillance, celles-ci étaient généralement ponctuelles, incomplètes et informelles. [Caviardé]

La mise en place de processus officiels pour surveiller régulièrement la conformité, ainsi que l’efficacité des activités ministérielles de sécurité matérielle, et en rendre compte, aideraient à cerner de façon proactive les lacunes et à apporter les ajustements nécessaires. [Caviardé]

Recommandation : Surveillance et établissement de rapports ministériels

  1. Les ministères devraient établir des cadres officiels de surveillance et d’établissement de rapports afin d’évaluer périodiquement leur conformité au cadre des politiques sur la sécurité du gouvernement et l’efficacité globale de leur fonction de sécurité matérielle (y compris les mesures de sécurité matérielle).

Constatation 3 : Processus ministériels de sécurité matérielle

En vertu de la Directive sur la gestion de la sécurité ministérielle, les praticiens de la sécurité au sein des ministères devaient choisir, mettre en œuvre et maintenir des mesures de sécurité matérielle. La Norme opérationnelle sur la sécurité matérielle du Secrétariat comprenait des exigences de base en matière de sécurité matérielle pour contrer les menaces qui pèsent sur les employés du gouvernement, les biens et la prestation des services. Les exigences de base ont été conçues pour fournir de façon constante un minimum de mesures de sécurité matérielle dans l’ensemble du gouvernement afin d’aider à atténuer les types communs de menaces auxquelles les ministères seraient confrontés. Certains ministères pourraient faire face à des menaces différentes en raison de la nature de leurs activités, de leur emplacement ou de l’attrait de leurs biens. La norme prescrit donc une approche en matière de sécurité matérielle pour aider les ministères à ajouter, le cas échéant, aux mesures de sécurité matérielle de base en fonction des menaces et des risques particuliers auxquels ils font face. La GRC a également publié diverses orientations techniques pour aider les ministères à adapter les mesures de sécurité matérielle à leurs besoins.

L’audit a mis l’accent sur les attentes énoncées dans les instruments de politique du Secrétariat et dans l’orientation technique de la GRC en vigueur au 30 juin 2017 (voir l’annexe A) et a permis d’évaluer si les ministères avaient mis en place des processus pour évaluer les menaces et les risques, déterminer et mettre en œuvre des mesures de sécurité matérielle, signaler les incidents de sécurité et enquêter sur ces derniers, et mettre en œuvre des mesures correctives à la suite d’incidents ou d’enquêtes.

Après examen, il a été décidé que le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé, publié en juillet 2019, n’annule pas les exigences du cadre des politiques précédent sur lequel se fondent les constatations de la présente section.Note de bas de page 30 Les recommandations comprises dans cette section ont été formulées dans le contexte du cadre des politiques renouvelé afin d’en assurer la pertinence continue.

Compte tenu du retard dans la production du rapport pour le présent audit mentionné précédemment, certains ministères participants ont peut-être depuis donné suite aux constatations et aux recommandations présentées dans la présente section. Tout progrès réalisé à cet égard doit être indiqué et suivi dans les plans d’action de la direction ministériels.

Bien que tous les ministères aient effectué une certaine forme d’EMR, leur portée et le niveau de rigueur nécessaire pour les élaborer et les maintenir pourraient être améliorés.

La Directive sur la gestion de la sécurité ministérielle exigeait des ministères qu’ils documentent, mettent en œuvre et maintiennent des processus de gestion systématique des risques en matière de sécurité afin d’assurer une adaptation continue à leurs besoins changeants et à leur environnement de menace. En vertu de la Norme de sécurité relative à l’organisation et l’administration du Secrétariat, les ministères devaient effectuer des EMR pour les renseignements et les biens sensibles dans le cadre de l’approche de gestion des risques en matière de sécurité. Le processus d’EMR visait à définir ce qui nécessitait une protection, à analyser et à évaluer les menaces et les risques, et à formuler des recommandations pour la gestion des risques. Des directives techniques précises sur la façon d’élaborer les EMR ont été fournies dans la Norme de sécurité relative à l’organisation et l’administration du Secrétariat et dans la Méthode harmonisée d’EMR (publiée par la GRC et le Centre de la sécurité des télécommunications du Canada). Selon la Norme opérationnelle sur la sécurité matérielle du Secrétariat, les ministères devaient fonder leur sélection et leur mise en œuvre des mesures de sécurité matérielle sur les résultats des EMR.

L’audit a permis de déterminer si les ministères avaient effectué et tenu à jour des EMR pour leurs installations conformément à la Norme de sécurité relative à l’organisation et l’administration et à la Méthode harmonisée d’EMR.

Tous les ministères ont réalisé une certaine forme d’EMR ou d’évaluations de sécurité équivalentes et, dans la plupart des cas, ont fourni aux employés une formation et des conseils pertinents sur les EMR avant de réaliser les évaluations. De plus, tous les grands ministères et la moitié des petits ministères ont consulté des intervenants internes pertinents lors de l’élaboration de ces évaluations.

[Caviardé]Note de bas de page 31 La plupart des ministères ont également indiqué qu’ils n’avaient pas consulté d’intervenants externes, comme les principaux organismes chargés de la sécurité, dans le cadre de leur processus d’EMR, pour obtenir des conseils et des orientations supplémentaires. [Caviardé]

[Caviardé] De solides processus d’EMR, conjugués à la mise en œuvre des recommandations d’EMR, contribuent à réduire le risque que certains secteurs des ministères soient sous-protégés par des mesures de sécurité matérielle.

Recommandation : Évaluation de la menace et des risques (EMR)

  1. [Caviardé]

La plupart des ministères avaient mis en place des processus pour mettre en œuvre des mesures de sécurité matérielle fondées sur des EMR. [Caviardé]

Après les EMR, les prochaines étapes de la gestion des risques en matière de sécurité se rapportent à l’approbation et à la mise en œuvre des mesures de protection. La Norme opérationnelle sur la sécurité matérielle du Secrétariat exige des ministères qu’ils veillent à ce que l’accès aux biens protégés et classifiés et les mesures de protection à leur égard soient fondés sur une hiérarchie des zones clairement perceptible.Note de bas de page 32 La norme exigeait également des ministères qu’ils contrôlent l’accès aux zones d’accès restreint au moyen de mesures de protection qui n’accorderaient l’accès qu’aux employés autorisés.

L’audit a permis de déterminer si les ministères avaient mis en place des processus pour approuver et mettre en œuvre des contrôles d’accès aux installations et la hiérarchie des zones pour protéger l’information, les biens et les employés, conformément aux EMR et à la norme susmentionnée. L’audit a aussi examiné les processus ministériels en place pour mettre en œuvre et approuver les mécanismes, les systèmes et les procédures de détection des incidents de sécurité matérielle tentés ou réussis. Dans le cadre de ces processus, l’audit permettait de s’attendre à ce que tous les intervenants pertinents au sein des ministères et des principaux organismes chargés de la sécurité aient été consultés.

Bien qu'ils ne soient pas toujours officialisés, la majorité des ministères ont mis en place des processus pour la mise en œuvre des mesures de sécurité matérielle évaluées. [Caviardé] De plus, des possibilités d'amélioration ont été constatées dans la plupart des petits ministères en ce qui concerne la consultation de tous les intervenants internes et externes concernés dans le cadre du processus de mise en œuvre des mesures de sécurité matérielle.

L’adoption de processus officiels [Caviardé] aiderait les ministères à renforcer leur capacité de protéger adéquatement leurs employés, leurs renseignements et leurs biens contre les compromissions.

Recommandation : Processus d’approbation et de mise en œuvre des mesures de sécurité matérielle

  1. Les ministères devraient établir des processus officiels pour veiller à ce que les mesures de sécurité matérielle recommandées dans les EMR soient approuvées par la haute direction et mises en œuvre de façon uniforme dans le contexte de l’environnement de risque et selon le niveau de tolérance du ministère, et en consultation avec tous les intervenants pertinents.

En général, les processus de signalement des incidents de sécurité ont été définis et communiqués; toutefois, dans la plupart des petits ministères, ils n’ont pas été suivis de façon uniforme. Dans la majorité des ministères, l’audit n’a pas non plus permis de constater que des incidents avaient fait l’objet d’une enquête et que les résultats de ces enquêtes avaient été communiqués à la haute direction.

Dans le contexte de la sécurité matérielle, le processus d’intervention a consisté à signaler les incidents de sécurité aux responsables de la sécurité concernés et à prendre des mesures correctives immédiates et à long terme. En vertu de la Politique sur la sécurité du gouvernement, les administrateurs généraux étaient responsables de l’achèvement des enquêtes et des évaluations de l’efficacité du programme ministériel de sécurité.

L’audit a révélé que la majorité des ministères avaient entièrement défini et communiqué les processus de signalement des incidents de sécurité. Toutefois, dans la plupart des petits ministères et dans un grand ministère, ces processus n’ont pas été suivis de façon uniforme pour les incidents échantillonnés dans le cadre de l’audit.

La moitié des ministères n’avaient pas non plus défini de processus afin d’enquêter sur les incidents de sécurité et de communiquer les résultats de ces enquêtes aux intervenants concernés. De plus, la majorité des ministères n’ont pas démontré que les incidents échantillonnés dans le cadre de l’audit avaient fait l’objet d’une enquête et que les résultats de ces enquêtes avaient fait l’objet d’un rapport régulier à la haute direction. Certains ministères ont indiqué qu’ils ne jugeaient pas nécessaire de communiquer les résultats des enquêtes sur les incidents de sécurité à la haute direction. Bien que les ministères qui ont déterminé les mesures correctives nécessaires au cours des enquêtes aient mis en œuvre ces mesures dans la plupart des cas, la majorité des ministères n’ont pas établi de processus officiel pour assurer le suivi des recommandations de l’enquête.

La mise en œuvre systématique des processus de signalement et d’enquête sur les incidents de sécurité renforcerait les interventions en matière de sécurité matérielle et aiderait à déterminer les secteurs où des améliorations sont nécessaires pour les mesures de sécurité matérielle. Le suivi régulier des recommandations de l’enquête encouragerait davantage l’adoption en temps opportun de mesures correctives au sein des ministères.

Recommandations : Signalement des incidents et enquête

  1. Les ministères devraient établir un processus officiel pour enquêter sur les incidents et rendre compte des résultats de ces enquêtes à la haute direction. Dans le cadre de ce processus, les ministères devraient surveiller régulièrement la mise en œuvre des recommandations découlant d’enquête et en rendre compte.
  2. Les ministères devraient veiller à ce que leurs processus de signalement des incidents et d’enquête soient mis en pratique de façon uniforme. À titre d’exemple, les ministères pourraient envisager de confier officiellement à leur dirigeant principal de la sécurité la tâche de surveiller régulièrement les incidents antérieurs, au moyen d’échantillonnage, afin d’évaluer le respect des processus ministériels et de rendre compte de ces évaluations à la haute direction.

Conclusion

En général, l’audit a révélé un besoin d’apporter des améliorations aux cadres de gouvernance pangouvernementaux et ministériels, ainsi qu’aux processus de sécurité matérielle en place au sein des ministères.

Bien que les principaux organismes chargés de la sécurité se soient acquittés de leurs responsabilités de base à l’appui de la sécurité matérielle à l’échelle du gouvernement, plusieurs possibilités d’amélioration ont été relevées en ce qui concerne les éléments suivants :

  • la mise à jour des instruments de politique
  • les services liés à la sécurité de l’immeuble de base
  • la coordination et le fonctionnement des comités interministériels de gouvernance
  • la planification stratégique des priorités des principaux organismes chargés de la sécurité
  • les cadres de surveillance et d’établissement de rapports

Au sein des ministères, il y avait aussi plusieurs possibilités d’améliorer les cadres de gouvernance de la sécurité matérielle en ce qui concerne :

  • le niveau de participation des comités de gouvernance
  • la communication des rôles et des responsabilités (en particulier dans les bureaux régionaux)
  • la tenue à jour des PSM et leur harmonisation avec l’orientation émise par les principaux organismes chargés de la sécurité
  • les cadres de surveillance et d’établissement de rapports

Enfin, des lacunes [Caviardé] ont été relevées dans les processus ministériels de sécurité matérielle :

  • [Caviardé]
  • [Caviardé]
  • [Caviardé]
  • le signalement des incidents
  • les enquêtes sur les incidents
  • le suivi des recommandations issues d’enquêtes antérieures

Réponse de la direction

Les constatations et les recommandations du présent audit ont été présentées au Secrétariat, à la GRC, à SPAC et au BCP, de même qu’aux quatre grands ministères et aux quatre petits ministères qui y ont participé.

La direction a accepté les constatations du présent rapport et prendra les mesures qui s’imposent pour donner suite à toutes les recommandations qui s’appliquent.

Annexe A : Politique, directive, normes et orientations pertinentes

Politique, directive, normes et orientations Description

Politique sur la sécurité du gouvernement

Date d’entrée en vigueur : 1er juillet 2019

Cette politique a pour objectif de gérer de manière efficace les mesures de sécurité gouvernementales à l’appui de la prestation fiable des programmes et des services du gouvernement du Canada ainsi qu’à l’appui de la protection des renseignements, des personnes et des biens, et de donner une assurance à l’égard de la gestion de la sécurité au sein du gouvernement du Canada.

Cette politique a remplacé la Politique sur la sécurité du gouvernement qui était en vigueur du 1er juillet 2009 au 30 juin 2019.

Directive sur la gestion de la sécurité

Date d’entrée en vigueur : 1er juillet 2019

Cette directive, émise conformément aux pouvoirs indiqués à la section 2 de la Politique sur la sécurité du gouvernement, présente les exigences relatives à la gestion de la sécurité au niveau du ministère.

La directive comprend en annexe des procédures obligatoires pour les huit mesures de sécurité définies dans la Politique sur la sécurité du gouvernement, y compris l’annexe « Procédures obligatoires relatives aux mesures de sécurité matérielle », qui comprend des renseignements sur les exigences visant à appuyer la responsabilisation de l’administrateur général en matière de sécurité matérielle.

La Directive sur la gestion de la sécurité et ses procédures obligatoires ont remplacé la précédente Directive sur la gestion de la sécurité ministérielle, la Norme de sécurité opérationnelle sur le programme de planification de la continuité des activités (PCA), la Norme opérationnelle sur la sécurité matérielle, la Norme de sécurité opérationnelle sur les niveaux de préparation des installations du gouvernement fédéral, et la Norme de sécurité opérationnelle sur la gestion de la sécurité des technologies de l’information.

Méthodologie harmonisée d’évaluation des menaces et des risques (EMR)

Date d’entrée en vigueur : 28 août 2007

La Méthodologie harmonisée d’EMR a été publiée sous l’autorité du chef du Centre de la sécurité des télécommunications du Canada et du commissaire de la Gendarmerie royale du Canada (GRC) afin de fournir une orientation sur la réalisation des EMR. Ce document a été conçu comme un outil pratique permettant d’élaborer sur la précédente Politique sur la sécurité du gouvernement et les normes à l’appui pour aider les gestionnaires du gouvernement à atteindre les objectifs et à satisfaire aux exigences de la Politique.

Lignes directrices de la GRC

Le cadre des politiques sur la sécurité du Conseil du Trésor est complété par plusieurs lignes directrices sur la sécurité matérielle publiées par la GRC, dont le G1-001 : Guide d’équipement de sécurité (mis à jour le 25 février 2014) et le G1-025 : Protection, détection et intervention (publié en décembre 2004).

Ligne directrice sur l’élaboration d’un plan de sécurité ministériel

Dernière mise à jour : 4 décembre 2013

La présente ligne directrice a pour objectif d’aider les ministères à répondre aux exigences de la Politique sur la sécurité du gouvernement afin d’élaborer un plan de sécurité ministériel qui expose en détail les décisions pour la gestion des risques en matière de sécurité et décrit les stratégies, les buts, les objectifs, les priorités et les échéanciers élaborés en vue d’améliorer la sécurité ministérielle.

Les champs d’enquête et les critères de l’audit ont été élaborés en fonction du cadre des politiques sur la sécurité en place au 30 juin 2017, y compris les documents antérieurs suivants : la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle, la Norme opérationnelle sur la sécurité matérielle et la Norme de sécurité relative à l’organisation et l’administration. Voici une comparaison du cadre précédent et du nouveau cadre des politiques sur la sécurité du Conseil du Trésor.

Type d’instrument Précédent cadre des politiques sur la sécurité du Conseil du Trésor Cadre des politiques révisé sur la sécurité du Conseil du Trésor

Loi

Loi sur la gestion des finances publiques (LGFP)

Loi sur la gestion des finances publiques (LGFP)

Politique

Politique sur la sécurité du gouvernement (PSG)
(2009 – modifiée 2012)*

Politique sur la sécurité du gouvernement*

Directives

  • Directive sur la gestion de l’identité (2009)
  • Directive sur la gestion de la sécurité ministérielle (DGSM) (2009)*
  • Directive sur la gestion de l’identité
  • Directive sur la gestion de la sécurité*
    • Procédures obligatoires sur les mesures de sécurité*
      • Filtrage de sécurité
      • Sensibilisation et formation à la sécurité
      • Gestion de la continuité des activités
      • Sécurité de la gestion de l’information
      • Sécurité des technologies de l’information
      • Sécurité en matière de contrats et autres dispositions
      • Gestion des événements de sécurité
      • Sécurité matérielle*

Normes

  • Administration et organisation de la sécurité (1994)*
  • Filtrage de sécurité (2014)
  • Niveaux de préparation des installations du gouvernement fédéral (2002)
  • Norme sur l’assurance de l’identité et des justificatifs (2013)
  • Gestion de la sécurité des technologies de l’information (2004)
  • Planification de la continuité des activités (2004)
  • Sécurité matérielle (2004)*
  • Sécurité en matière de contrats (1994)
  • Norme sur la catégorisation de la sécurité
  • Norme sur l’assurance de l’identité et des justificatifs
  • Norme sur le filtrage de sécurité
  • Norme sur le signalement des événements liés à la sécurité (Nouveau)

* Définit les exigences en matière de sécurité matérielle

Annexe B : Ministères visés par l’audit

Les principaux organismes chargés de la sécurité (y compris le centre de politiques) et les grands et petits ministères ont été choisis pour cet audit à la fois par l’entremise d’une évaluation des risques et d’un exercice d’auto-identification mené dans le cadre de la planification d’audit axée sur les risques du Bureau du contrôleur général.

Les principaux organismes chargés de la sécurité (y compris le centre de politiques) ci-après ont été choisis pour être inclus dans cet audit :

  1. Secrétariat du Conseil du Trésor du Canada (le Secrétariat) – organisme central/centre de politiques
  2. Services publics et Approvisionnements Canada (SPAC)
  3. Gendarmerie royale du Canada (GRC)
  4. Bureau du Conseil privé (BCP)

Les grands ministères suivants ont été choisis pour être inclus dans cet audit :

  1. Agence canadienne d’inspection des aliments (ACIA)
  2. Relations Couronne-Autochtones et Affaires du Nord Canada (RCAANC) et Services aux Autochtones Canada (SAC)Note de bas de page 33
  3. Innovation, Sciences et Développement économique Canada (ISDE)
  4. Anciens Combattants Canada (ACC)

Les petits ministères suivants ont été choisis pour être inclus dans cet audit :

  1. Commission canadienne de sécurité nucléaire (CCSN)
  2. Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC)
  3. Commission de l’immigration et du statut de réfugié du Canada (CISR)
  4. Bibliothèque et Archives Canada (BAC)

Annexe C : Champs d’enquête et critères d’audit

Les critères d’audit sont présentés dans le tableau ci-dessous par champs d’enquête.

Champs d’enquête Critères Source(s) connexe(s)

Cadre précédent
Source(s) connexe(s)

Cadre actuel

1. Cadre de gouvernance pangouverne-mental

Un cadre de gouvernance pangouverne-mental est en place pour assurer la gestion de la sécurité matérielle à l’échelle du gouvernement du Canada.

1.1 Des structures de gouvernance* qui appuient la gestion pangouvernementale de la sécurité matérielle sont en place, et leurs rôles et responsabilités ont été documentés, approuvés et communiqués à tous les intervenants.

*Aux fins de cet audit, le terme « structures de gouvernance » réfère aux organismes gouvernementaux (p. ex. comités de la haute direction, forums, groupes de travail, etc.), à leur interrelation et à leurs membres.

Politique sur la sécurité du gouvernement (PSG), 3.6, 5.2, 6.2.2, 6.3, annexe B

Directive sur la gestion de la sécurité ministérielle (DGSM), 6.1.15

Politique sur la sécurité du gouvernement (PSG), 3.2.1, 4.2.1, 4.2.4, 4.3.2, 4.3.3.1, 4.4.1, 4.4.2, 5.7.2.1, 5.12.1

1.2 Un cadre de politique pangouvernemental* qui définit les rôles, les responsabilités et les exigences pour la sécurité matérielle est en place et à jour afin de tenir compte de l’environnement opérationnel actuel.

*Aux fins de cet audit, le terme « cadre de politique » est utilisé largement pour inclure les politiques, procédures, directives, conseil et outils (c.-à-d. les directives obligatoires et non obligatoires) fournis aux ministères par les principaux organismes chargés de la sécurité (POCS) choisis.

PSG, 3.4, 3.9, 6.2, 6.3, annexe B

PSG, 2.2, 4.2.4, 4.3.3.2, 5.7.1, 5.10.1, 5.12.1, 5.12.2

1.3 Une approche* de sécurité pangouvernementale a été élaborée, mise en place et communiquée pour appuyer l’identification et la gestion des menaces, des risques et des incidents de sécurité matérielle à l’échelle du gouvernement du Canada.

*Pour l’application de ce critère d’audit, le terme « approche » réfère à une stratégie ou à un plan utilisé par les POCS pour coordonner et veiller à ce qu’ils s’acquittent de leurs responsabilités en matière de sécurité matérielle.

PSG, 3.4, 6.2.1, 6.2.3, 6.3, annexe B

PSG, 4.2.4, 4.3.2, 4.3.3.1, 4.3.3.4, 4.4.1, 5.12.1

1.4 Des processus de coordination et de collaboration interministériels sont en place afin d’intégrer les activités de sécurité matérielle à l’ensemble du gouvernement.

PSG, 3.4, 5.2, 6.2.1, 6.2.3, 6.3, annexe B

DGSM, 6.1.13, 6.1.14

PSG, 3.2.2, 3.2.5, 4.2, 4.3, 4.4, 5.7, 5.9, 5.10.1, 5.12

Directive sur la gestion de la sécurité (DGS), 4.6.3, C.2.7.1

2. Cadre de gouvernance ministériel

Des cadres de gouvernance ministériels sont en place pour assurer la gestion de la sécurité matérielle.

2.1 Des structures ministérielles de gouvernance qui appuient la sécurité matérielle sont en place, et leurs rôles et responsabilités ont été documentés, approuvés et communiqués à tous les intervenants.

PSG, 3.6, 5.2, 6.1.1, 6.1.2, 6.3

DGSM, 6.1.5, 6.1.6, 6.1.16

PSG, 3.2.1, 3.2.4, 4.1.1, 4.1.2, 4.1.4

DGS 4.1.2.1, 4.2.1, 4.2.2, 4.2.3, 4.2.6, 4.2.10, 4.3.1, 4.3.2, 4.3.3, 4.4.2

2.2 Un cadre de politique ministériel qui définit les rôles, les responsabilités et les exigences à l’égard de la sécurité matérielle est documenté, communiqué et approuvé.

PSG, 6.1.1.a), b)

DGSM, 6.1.5

Norme de sécurité relative à l’organisation et l’administration (NSOA) 1.3, 3

Favorise la conformité à :

PSG, 4.1.4

DGS, 4.1.2.1, 4.2.2, 4.2.6, 4.3.1, 4.4.2

2.3 Un processus ministériel est en place pour élaborer et surveiller un plan systématique* à l’égard de la sécurité matérielle qui est intégré et coordonné avec d’autres aspects de la sécurité ministérielle.

*Pour l’application de ce critère d’audit, le terme « systématique » se rapporte aux attributs suivants :

  • méthodique (conforme aux étapes requises en vertu de la Ligne directrice sur l’élaboration d’un plan de sécurité ministériel du Secrétariat);
  • documenté; et
  • consultatif.

PSG, 3.5, 6.1.1 (b), 6.1.4, 6.1.5, 6.3

DGSM, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.6, 6.1.7, 6.1.8, 6.1.9, 6.1.10, 6.1.11, 6.1.12, 6.1.16, 6.1.22, 6.1.23, annexe C

NSOA, 3

Ligne directrice sur l’élaboration d’un plan de sécurité ministériel, s. 5, 7

PSG, 4.1.1, 4.1.5

DGS, 4.1.2.1, 4.1.3, 4.1.4, 4.1.5, 4.2.6, 4.2.10, 4.3.1, 4.3.3, 4.4.1, C.2.4

Ligne directrice sur l’élaboration d’un plan de sécurité ministériel, s. 5, 7

3. Sécurité matérielle du ministère

Une approche de sécurité ministérielle est en place pour l’élaboration, la mise en œuvre, la mise à l’essai, la mise à jour et la surveillance des mesures de protection de la sécurité matérielle et du processus de gestions des incidents.

3.1 Les ministères ont effectué et tenu à jour une évaluation de la menace et des risques pour les installations et les activités du ministère.

PSG, 3.1, 3.3

DGSM, 6.1.1.2, 6.1.4, 6.1.7, 6.1.10, 6.1.21, 6.1.23

Norme opérationnelle sur la sécurité matérielle (NOSM), 6.3, 7.1

NSOA, 9

Méthodologie harmonisée d’évaluation des menaces et des risques

Favorise la conformité à :

PSG, 3.2.4, 4.1.6, 4.3.3.4

DGS, 4.1.4, 4.1.6, 4.2.7, 4.2.8, C.2.2, C.2.5, C.2.8

Méthodologie harmonisée d’évaluation des menaces et des risques

3.2 Les ministères ont un processus afin de mettre en place et de surveiller l’efficacité des mesures de protection de la sécurité matérielle visant à atténuer les menaces et les risques déterminés dans leurs évaluations de la menace et des risques, qui tiennent compte des liens de dépendance avec les principaux intervenants*.

*« Intervenants » réfère aux ministères, aux principaux organismes chargés de la sécurité et aux organisations externes qui jouent un rôle dans la sécurité matérielle du ministère.

PSG, 5.2, 6.3

DGSM, 3.1, 6.1.1.2, 6.1.2, 6.1.7, 6.1.9, 6.1.10, 6.1.11, 6.1.12, 6.1.17, 6.1.18, 6.1.19, 6.1.24, 6.1.25, 6.1.27, 6.1.28, annexe C

NOSM, 6-8

NSOA, 16.10

PSG, 3.1.1, 3.2.1, 3.2.4, A.3

DGS, 4.1.2.1, 4.2.6, 4.2.10, 4.3.1, 4.3.3, C.2.2.3, C.2.3

3.3 Les ministères ont un processus de gestion des incidents en place afin de détecter et de signaler les violations de sécurité matérielle et d’y répondre.

*Voir la note 1 au bas du tableau.

PSG, 3.3, 5.2, 6.1.8

DGSM, 6.1.7, 6.1.13, 6.1.14, 6.1.29, 6.2.2, annexe B, annexe C

NOSM, 6.1

NSOA, 16.1

GRC, G1-025 Protection, détection et intervention, s. 5 et 6

PSG, 4.1.7, A.7

DGS, 4.1.6, 4.1.7, 4.2.8, 4.2.9, 4.4.4, 4.4.5, 4.5.3, 4.6.5, C.2.3.1, C.2.3.2.4, G.2.2, G.2.3, G.2.5, G.2.6, I.2.2.2

GRC, G1-025 Protection, détection et intervention, s. 5 et 6

3.4 Les ministères veillent à ce que leur processus de gestion des incidents soit mis à l’essai et mis à jour périodiquement afin de tenir compte de l’environnement opérationnel changeant.

*Voir la note 1 au bas du tableau.

PSG, 6.1.8, 6.3

DGSM, 6.1.7, annexe C

NOSM, 6.1

NSOA, 16.1, 16.10

GRC, G1-025 Protection, détection et intervention, s. 6.1, 6.4

PSG, 4.1.7

DGS, 4.1.7, 4.4.5, G.2.2.6, G.2.6

GRC, G1-025 Protection, détection et intervention, s. 6.1, 6.4

3.5 Les ministères veillent à ce qu’une formation, ainsi que des outils, pertinents et suffisants soient disponibles pour permettre l’élaboration, la mise en œuvre et la gestion des mesures de protection de sécurité matérielle.

PSG, 3.3, 3.5

DGSM, 6.1.20, 6.1.30, annexe C

NSOA, 15

GRC, G1-025 Protection, détection et intervention, s. 6.1.6

PSG, A.8

DGS, 4.4.2, 4.5.2, H.2.2

GRC, G1-025 Protection, détection et intervention, s. 6.1.6

4. Surveillance

Des processus pangouverne-mentaux et ministériels sont en place pour surveiller la conformité des ministères aux exigences du cadre de politique du Conseil du Trésor.

4.1 Les ministères surveillent leur conformité aux exigences en matière de sécurité matérielle en vertu de la Politique sur la sécurité du gouvernement du Conseil du Trésor et informent le Secrétariat des écarts constatés.

PSG, 6.1.8, 6.2.2, 6.2.3, 6.3

DGSM, 6.2.2

PSG, 4.1.10

DGS, 4.1.7, 4.4.4, C.2.6

4.2 Le Secrétariat surveille l’efficacité et le respect des exigences en matière de sécurité matérielle énoncées dans le cadre de politique du Conseil du Trésor et fait rapport de cette surveillance.

PSG, 6.3

DGSM, 6.2.4

Favorise la conformité à :

PSG, 5.12.1, 5.12.2

Note 1 : Au cours de l’étape d’examen, l’audit a permis d’évaluer les processus ministériels de gestion des incidents en place au 30 juin 2017 en fonction des instruments de politique pertinents des POCS en vigueur à ce moment.

Au cours de l’étape d’établissement du rapport de l’audit, la nouvelle Politique sur la sécurité du gouvernement du Conseil du Trésor indiquait expressément que la gestion des événements de sécuritéNote de bas de page 34 était l’une des huit mesures de sécurité du gouvernement. De nouvelles procédures obligatoires pour la gestion des événements de sécurité ont également été publiées dans la Directive sur la gestion de la sécurité renouvelée du Secrétariat.

Afin de tenir compte de ce changement, certaines des constatations observées en vertu des critères 3.3 et 3.4 n’ont pas été incluses dans le présent rapport, puisqu’elles se rapportent maintenant au secteur plus vaste de la gestion des événements liés à la sécurité telle que défini dans le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé. Toutefois, il convient de noter que toutes les constatations détaillées au titre des critères 3.3 et 3.4 ont été communiquées aux ministères participants au cours de l’étape d’examen de l’audit.

Annexe D : Recommandations par ministère et cote de risque

Le tableau suivant comprend les ministères auxquels les recommandations de l’audit s’appliquent ainsi que la cote de risque élevé, moyen ou faible attribuée pour chacune des recommandations. La détermination des cotes de risque est fondée sur les priorités relatives des recommandations et la mesure dans laquelle les recommandations indiquaient le non-respect des politiques du Conseil du Trésor. Les noms complets des principaux organismes chargés de la sécurité et des grands et petits ministères se trouvent à l’annexe B.

Recommandation Les ministères auxquels cette recommandation s’appliqueNote de bas de page 35 Niveau de prioritéNote de bas de page 36

1. Le Secrétariat et la GRC devraient établir des mécanismes officiels pour veiller à ce que leurs instruments de politique pangouvernementaux respectifs à l’appui de la sécurité matérielle soient examinés périodiquement et mis à jour en temps opportun à l’avenir.

  • À titre d’exemple, de tels mécanismes pourraient comprendre un plan ou une stratégie officiellement approuvé décrivant les processus, les rôles, les responsabilités et les échéances pour l’examen et la mise à jour des instruments de politique, ainsi qu’une évaluation de la capacité d’appuyer l’achèvement des examens et des mises à jour. Le fait de lier ces plans aux ententes de rendement et/ou aux ordres du jour des prochaines réunions d’un comité de gouvernance pourrait permettre de veiller à ce que ces plans soient mis en œuvre

S'applique aux possibilités d'amélioration déterminées au titre du sous-critère d'audit 1.2.2

Secrétariat, GRC

Faible

2. Le Secrétariat et la GRC devraient :

  1. en consultation avec la collectivité de la sécurité du gouvernement, évaluer les besoins pangouvernementaux en matière d’orientation sur la gestion du changement (tout en respectant les contextes opérationnels ministériels individuels) et en établir l’ordre de priorité afin de contribuer à la mise en œuvre efficace des exigences renouvelées en matière de sécurité matérielle conformément à l’ensemble des politiques sur la sécurité du Conseil du Trésor en vigueur
  2. émettre les directives supplémentaires requises pour répondre à ces besoins

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 1.2

Secrétariat, GRC

Élevé

3. SPAC devrait continuer de consulter régulièrement les ministères clients et les autres principaux organismes chargés de la sécurité afin de déterminer les risques, les besoins et les priorités en matière de sécurité de l’immeuble de base.

S'applique aux possibilités d'amélioration déterminées au titre du sous-critère d'audit 1.3.1

SPAC

Moyen

4. SPAC devrait finaliser la mise en œuvre de son approche axée sur les risques pour effectuer les EMR de l’immeuble de base et les tenir à jour.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 1.4.1 et 1.4.3

SPAC

Moyen

5. Le Secrétariat et la GRC devraient veiller à ce que leurs comités de gouvernance de la sécurité coordonnent régulièrement leurs activités pangouvernementales de sécurité matérielle (comme au moyen de rapports de situation périodiques).

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 1.1

Secrétariat, GRC

Faible

6. Le Secrétariat et la GRC devraient veiller à ce que les comités de gouvernance dont ils sont responsables concernant la sécurité matérielle pangouvernementale assurent le suivi et la surveillance constante de leurs décisions et initiatives.

S'applique aux possibilités d'amélioration déterminées au titre du sous-critère d'audit 1.1.3

Secrétariat, GRC

Moyen

7. Le Secrétariat et la GRC, en collaboration avec les comités de gouvernance interministériels pertinents des petits ministères (comme le comité des chefs des organismes fédéraux), devraient évaluer conjointement la composition des divers comités de gouvernance appuyant la sécurité matérielle pangouvernementale pour assurer une représentation adéquate des petits ministères.

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 1.1

Secrétariat, GRC

Moyen

8. La GRC devrait veiller à ce que ses comités de gouvernance (y compris les groupes de travail) qui appuient la sécurité matérielle pangouvernementale aient des cadres de référence officiellement approuvés et documentés qui définit clairement leurs mandats, rôles, responsabilités et obligations de rendre compte respectifs. Ces cadres de référence devraient également être communiqués à tous les membres des comités de gouvernance pertinents.

S'applique aux possibilités d'amélioration déterminées au titre du sous-critère d'audit 1.1.2

GRC

Faible

9. Sous la direction du Secrétariat, le CMSIGC devrait finaliser le plan de travail pour les principaux organismes chargés de la sécurité et les services internes intégrés en matière de sécurité et veiller à ce que toutes les priorités stratégiques en matière de sécurité matérielle soient cernées. Le comité devrait également mettre en place des mécanismes pour tenir à jour régulièrement ce plan et tirer parti du CCSM dans le cadre du processus.

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 1.3

Secrétariat, GRC

Élevé

10. Sous la direction du Secrétariat, le CMSIGC devrait donner suite à son engagement de mobiliser régulièrement le CS SMA et d’autres comités pertinents au niveau des administrateurs généraux sur les priorités stratégiques des principaux organismes chargés de la sécurité (y compris les priorités en matière de sécurité matérielle).

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 1.3

Secrétariat

Élevé

11. Le Secrétariat devrait finaliser et mettre en œuvre son CMRS du GC en consultation avec d’autres principaux organismes chargés de la sécurité ainsi qu’avec des organisations de services internes intégrés, des ministères et la collectivité de la sécurité du gouvernement. Le CMRS du GC devrait couvrir la surveillance de la conformité avec le cadre des politiques sur la sécurité du Conseil du Trésor, ainsi que la surveillance de l’efficacité du cadre des politiques, et l’établissement de rapports à ces sujets.

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 4.2

Secrétariat

Moyen

12. Les ministères devraient veiller à ce que les comités de gouvernance appuient activement les activités de sécurité matérielle en se réunissant régulièrement pour discuter des sujets connexes et en donnant systématiquement suite aux initiatives à cet égard.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 2.1.1 et 2.1.3

ACIA, ACC, CRTC, CISR

Élevé

13. Les ministères devraient veiller à ce que les rôles, les responsabilités et les rapports hiérarchiques à jour soient officiellement communiqués à tous les intervenants qui participent aux activités de sécurité matérielle, conformément au cadre des politiques sur la sécurité du Conseil du Trésor.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 2.1.1 et 2.1.2, et aux critères d’audit 2.2 et 3.5

Tous les grands et petits ministèresNote de bas de page 37

Élevé

14. Les ministères devraient régulièrement (au moins une fois par année) examiner leur PSM afin de veiller à ce qu’il soit à jour et conforme aux attentes du cadre des politiques sur la sécurité du Conseil du Trésor.

S'applique aux possibilités d'amélioration déterminées au titre du critère d'audit 2.3

Tous les grands et petits ministères

Élevé

15. Les ministères devraient établir des cadres officiels de surveillance et d’établissement de rapports afin d’évaluer périodiquement leur conformité au cadre des politiques sur la sécurité du gouvernement et l’efficacité globale de leur fonction de sécurité matérielle (y compris les mesures de sécurité matérielle).

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 2.3.3 et 3.2.2, et du critère d’audit 4.1

Tous les grands et petits ministères

Élevé

16. [Caviardé]

[Caviardé]

[Caviardé]

17. Les ministères devraient établir des processus officiels pour veiller à ce que les mesures de sécurité matérielle recommandées dans les EMR soient approuvées par la haute direction et mises en œuvre de façon uniforme dans le contexte de l’environnement de risque et selon le niveau de tolérance du ministère, et en consultation avec tous les intervenants pertinents.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 3.2.1 et 3.3.1

ACIA, RCAANC et SAC, CRTC, CISR, BAC

Élevé

18. Les ministères devraient établir un processus officiel pour enquêter sur les incidents et rendre compte des résultats de ces enquêtes à la haute direction. Dans le cadre de ce processus, les ministères devraient surveiller régulièrement la mise en œuvre des recommandations découlant d’enquête et en rendre compte.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 3.3.3 et 3.4.2

ACIA, RCAANC et SAC, ISDE, CRTC, CISR, BAC

Moyen

19. Les ministères devraient veiller à ce que leurs processus de signalement des incidents et d’enquête soient mis en pratique de façon uniforme. À titre d’exemple, les ministères pourraient envisager de confier officiellement à leur dirigeant principal de la sécurité la tâche de surveiller régulièrement les incidents antérieurs, au moyen d’échantillonnage, afin d’évaluer le respect des processus ministériels et de rendre compte de ces évaluations à la haute direction.

S'applique aux possibilités d'amélioration déterminées au titre des sous-critères d'audit 3.3.2, 3.3.3 et 3.4.2

ACIA, RCAANC et SAC, ISDE, CRTC, CISR, BAC

Faible

Annexe E : Rôles et responsabilités des principaux organismes chargés de la sécurité et de l’organisme central

Principaux ministères Résumé des rôles et des responsabilités en matière d’appui à la sécurité matérielle à l’échelle du gouvernement

Le Conseil du Trésor et le Secrétariat

(organisme central/centre de politiques)

Les rôles et responsabilités du Conseil du Trésor et de son Secrétariat sont décrits dans la Loi sur la gestion des finances publiques et dans la Politique sur la sécurité du gouvernement du Conseil du Trésor. Les responsabilités principales du Conseil du Trésor et du Secrétariat à l’appui de la sécurité matérielle à l’échelle du gouvernement sont résumées ci-dessous :

  • En vertu de l’article 7 de la Loi sur la gestion des finances publiques, le Conseil du Trésor a le pouvoir d’émettre une politique et des directives sur la sécurité pour le gouvernement du Canada. Pour sa part, le Conseil du Trésor a délégué au président du Conseil du Trésor le pouvoir de modifier ces directives au besoin. Ce pouvoir comprend celui d’émettre et de modifier des normes et orientations connexes dans le secteur de la sécurité matérielle. En tant qu’organe administratif du Conseil du Trésor relevant de son président, le Secrétariat est l’organisme central responsable de l’élaboration et de la tenue à jour d’instruments de politiques à l’échelle du gouvernement dans ce secteur
  • En vertu de la Politique sur la sécurité du gouvernement, le Secrétariat est responsable de ce qui suit :
    • établir la gouvernance pangouvernementale de la Politique sur la sécurité pour déterminer l’orientation et les priorités stratégiques et assurer la coordination pangouvernementale des priorités, des plans et des activités en matière de sécurité
    • établir et surveiller une approche de la gestion de la sécurité dans l’ensemble du gouvernement en tant qu’élément-clé de toutes les activités de gestion, en s’assurant de la conduite des examens périodiques de l’efficacité des services de soutien de la sécurité, afin de veiller à ce qu’ils continuent de satisfaire aux besoins du gouvernement dans son ensemble
    • exercer le rôle de leadership stratégique, offrir des conseils et une orientation sur l’ensemble des questions liées à la sécurité du gouvernement
    • assurer la surveillance et la coordination stratégiques dans la gestion des événements liés à la sécurité qui peuvent entraîner des incidences sur l’ensemble du gouvernement

Gendarmerie royale du Canada

(principal organisme chargé de la sécurité)

La GRC, en tant que principal organisme responsable de la sécurité matérielle, est responsable, en vertu de la Politique sur la sécurité du gouvernement, d’exercer un rôle de leadership et d’offrir des conseils et une orientation concernant les questions liées à la sécurité matérielle.

Services publics et Approvisionnement Canada

(principal organisme chargé de la sécurité)

SPAC est désigné comme principal organisme chargé de la sécurité à l’article 5.9 de la Politique sur la sécurité du gouvernement. SPAC est responsable de fournir des services internes intégrés pour la sécurité de l’immeuble de base pour les bureaux polyvalents sous sa responsabilité.

Bureau du Conseil privé

(principal organisme chargé de la sécurité)

Le BCP est désigné comme principal organisme chargé de la sécurité à l’article 5.7 de la Politique sur la sécurité du gouvernement. Le BCP est responsable de ce qui suit :

  • établir l’orientation stratégique concernant la sécurité des renseignements confidentiels du Cabinet
  • veiller à ce que les objectifs en matière de sécurité nationale se reflètent dans la gouvernance pangouvernementale de la Politique de sécurité
  • fournir des conseils et une orientation sur la mise en œuvre des niveaux de sécurité dans les situations d’urgence et de menace accrue
  • fournir un leadership stratégique afin de coordonner les réponses aux enjeux en matière de sécurité opérationnelle du gouvernement ayant une importance nationale, intergouvernementale ou internationale
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :