Audit interne horizontal de la sécurité matérielle dans les grands et petits ministères

Pourquoi est-ce important

Les événements récents liés à la sécurité^{Note de bas de page 2} survenus dans le monde soulignent l’importance d’avoir en place une sécurité matérielle efficace pour aider à protéger adéquatement les personnes, l’information et les biens. [Caviardé], des manifestants qui accèdent à des audiences de l’Office national de l’énergie^{Note de bas de page 3} et à divers bureaux des Affaires autochtones et du Nord Canada^{Note de bas de page 4} en 2016 ainsi que la fusillade sur la Colline du Parlement en 2014^{Note de bas de page 5} montrent que le Canada n’est pas à l’abri des menaces à la sécurité.^{Note de bas de page 6}

Le gouvernement du Canada emploie environ 220 000 personnes au sein de l’administration publique centrale,^{Note de bas de page 7} gère plus de 86 milliards de dollars de biens non financiers^{Note de bas de page 8} et possède ou loue plus de 38 000 immeubles.^{Note de bas de page 9} Bien que les différents ministères puissent faire face à des menaces différentes selon leurs activités, leur emplacement et leurs biens, tous les ministères fédéraux pourraient faire face à des préjudices importants en matière de perte de confidentialité et d'intégrité, et d'indisponibilité des employés, de l’information et des biens si la sécurité matérielle devait être compromise.^{Note de bas de page 10} Les répercussions pourraient être aggravées par les interdépendances croissantes entre les ministères, comme le recours à des services internes intégrés ou le partage de locaux.

Dans ce contexte, des cadres de gouvernance complets et solidement intégrés, ainsi que des processus ministériels appuyant la sécurité matérielle, sont essentiels pour aider à protéger adéquatement les employés, l’information et les biens du gouvernement contre toute compromission.

Principales constatations

Conclusion

En général, l’audit a révélé un besoin d’apporter des améliorations aux cadres de gouvernance pangouvernementaux et ministériels, ainsi qu’aux processus de sécurité matérielle en place au sein des ministères.

Bien que les principaux organismes chargés de la sécurité se soient acquittés de leurs responsabilités de base à l’appui de la sécurité matérielle à l’échelle du gouvernement, plusieurs possibilités d’amélioration ont été relevées en ce qui concerne les éléments suivants :

• la mise à jour des instruments de politique
• les services liés à la sécurité de l’immeuble de base
• la coordination et le fonctionnement des comités interministériels de gouvernance
• la planification stratégique des priorités des principaux organismes chargés de la sécurité
• les cadres de surveillance et d’établissement de rapports

Au sein des ministères, il y avait aussi plusieurs possibilités d’améliorer les cadres de gouvernance de la sécurité matérielle en ce qui concerne :

• le niveau de participation des comités de gouvernance
• la communication des rôles et des responsabilités (en particulier dans les bureaux régionaux)
• la tenue à jour des PSM et leur harmonisation avec l’orientation émise par les principaux organismes chargés de la sécurité
• les cadres de surveillance et d’établissement de rapports

Enfin, des lacunes [Caviardé] ont été relevées dans les processus ministériels de sécurité matérielle :

• [Caviardé]
• [Caviardé]
• [Caviardé]
• le signalement des incidents
• les enquêtes sur les incidents
• le suivi des recommandations issues d’enquêtes antérieures

Sécurité matérielle au sein du gouvernement du Canada

La sécurité matérielle, qui constitue l’une des huit mesures de sécurité^{Note de bas de page 13} dans le secteur plus vaste de la sécurité du gouvernement, vise à fournir une assurance raisonnable que les personnes, l’information et les biens sont adéquatement protégés, ce qui facilite la prestation des programmes, des services et des activités du gouvernement. Pour ce faire, if faut définir, documenter, mettre en œuvre, évaluer, surveiller et tenir à jour les exigences, les pratiques et les mesures de sécurité matérielle à toutes les étapes du cycle de vie de la gestion des biens immobiliers et du matériel.

Plus précisément, la sécurité matérielle renvoie à l’utilisation de mesures de sécurité^{Note de bas de page 14} (les portes d’entrée dans les bureaux du gouvernement, les gardes de sécurité, les classeurs verrouillés, les caméras, les alarmes et bien d’autres) pour empêcher ou retarder l’accès non autorisé aux employés, à l’information et aux biens, et pour détecter et signaler les accès non autorisés tentés ou réels.

La sécurité matérielle repose sur d’autres aspects d’une fonction de sécurité ministérielle et la complète. Finalement, pour que la protection des personnes, de l’information et des biens soit efficace, les mesures de sécurité matérielle doivent être adaptées aux ministères et intégrées aux autres mesures de sécurité énoncées dans la Politique sur la sécurité du gouvernement du Conseil du Trésor. Par exemple, l’efficacité des portes d’entrée où se fait le contrôle de l’accès dépend de l’intégrité du processus de délivrance des cartes d’accès aux personnes ayant la cote de sécurité appropriée (filtrage de sécurité). L’efficacité d’autres mesures de sécurité, telles que la sécurité des technologies de l’information, repose à son tour sur les mesures de protection de la sécurité matérielle (comme restreindre efficacement l’accès aux salles de serveurs). De même, la réussite de l’intervention à l’échelle des ministères et/ou du gouvernement face à certains incidents ou événements de sécurité (gestion des événements de sécurité) dépend de l’efficacité des mesures de sécurité matérielle (les caméras, les alarmes, les gardes de sécurité et bien d’autres) afin de détecter de tels incidents ou événements et de les signaler en temps utile aux autorités compétentes.

Bien que la sécurité matérielle des ministères incombe en fin de compte aux administrateurs généraux, il convient de noter que la responsabilité de la sécurité du gouvernement dans son ensemble est partagée entre plusieurs intervenants (les organismes centraux, les principaux organismes chargés de la sécurité, les organisations de services internes intégrés^{Note de bas de page 15} et les ministères).

Les principaux organismes chargés de la sécurité assument une fonction de leadership et de soutien en ce qui concerne la sécurité du gouvernement et contribuent à l’atteinte des objectifs des instruments de politique sur la sécurité du gouvernement. Bien que leurs responsabilités particulières varient, les principaux organismes chargés de la sécurité partagent également les responsabilités de fournir des conseils, des orientations et des services pour appuyer les activités de sécurité ministérielles.

Les principaux organismes responsables de la sécurité matérielle^{Note de bas de page 16} sont les suivants :

• le Conseil du Trésor et son Secrétariat pour leurs rôles stratégiques en tant qu’organisme central
• la Gendarmerie royale du Canada (GRC), en tant que principal organisme responsable de la sécurité matérielle
• Services publics et Approvisionnement Canada (SPAC) pour son rôle en matière de sécurité de l’immeuble de base^{Note de bas de page 17} assuré en tant qu’organisation de services internes intégrés
• le Bureau du Conseil privé (BCP) pour son rôle en matière de sécurité nationale

Cadre des politiques sur la sécurité matérielle

Le cadre des politiques sur la sécurité du Conseil du Trésor, qui énonce les exigences en matière de sécurité matérielle, vise à s’assurer que les administrateurs généraux gèrent efficacement les activités de sécurité au sein des ministères tout en contribuant à la gestion efficace de la sécurité à l’échelle du gouvernement. Au cours de l’audit, le Secrétariat du Conseil du Trésor du Canada (le Secrétariat) a renouvelé ce cadre et a rationalisé les instruments de politique afin d’offrir une plus grande souplesse aux ministères.^{Note de bas de page 18} Après examen, il a été déterminé que le cadre des politiques renouvelé n’annule pas les exigences du cadre des politiques précédent sur lequel se fondait cet audit.^{Note de bas de page 19}

Le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé est entré en vigueur le 1^er juillet 2019 et comprend les instruments suivants pertinents à la sécurité matérielle :

• la Politique sur la sécurité du gouvernement du Conseil du Trésor
• la Directive sur la gestion de la sécurité du Secrétariat (comprend les « Procédures obligatoires relatives aux mesures de sécurité matérielle »)

Conformément à la Politique sur la sécurité du gouvernement récemment renouvelée, il incombe à la GRC d’exercer un rôle de leadership et d’offrir des conseils et une orientation concernant les questions liées à la sécurité matérielle. Conformément à cette responsabilité, entre 1998 et 2014, la GRC a émis une orientation technique sur la sécurité matérielle pour compléter le cadre des politiques sur la sécurité du Conseil du Trésor et soutenir les activités de sécurité ministérielles.^{Note de bas de page 20} La GRC procède actuellement à la mise à jour d’une partie de son orientation afin de s’harmoniser avec le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé.

Constatation 1 : La gouvernance à l’échelle pangouvernementale

Une gouvernance efficace de la sécurité, tant au sein des ministères que dans l’ensemble du gouvernement, est l’un des résultats escomptés de la Politique sur la sécurité du gouvernement du Conseil du Trésor. Dans le cadre de cette politique, le Secrétariat est responsable de l’établissement d’une gouvernance pangouvernementale de la Politique sur la sécurité. Cette responsabilité comprend l’établissement d’une orientation et de priorités stratégiques, ainsi que la coordination pangouvernementale des priorités, des plans et des activités en matière de sécurité. Les principaux organismes chargés de la sécurité doivent participer à la gouvernance pangouvernementale de la Politique sur la sécurité (dont la formulation de conseils sur la mise en œuvre de la politique aux ministères). Enfin, les organisations de services internes intégrés sont responsables d’établir une gouvernance afin de superviser les questions liées à la sécurité pour les services internes intégrés qu’elles fournissent.

Compte tenu de la complexité des activités du gouvernement fédéral, des divers intervenants concernés, des responsabilités partagées et de la diversité des menaces et des risques auxquels sont confrontés les ministères, une gouvernance clairement définie et intégrée à l’échelle du gouvernement est essentielle à la coordination efficace des activités de sécurité matérielle.

L’audit visait à déterminer si le Secrétariat et les principaux organismes chargés de la sécurité sélectionnés, ainsi que les organisations de services internes intégrés sélectionnées, ont assumé leurs responsabilités en matière de gouvernance de la sécurité matérielle en vertu de la Loi sur la gestion des finances publiques et de la Politique sur la sécurité du gouvernement. À l’échelle du gouvernement, l’audit portait sur les aspects de gouvernance suivants : les instruments de politique, les initiatives soutenant les ministères, les structures de comité, la planification stratégique et les cadres de surveillance et d’établissement de rapports.

Le Secrétariat et la GRC ont publié des instruments de politique afin de fournir une orientation pangouvernementale sur la sécurité matérielle. Après plusieurs années, les instruments du Secrétariat ont été révisés et le travail pour mettre à jour l’orientation technique de la GRC est en cours.

Conformément aux responsabilités comprises dans son mandat, le Secrétariat a publié des instruments de politique sur son site Web afin d’appuyer l’approche pangouvernementale en matière de sécurité matérielle. Au cours de l’audit, les principaux instruments élaborés par le Secrétariat pour donner une orientation pangouvernementale quant aux rôles, responsabilités et exigences pour la sécurité matérielle comprenaient : la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité (en vigueur depuis juillet 2019), y compris les « Procédures obligatoires relatives aux mesures de sécurité matérielle », la Directive sur la gestion de la sécurité ministérielle (maintenant archivée) et la Norme opérationnelle sur la sécurité matérielle (maintenant archivée).

Au moment de l’étape d’examen de l’audit, le cadre des politiques sur la sécurité du Conseil du Trésor n’avait pas été mis à jour depuis plusieurs années. Les principales raisons évoquées par les représentants du Secrétariat pour l’expliquer étaient : le besoin d’une analyse détaillée pour améliorer la clarté des exigences, la nécessité de se recadrer avec les priorités émergentes (y compris la nouvelle Politique sur les services et le numérique) et un changement au sein de la haute direction du Secrétariat. Cependant, le Secrétariat était sur le point de renouveler ce cadre et a terminé ce projet d’envergure pendant l’étape de production du rapport de l’audit en 2019. Dans le cadre du processus, le Secrétariat a demandé à divers intervenants de l’ensemble de la collectivité de la sécurité du gouvernement de formuler des commentaires, dont les petits ministères, les comités de gouvernance interministériels, les organisations de services internes intégrés ainsi que d’autres principaux organismes chargés de la sécurité. Les instruments de politique provisoires ont également été largement accessibles sur l’intranet du gouvernement fédéral (GCpedia) tout au long du processus, aux fins de consultation, afin de mobiliser les ministères et de les aider à se préparer à la transition.

Pendant la transition vers le nouveau cadre des politiques sur la sécurité du Conseil du Trésor, il existe un risque inhérent que ses nouvelles exigences rationalisées ne soient pas adéquatement mises en œuvre par les ministères. Les représentants interrogés au Secrétariat en sont conscients et ont mentionné que des travaux sont en cours pour publier une orientation sur la gestion du changement à l’appui des exigences en matière de sécurité matérielle actuellement en vigueur.

Conformément aux responsabilités qui lui incombent en vertu de la Politique sur la sécurité du gouvernement, la GRC, en tant que principal organisme responsable de la sécurité matérielle, a également publié plusieurs lignes directrices techniques sur la sécurité matérielle sur son site Web. Toutefois, comme pour les instruments de politique du Secrétariat, elles n’avaient pas été mises à jour ces dernières années, dont une en particulier qui avait été publiée il y a 20 ans. Plusieurs ministères visés par l’audit ont soulevé cette question, et les représentants de la GRC interrogés ont expliqué que sa capacité limitée à remplir son rôle de principal organisme chargé de la sécurité était le principal défi à cet égard. Des travaux sont en cours pour mettre à jour le Guide d’équipement de sécurité, que la GRC considère comme l’orientation technique sur la sécurité matérielle la plus utile pour la collectivité de la sécurité. De plus, des représentants de la GRC ont indiqué qu’un plan stratégique était en cours d’élaboration pour un examen et une mise à jour prévus de l’ensemble de ses directives techniques sur la sécurité matérielle.

Le risque que les rôles, les responsabilités, les attentes et les exigences ne soient pas clairement compris et mis en œuvre serait réduit si des instruments de politique pangouvernementaux sur la sécurité matérielle et une orientation technique étaient largement communiqués, harmonisés et régulièrement tenus à jour pour répondre aux besoins des intervenants. De cette façon, l’état de préparation du gouvernement fédéral ainsi que sa résilience aux perturbations seraient accrus.

Pour compléter les instruments de politique sur la sécurité à l’échelle du gouvernement, les principaux organismes chargés de la sécurité ont également apporté un soutien aux ministères dans le secteur de la sécurité matérielle. Le soutien apporté à la sécurité de l’immeuble de base^{Note de bas de page 24} pourrait être amélioré en ce qui concerne la mise à jour des EMR,^{Note de bas de page 25} ainsi que la consultation pour déterminer les risques, les besoins et les priorités.

En plus de fournir une orientation et des conseils techniques officiels, les principaux organismes chargés de la sécurité partagent la responsabilité de fournir des services à l’appui des activités quotidiennes en matière de sécurité des ministères (voir l’annexe E).

Pour s’acquitter de cette responsabilité, les principaux organismes chargés de la sécurité ont entrepris diverses initiatives générales liées à la sécurité matérielle. Par exemple, le Secrétariat, SPAC et la GRC ont tous apporté un soutien quotidien aux activités de sécurité ministérielles (dont la sécurité matérielle) en répondant aux demandes de renseignements reçues dans les comptes de courriel génériques établis à cette fin. De façon ponctuelle, le Secrétariat a également examiné les plans de sécurité ministériels (PSM) (y compris les mesures de sécurité matérielle) et fourni une rétroaction à ce sujet, à la demande des ministères. Par l’intermédiaire de son Centre d’excellence en sécurité,^{Note de bas de page 26} le BCP a tenu des séances d’information avec des professionnels de la sécurité nouvellement nommés afin de les informer de ses diverses initiatives qui appuient la sécurité dans l’ensemble du gouvernement. En outre, le Secrétariat a indiqué que sa Division de la Politiques sur la sécurité du gouvernement rencontre les dirigeants principaux de la sécurité nouvellement nommés pour les informer de leurs responsabilités en matière de politiques. Pour appuyer la collectivité fonctionnelle de la sécurité, des sommets annuels sur la sécurité (portant sur des sujets liés à la sécurité matérielle certaines années) ont été tenus et organisés conjointement par le Secrétariat, le BCP et Sécurité publique Canada. Ces événements visaient à sensibiliser les professionnels de la sécurité de l’ensemble du gouvernement aux nouvelles initiatives de sécurité, à échanger des connaissances et à leur offrir la possibilité de tisser des réseaux.

En ce qui concerne la sécurité de l’immeuble de base, SPAC a fourni plusieurs services internes intégrés pour appuyer les ministères dans ce domaine; toutefois, des possibilités d’amélioration ont été ciblées. Dans le cadre des responsabilités comprises dans son mandat, SPAC a géré l’approvisionnement de services de garde de sécurité, créé une adresse électronique générique pour interagir avec les membres de la collectivité de la sécurité qui avaient des questions ou qui avaient besoin d’avertir SPAC des incidents survenus dans les immeubles, et a réalisé des EMR liées aux immeubles de base. Toutefois, au cours de l’audit, il a été constaté que même si SPAC avait mis en place des mécanismes pour suivre la réalisation des EMR dans les immeubles de base, il y a eu des cas où ces mécanismes n’ont pas été mis à jour à la fréquence prévue par le Ministère (tous les cinq ans). [Caviardé] Les représentants de SPAC ont indiqué que certaines EMR de l’immeuble de base nécessitent des mises à jour plus fréquentes que d’autres et qu’un nouveau modèle axé sur les risques est en voie de mise en œuvre pour améliorer la planification des mises à jour. De plus, des représentants de certains ministères interrogés dans le cadre de l’audit ont mentionné avoir connu des difficultés au moment d’obtenir des copies des EMR de l’immeuble de base pour leurs installations. Les ministères ont besoin de l’information provenant des EMR de l’immeuble de base de SPAC pour éclairer l’élaboration de leurs propres EMR. Les représentants de SPAC ont indiqué qu’une présentation avait été faite depuis pour aviser la collectivité de la sécurité qu’elle pouvait obtenir des copies des EMR en communiquant avec le groupe des opérations de la sécurité des immeubles de base de SPAC, à l’adresse électronique générique pour la communication avec la communauté et les enquêtes sur les EMR. Au moment de l’audit, SPAC n’avait pas démontré avoir mis en place un processus continu pour s’assurer que les ministères soient constamment informés de ses divers services et des mécanismes disponibles pour collaborer sur des questions de sécurité liées à l’immeuble de base (comme la façon d’obtenir une copie d’une EMR de l’immeuble de base). SPAC n’a pas non plus démontré qu’il avait consulté d’autres ministères et principaux organismes chargés de la sécurité pour déterminer les risques et les priorités liés à la sécurité des immeubles de base.

Dans un contexte où les exigences ont maintenant été considérablement simplifiées, les ministères s’appuieront probablement de plus en plus sur les services, les conseils et l’orientation fournis par les principaux organismes chargés de la sécurité pour naviguer à travers les nouvelles flexibilités comprises dans les exigences à niveau plus élevé du cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé.

Des comités interministériels de gouvernance de la sécurité étaient en place et appuyaient activement la sécurité matérielle. Les activités des comités pourraient être améliorées davantage.

Dans un organisme complexe comme le gouvernement fédéral, où plusieurs intervenants partagent diverses responsabilités pour assurer une sécurité matérielle adéquate, la gouvernance interministérielle est essentielle pour coordonner les efforts de manière efficace. Le Secrétariat et la GRC partagent les principales responsabilités pour l’établissement d’une gouvernance pangouvernementale dans ce secteur (voir l’annexe E).

Le Secrétariat et la GRC ont mis sur pied des comités de gouvernance interministériels appuyant une approche pangouvernementale de la sécurité matérielle. Le Secrétariat, pour sa part, a mis sur pied des comités de gouvernance stratégiques ayant de vastes mandats visant à fournir des directives à l’appui de la Politique sur la sécurité du gouvernement. Son comité au niveau des sous-ministres adjoints est coprésidé par le BCP.^{Note de bas de page 27} Par ailleurs, la GRC a créé le Comité consultatif sur la sécurité matérielle (CCSM), un comité de travail qui cherche exclusivement à apporter un soutien pangouvernemental à la sécurité matérielle. Tous ces comités ont manifesté leur appui à une approche pangouvernementale de la sécurité matérielle dans le cadre de discussions périodiques. Par exemple, le CCSM a présenté plusieurs mises à jour sur ses activités aux comités de gouvernance stratégiques du Secrétariat et du BCP.

Des possibilités d’amélioration ont été cernées quant à la façon dont fonctionnent les comités susmentionnés. Certains de ces comités n’ont pas démontré qu’ils assuraient un suivi et la surveillance constante de leurs décisions. En ce qui concerne le CCSM, aucun document appuyant l’approbation de son mandat ou démontrant que les rôles et les responsabilités ont été définis et communiqués à ses divers groupes de travail n’a été trouvé. De plus, la représentation des petits ministères au sein de tous ces comités était limitée pour différentes raisons. Le Secrétariat était au courant de cette situation et a indiqué que des travaux étaient en cours pour régler cette question, en collaboration avec des représentants de petits ministères. Enfin, certains représentants des principaux organismes chargés de la sécurité interrogés ont signalé qu’une coordination accrue entre les comités interministériels de gouvernance de la sécurité (par exemple, à l’aide de mises à jour régulières du statut des activités de sécurité matérielle) serait bénéfique.

La mise en place de cadres de référence formellement approuvés et documentés pour tous les comités de gouvernance qui définissent clairement leurs mandats, rôles, responsabilités et obligations de rendre compte respectifs pourraient aider les divers intervenants concernés à collaborer de façon plus efficace et efficiente. De plus, un suivi constant des décisions des comités permettrait de veiller à ce qu’elles soient mises en œuvre comme prévu. Enfin, une coordination plus étroite entre les comités de gouvernance pourrait donner lieu à des synergies qui pourraient à leur tour renforcer davantage la sécurité matérielle dans l’ensemble du gouvernement.

Des mécanismes fondamentaux ont été mis en place pour planifier de façon stratégique des initiatives pangouvernementales qui appuient la sécurité matérielle; toutefois, les plans stratégiques n’ont pas été achevés.

Le Secrétariat est chargé d’établir une gouvernance pangouvernementale de la Politique sur la sécurité afin de déterminer l’orientation et les priorités stratégiques, ce qui comprend la coordination des priorités, des plans et des activités du gouvernement en matière de sécurité. Tous les principaux organismes chargés de la sécurité doivent participer à ce processus. En particulier, la GRC a été désignée comme étant le principal organisme chargé de la sécurité spécifiquement responsable de diriger les activités liées à la sécurité matérielle.

Dans le cadre de ses responsabilités, le Secrétariat a créé, au niveau des directeurs généraux, le Comité sur les mesures de sécurité intégrées du gouvernement du Canada (CMSIGC) afin d’agir à titre d’organisme consultatif sur l’élaboration des stratégies visant à renforcer l’efficacité des politiques, des services et des opérations connexes du gouvernement en matière de sécurité (y compris la sécurité matérielle). Tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés figurant dans la Politique sur la sécurité du gouvernement sont membres de ce comité. Le cadre de référence précise que les membres sont responsables de l’élaboration et de la surveillance des priorités sur une base annuelle afin de s’acquitter des diverses responsabilités à titre de principal organisme chargé de la sécurité et d’organisation de services internes intégrés conformément à la Politique sur la sécurité du gouvernement. Les responsabilités du président comprennent la communication des progrès réalisés quant à la mise en œuvre des priorités à l’intention d’un comité de sécurité des sous-ministres adjoints (CS SMA) interministériel mis sur pied par le Secrétariat et d’autres comités de la haute direction, le cas échéant. Le CS SMA, qui comprend tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés, est l’organe décisionnel pour les initiatives stratégiques concernant la sécurité à l’échelle du gouvernement. Son mandat consiste à fournir une orientation stratégique et à assurer un leadership pour l’élaboration, la mise en œuvre et l’évaluation continue de la Politique sur la sécurité du gouvernement. Cela comprend le soutien d’une approche intégrée axée sur les risques entre les principaux organismes chargés de la sécurité, les fournisseurs de services internes intégrés, les organismes centraux et les ministères à l’appui des objectifs de la Politique sur la sécurité du gouvernement du Canada et des opérations permanentes connexes (y compris la sécurité matérielle).

Pendant l’étape d’examen de l’audit et l’étape d’établissement du rapport, le CMSIGC a démontré que des travaux étaient en cours pour dresser un plan de travail officiel annuel conjoint entre les principaux organismes chargés de la sécurité et les organisations de services internes intégrés en matière de sécurité afin de déterminer et de suivre les progrès accomplis quant à l’atteinte des priorités stratégiques. Un plan partiellement achevé qui énumère certaines priorités en matière de sécurité matérielle, y compris l’état, les dates cibles des jalons et les produits livrables, a été fourni. Des priorités ont été définies pour tous les principaux organismes chargés de la sécurité et les organisations de services internes intégrés en matière de sécurité visés par l’audit.

L’audit a également permis de constater que le CMSIGC avait offert une séance d’information au CS SMA (en juin 2019) afin de donner un aperçu de ses objectifs et de certaines lacunes, des risques potentiels, des possibilités et des enjeux qui pourraient avoir une incidence sur la sécurité du gouvernement du Canada. Lors de cette réunion, le président du CMSIGC a présenté des tableaux de bord fictifs à utiliser à l’avenir pour déterminer et suivre les progrès accomplis quant à la réalisation des priorités stratégiques (y compris la sécurité matérielle). Le CMSIGC du GC s’est également engagé à faire participer régulièrement le CS SMA ainsi que d’autres comités au niveau des administrateurs généraux.

Une planification stratégique officielle et coordonnée à l’échelle du gouvernement aiderait à renforcer l’intégration de la gestion de la sécurité matérielle entre tous les intervenants concernés.

Bien que le Secrétariat ait surveillé la conformité et en ait rendu compte, son approche actuelle à l’égard de la surveillance ne donne pas une vue d’ensemble de la conformité avec les instruments de politique en matière de sécurité matérielle à l’échelle du gouvernement et n’évalue pas leur efficacité. Des travaux visant à combler ces lacunes sont en cours.

Le Secrétariat est chargé d’assurer la surveillance de la Politique sur la sécurité du gouvernement et de surveiller une approche de la gestion de la sécurité dans l’ensemble du gouvernement. Il s’agit notamment de procéder à des examens périodiques de l’efficacité des services de soutien à la sécurité afin de veiller à ce qu’ils continuent de répondre aux besoins du gouvernement dans son ensemble.

En ce qui concerne la surveillance de la conformité avec les exigences en matière de sécurité matérielle à l’échelle du gouvernement et la production de rapports à ce sujet, le Secrétariat a effectué des évaluations annuelles du Cadre de responsabilisation de gestion (CRG) des ministères. Toutefois, le Secrétariat a reconnu que les évaluations du CRG se limitaient à l’évaluation de certains grands ministères et organismes, et que, par conséquent, les constatations de l’évaluation n’offraient pas une vue d’ensemble de la conformité à l’échelle du gouvernement.

En outre, le Secrétariat n’a pas démontré qu’il avait suivi de près l’efficacité de son cadre des politiques sur la sécurité portant sur la sécurité matérielle et qu’il en avait rendu compte. De plus, le Secrétariat n’a pas démontré qu’il avait vérifié si les principaux organismes chargés de la sécurité s’acquittaient efficacement de leurs responsabilités en matière de sécurité matérielle conformément à la Politique sur la sécurité du gouvernement.

Cependant, au cours de l’étape d’établissement du rapport de l’audit, le Secrétariat a démontré que des travaux étaient en cours pour élaborer un cadre de mesure de rendement en matière de sécurité du gouvernement du Canada (CMRS du GC) afin de combler les lacunes dans la surveillance mentionnées précédemment. [Caviardé] Enfin, l’audit a permis de constater que le Secrétariat prévoit élaborer le CMRS du GC selon une approche progressive, qui comprendra des consultations avec la collectivité de la sécurité du gouvernement et un projet pilote dans certains ministères avant sa mise en œuvre complète.

Des cadres complets de surveillance et d’établissement de rapports à l’échelle du gouvernement, qui permettent de surveiller périodiquement l’efficacité et le respect des instruments de politique qui appuient la sécurité matérielle, aideraient à accroître la probabilité que les objectifs, les résultats escomptés et l’aboutissement de la nouvelle Politique sur la sécurité du gouvernement soient atteints.

Constatation 2 : La gouvernance à l’échelle ministérielle

La Politique sur la sécurité du gouvernement du Conseil du Trésor précise que les administrateurs généraux sont responsables de l’établissement de la gouvernance de la sécurité au sein de leur ministère. L’audit visait à déterminer si les ministères avaient assumé leurs responsabilités en matière de gouvernance conformément au cadre des politiques sur la sécurité du gouvernement en vigueur au 30 juin 2017 (voir l’annexe A). Après examen, il a été déterminé que le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé, publié en juillet 2019, n’annule pas les exigences du cadre des politiques précédent sur lequel se fondent les constatations de la présente section.^{Note de bas de page 28}

L’audit a porté sur les aspects suivants de la gouvernance ministérielle de la sécurité matérielle :

• les comités de gouvernance
• la communication des rôles et des responsabilités
• la planification de la sécurité ministérielle
• la surveillance et l’établissement de rapports

Compte tenu du retard dans la production du rapport pour le présent audit mentionné précédemment, certains ministères participants ont peut-être depuis donné suite aux constatations et aux recommandations présentées dans la présente section. Tout progrès réalisé à cet égard doit être indiqué et suivi dans les plans d’action de la direction ministériels. Les recommandations comprises dans cette section ont été formulées dans le contexte du cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé afin d’en assurer la pertinence continue.

Bien que la grande majorité des ministères aient mis sur pied des comités de gouvernance chargés de superviser les activités de sécurité matérielle, la moitié d’entre eux n’a pas démontré que ces comités participaient activement à ce secteur.

Conformément à la Directive sur la gestion de la sécurité ministérielle, les ministères devaient établir des mécanismes de gouvernance de la sécurité (tels que des comités et des groupes de travail) pour assurer la coordination et l’intégration des activités de sécurité et pour faciliter la prise de décisions.

L’audit a permis de constater que presque tous les ministères avaient mis en place des comités de gouvernance officiels dotés de vastes mandats, dont la supervision et le soutien des activités de sécurité matérielle. En tant que pratique exemplaire, l’audit a permis de constater que la moitié des grands ministères et la majorité des petits ministères avaient créé des comités ou des groupes de travail dotés de mandats spécifiquement consacrés à la sécurité ministérielle.

Toutefois, la moitié des ministères n’ont pas démontré que ces comités de gouvernance appuyaient activement les activités de sécurité matérielle, tant en discutant régulièrement de sujets liés à la sécurité matérielle lors de leurs réunions, qu’en suivant les initiatives dans ce domaine et en y donnant suite. C’était particulièrement le cas dans les ministères qui n’ont pas de comités chargés de la sécurité.

La participation active des comités de gouvernance aiderait à mieux faire connaître la sécurité matérielle au sein des ministères et à mieux intégrer les activités connexes aux autres mesures de sécurité.

Bien que les rôles et les responsabilités en matière de sécurité matérielle aient été définis dans tous les ministères, leur documentation, leur approbation et leur communication pourraient être améliorées.

La Politique sur la sécurité du gouvernement exigeait que les administrateurs généraux nomment un agent de sécurité ministériel (ASM)^{Note de bas de page 29} pour gérer le programme de sécurité ministériel. L’ASM devait faire rapport de façon fonctionnelle soit à l’administrateur général, soit au comité exécutif ministériel. De plus, les ministères devaient nommer des praticiens de la sécurité pour appuyer le programme de sécurité ministériel. Ces praticiens étaient tenus de maintenir un lien hiérarchique fonctionnel ou direct avec l’ASM. Enfin, selon la Directive sur la gestion de la sécurité ministérielle, les responsabilités, les délégations, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés du ministère détenant des responsabilités liées à la sécurité devaient être définis, documentés et communiqués aux personnes concernées.

L’audit a permis de constater que tous les ministères ont nommé un ASM et des praticiens de la sécurité responsables de la sécurité matérielle. Les rôles et les responsabilités de la plupart des principaux intervenants en matière de sécurité ont été définis dans tous les ministères, souvent par l’intermédiaire d’une politique sur la sécurité ministérielle approuvée. Dans la grande majorité des cas, les ASM et les praticiens de la sécurité devaient également assumer leurs responsabilités en matière de sécurité matérielle dans le cadre de leurs ententes de gestion du rendement. En tant que pratique exemplaire, l’audit a permis de constater que l’Agence canadienne d’inspection des aliments exigeait de ses gestionnaires et de ses employés qu’ils confirment officiellement leur compréhension de la Politique sur la sécurité du gouvernement et de la Directive sur la gestion de la sécurité ministérielle et leur engagement à leur égard. Toutefois, bien que les praticiens de la sécurité de presque tous les ministères aient des rapports hiérarchiques directs ou fonctionnels avec leur ASM, il a été noté que dans la moitié des grands et des petits ministères, les rapports hiérarchiques entre l’ASM et l’administrateur général ou le comité exécutif n’étaient pas conformes aux attentes.

Des possibilités d’amélioration en ce qui concerne la documentation, l’approbation et la communication des rôles et des responsabilités ont également été cernées dans la plupart des ministères. Par exemple, les rôles et les responsabilités précis et à jour en matière de sécurité matérielle n’ont pas été définis pour les comités de gouvernance dans la plupart des grands ministères et dans la moitié des petits ministères. De plus, les rôles et les responsabilités définis n’ont pas été approuvés de façon uniforme dans la moitié des grands ministères et des petits ministères. Dans tous les ministères qui ont attribué des rôles et des responsabilités en matière de sécurité matérielle aux employés travaillant dans les bureaux régionaux, l’audit a permis de constater que la communication entourant ces rôles et responsabilités pourrait être améliorée. Par exemple, plusieurs praticiens de la sécurité régionaux ont exprimé le désir d’obtenir un soutien accru de l’administration centrale (comme en offrant des possibilités de formation supplémentaires). Enfin, la plupart des grands et des petits ministères n’avaient pas examiné tous les rôles et responsabilités en matière de sécurité matérielle. Deux petits ministères ont indiqué qu’ils attendaient que le Secrétariat finalise le renouvellement de son ensemble de politiques avant de mettre à jour leurs propres politiques de sécurité ministérielles.

Veiller à ce que les rôles et les responsabilités à jour en matière de sécurité matérielle soient communiqués officiellement à tous les intervenants pertinents contribuerait à une meilleure compréhension des attentes et à la coordination des efforts, et aiderait à s’assurer que les responsabilités attribuées sont assumées. En outre, l’harmonisation des relations hiérarchiques des cadres supérieurs avec la Politique sur la sécurité du gouvernement contribuerait à élever le profil de sécurité au sein des ministères et à assurer une bonne coordination pendant les incidents de sécurité.

La plupart des ministères avaient un PSM global couvrant la sécurité matérielle; toutefois, le contenu des PSM n’était généralement pas conforme au processus du PSM suggéré par les lignes directrices du Secrétariat et, dans la plupart des cas, les PSM n’étaient pas régulièrement examinés et mis à jour.

Selon la Directive sur la gestion de la sécurité ministérielle, les ministères étaient tenus d’élaborer et de tenir à jour un PSM offrant une vision intégrée des exigences ministérielles en matière de sécurité (y compris la sécurité matérielle). Le but des PSM était de préciser les décisions relatives à la gestion des risques en matière sécurité et de définir les stratégies, les buts, les objectifs, les priorités et les échéanciers pour améliorer la sécurité ministérielle. Pour aider les ministères à répondre aux attentes, le Secrétariat a publié des lignes directrices sur la façon d’élaborer des PSM.

L’audit a permis de constater que tous les ministères avaient mis en place un PSM approuvé. La majorité des PSM des grands ministères et la moitié de ceux des petits ministères portaient sur les buts, les objectifs, les priorités et les échéanciers. La plupart des ministères ont également démontré qu’un processus avait été établi et suivi pour cerner et analyser les risques, y compris ceux liés à la sécurité matérielle. De plus, la plupart des ministères ont consulté les intervenants pertinents du ministère au cours de l’élaboration de leurs PSM.

En général, le contenu des PSM examinés n’était pas toujours conforme à la Ligne directrice sur l’élaboration d’un plan de sécurité ministériel du Secrétariat. Les possibilités d’amélioration à cet égard ont principalement trait à la nécessité d’inclure des détails supplémentaires en ce qui concerne les indicateurs de rendement, les stratégies de mise en œuvre et les évaluations des risques pour déterminer si les risques cernés étaient acceptables ou non. De plus, la moitié des grands ministères et la majorité des petits ministères n’ont pas démontré qu’ils avaient maintenu leur PSM en effectuant des examens et des mises à jour périodiques. Dans la moitié des petits ministères, le principal enjeu soulevé concernait le manque de ressources pour mener à bien ces examens et mises à jour.

La tenue à jour et l’harmonisation régulières des PSM avec les instruments de politique du Secrétariat aideraient les ministères à mieux faire face aux nouveaux risques à la sécurité et à clarifier les priorités. Cela permettrait également de disposer d’une base de référence plus solide au sein des ministères pour surveiller l’efficacité de leurs plans au fil du temps et pour déterminer quand et où des mesures correctives pourraient être nécessaires. Des PSM solides et à jour pourraient aussi aider les ministères à composer plus efficacement avec les enjeux de capacité en priorisant leurs ressources limitées afin d’atténuer les risques les plus élevés à la sécurité.

Les cadres de surveillance en matière de sécurité matérielle et d’établissement de rapports connexes étaient inexistants ou limités.

Les ASM étaient tenus de surveiller activement la mise en œuvre de toutes les activités de sécurité au sein de leur ministère et de recommander des mesures correctives appropriées à l’administrateur général ou au comité de la haute direction (selon le cas) pour remédier à toute lacune. Cette attente comprenait l’évaluation de l’atteinte des objectifs énoncés dans le PSM et de l’efficacité des mesures de sécurité ainsi que la communication des résultats aux comités de gouvernance appropriés.

Bien que la plupart des ministères aient mené à bien certaines activités de surveillance, celles-ci étaient généralement ponctuelles, incomplètes et informelles. [Caviardé]

La mise en place de processus officiels pour surveiller régulièrement la conformité, ainsi que l’efficacité des activités ministérielles de sécurité matérielle, et en rendre compte, aideraient à cerner de façon proactive les lacunes et à apporter les ajustements nécessaires. [Caviardé]

Constatation 3 : Processus ministériels de sécurité matérielle

En vertu de la Directive sur la gestion de la sécurité ministérielle, les praticiens de la sécurité au sein des ministères devaient choisir, mettre en œuvre et maintenir des mesures de sécurité matérielle. La Norme opérationnelle sur la sécurité matérielle du Secrétariat comprenait des exigences de base en matière de sécurité matérielle pour contrer les menaces qui pèsent sur les employés du gouvernement, les biens et la prestation des services. Les exigences de base ont été conçues pour fournir de façon constante un minimum de mesures de sécurité matérielle dans l’ensemble du gouvernement afin d’aider à atténuer les types communs de menaces auxquelles les ministères seraient confrontés. Certains ministères pourraient faire face à des menaces différentes en raison de la nature de leurs activités, de leur emplacement ou de l’attrait de leurs biens. La norme prescrit donc une approche en matière de sécurité matérielle pour aider les ministères à ajouter, le cas échéant, aux mesures de sécurité matérielle de base en fonction des menaces et des risques particuliers auxquels ils font face. La GRC a également publié diverses orientations techniques pour aider les ministères à adapter les mesures de sécurité matérielle à leurs besoins.

L’audit a mis l’accent sur les attentes énoncées dans les instruments de politique du Secrétariat et dans l’orientation technique de la GRC en vigueur au 30 juin 2017 (voir l’annexe A) et a permis d’évaluer si les ministères avaient mis en place des processus pour évaluer les menaces et les risques, déterminer et mettre en œuvre des mesures de sécurité matérielle, signaler les incidents de sécurité et enquêter sur ces derniers, et mettre en œuvre des mesures correctives à la suite d’incidents ou d’enquêtes.

Après examen, il a été décidé que le cadre des politiques sur la sécurité du Conseil du Trésor récemment renouvelé, publié en juillet 2019, n’annule pas les exigences du cadre des politiques précédent sur lequel se fondent les constatations de la présente section.^{Note de bas de page 30} Les recommandations comprises dans cette section ont été formulées dans le contexte du cadre des politiques renouvelé afin d’en assurer la pertinence continue.

Compte tenu du retard dans la production du rapport pour le présent audit mentionné précédemment, certains ministères participants ont peut-être depuis donné suite aux constatations et aux recommandations présentées dans la présente section. Tout progrès réalisé à cet égard doit être indiqué et suivi dans les plans d’action de la direction ministériels.

Bien que tous les ministères aient effectué une certaine forme d’EMR, leur portée et le niveau de rigueur nécessaire pour les élaborer et les maintenir pourraient être améliorés.

La Directive sur la gestion de la sécurité ministérielle exigeait des ministères qu’ils documentent, mettent en œuvre et maintiennent des processus de gestion systématique des risques en matière de sécurité afin d’assurer une adaptation continue à leurs besoins changeants et à leur environnement de menace. En vertu de la Norme de sécurité relative à l’organisation et l’administration du Secrétariat, les ministères devaient effectuer des EMR pour les renseignements et les biens sensibles dans le cadre de l’approche de gestion des risques en matière de sécurité. Le processus d’EMR visait à définir ce qui nécessitait une protection, à analyser et à évaluer les menaces et les risques, et à formuler des recommandations pour la gestion des risques. Des directives techniques précises sur la façon d’élaborer les EMR ont été fournies dans la Norme de sécurité relative à l’organisation et l’administration du Secrétariat et dans la Méthode harmonisée d’EMR (publiée par la GRC et le Centre de la sécurité des télécommunications du Canada). Selon la Norme opérationnelle sur la sécurité matérielle du Secrétariat, les ministères devaient fonder leur sélection et leur mise en œuvre des mesures de sécurité matérielle sur les résultats des EMR.

L’audit a permis de déterminer si les ministères avaient effectué et tenu à jour des EMR pour leurs installations conformément à la Norme de sécurité relative à l’organisation et l’administration et à la Méthode harmonisée d’EMR.

Tous les ministères ont réalisé une certaine forme d’EMR ou d’évaluations de sécurité équivalentes et, dans la plupart des cas, ont fourni aux employés une formation et des conseils pertinents sur les EMR avant de réaliser les évaluations. De plus, tous les grands ministères et la moitié des petits ministères ont consulté des intervenants internes pertinents lors de l’élaboration de ces évaluations.

[Caviardé]^{Note de bas de page 31} La plupart des ministères ont également indiqué qu’ils n’avaient pas consulté d’intervenants externes, comme les principaux organismes chargés de la sécurité, dans le cadre de leur processus d’EMR, pour obtenir des conseils et des orientations supplémentaires. [Caviardé]

[Caviardé] De solides processus d’EMR, conjugués à la mise en œuvre des recommandations d’EMR, contribuent à réduire le risque que certains secteurs des ministères soient sous-protégés par des mesures de sécurité matérielle.

La plupart des ministères avaient mis en place des processus pour mettre en œuvre des mesures de sécurité matérielle fondées sur des EMR. [Caviardé]

Après les EMR, les prochaines étapes de la gestion des risques en matière de sécurité se rapportent à l’approbation et à la mise en œuvre des mesures de protection. La Norme opérationnelle sur la sécurité matérielle du Secrétariat exige des ministères qu’ils veillent à ce que l’accès aux biens protégés et classifiés et les mesures de protection à leur égard soient fondés sur une hiérarchie des zones clairement perceptible.^{Note de bas de page 32} La norme exigeait également des ministères qu’ils contrôlent l’accès aux zones d’accès restreint au moyen de mesures de protection qui n’accorderaient l’accès qu’aux employés autorisés.

L’audit a permis de déterminer si les ministères avaient mis en place des processus pour approuver et mettre en œuvre des contrôles d’accès aux installations et la hiérarchie des zones pour protéger l’information, les biens et les employés, conformément aux EMR et à la norme susmentionnée. L’audit a aussi examiné les processus ministériels en place pour mettre en œuvre et approuver les mécanismes, les systèmes et les procédures de détection des incidents de sécurité matérielle tentés ou réussis. Dans le cadre de ces processus, l’audit permettait de s’attendre à ce que tous les intervenants pertinents au sein des ministères et des principaux organismes chargés de la sécurité aient été consultés.

Bien qu'ils ne soient pas toujours officialisés, la majorité des ministères ont mis en place des processus pour la mise en œuvre des mesures de sécurité matérielle évaluées. [Caviardé] De plus, des possibilités d'amélioration ont été constatées dans la plupart des petits ministères en ce qui concerne la consultation de tous les intervenants internes et externes concernés dans le cadre du processus de mise en œuvre des mesures de sécurité matérielle.

L’adoption de processus officiels [Caviardé] aiderait les ministères à renforcer leur capacité de protéger adéquatement leurs employés, leurs renseignements et leurs biens contre les compromissions.

En général, les processus de signalement des incidents de sécurité ont été définis et communiqués; toutefois, dans la plupart des petits ministères, ils n’ont pas été suivis de façon uniforme. Dans la majorité des ministères, l’audit n’a pas non plus permis de constater que des incidents avaient fait l’objet d’une enquête et que les résultats de ces enquêtes avaient été communiqués à la haute direction.

Dans le contexte de la sécurité matérielle, le processus d’intervention a consisté à signaler les incidents de sécurité aux responsables de la sécurité concernés et à prendre des mesures correctives immédiates et à long terme. En vertu de la Politique sur la sécurité du gouvernement, les administrateurs généraux étaient responsables de l’achèvement des enquêtes et des évaluations de l’efficacité du programme ministériel de sécurité.

L’audit a révélé que la majorité des ministères avaient entièrement défini et communiqué les processus de signalement des incidents de sécurité. Toutefois, dans la plupart des petits ministères et dans un grand ministère, ces processus n’ont pas été suivis de façon uniforme pour les incidents échantillonnés dans le cadre de l’audit.

La moitié des ministères n’avaient pas non plus défini de processus afin d’enquêter sur les incidents de sécurité et de communiquer les résultats de ces enquêtes aux intervenants concernés. De plus, la majorité des ministères n’ont pas démontré que les incidents échantillonnés dans le cadre de l’audit avaient fait l’objet d’une enquête et que les résultats de ces enquêtes avaient fait l’objet d’un rapport régulier à la haute direction. Certains ministères ont indiqué qu’ils ne jugeaient pas nécessaire de communiquer les résultats des enquêtes sur les incidents de sécurité à la haute direction. Bien que les ministères qui ont déterminé les mesures correctives nécessaires au cours des enquêtes aient mis en œuvre ces mesures dans la plupart des cas, la majorité des ministères n’ont pas établi de processus officiel pour assurer le suivi des recommandations de l’enquête.

La mise en œuvre systématique des processus de signalement et d’enquête sur les incidents de sécurité renforcerait les interventions en matière de sécurité matérielle et aiderait à déterminer les secteurs où des améliorations sont nécessaires pour les mesures de sécurité matérielle. Le suivi régulier des recommandations de l’enquête encouragerait davantage l’adoption en temps opportun de mesures correctives au sein des ministères.