Accueil Programmes Gestion des urgences Protection des infrastructures essentielles PNFIE Pratiques exemplaires

Pratiques exemplaires

Comment assurer la viabilité des infrastructures essentielles 

Pratiques exemplaires par secteur industriel

Énergie et services publics
Communications et technologie de l'information
Finances
Soins de santé
Alimentation
Eau
Transports
Sécurité
Gouvernement
Fabrication
Initiatives internationales
Questions, commentaires et préoccupations

• Avis de non-responsibilité

Comment assurer la fiabilité des infrastructures essentielles

Le Canada est tributaire des infrastructures pour assurer l'approvisionnement en biens et en services essentiels, tels que les aliments, l'eau, les transports, les communications, l'énergie, les soins de santé et les interventions d'urgence. Ces infrastructures sont essentielles au bien être économique et social du Canada, et les Canadiens ont des attentes élevées en ce qui a trait à la qualité et à la fiabilité des services que fournissent ces infrastructures. De nos jours, les infrastructures essentielles (IE) sont de plus en plus interreliées et interdépendantes en raison notamment du recours croissant à la technologie de l'information et aux nouvelles pratiques administratives, telles que l'infrastructure commune et la livraison juste-à-temps. Cette connectivité toujours croissante signifie que nous sommes de plus en plus vulnérables aux défaillances causées par les catastrophes naturelles, les actes de terrorisme ou d'autres menaces causées par l'homme.

Les propriétaires, les exploitants, les gestionnaires et les autorités de réglementation des infrastructures recherchent des outils appropriés pour les aider à prendre des décisions éclairées. Le présent document résume de façon accessible les approches indiquant ce qu'il faut faire pour assurer la fiabilité des IE. Les facteurs suivants sont communs à tous les secteurs des infrastructures et essentiels pour assurer la fiabilité des IE :

• Des mesures destinées à assurer la fiabilité des IE sont prises par tous les membres d'une organisation pour démontrer leur capacité de faire preuve de leadership et de bonne gestion.
• Les activités relatives à la fiabilité des IE devraient être considérées comme faisant partie des pratiques administratives régulières et s'appliquer à la fois aux éléments physiques et au cyberéléments.
• Pour assurer la rentabilité, toute mesure ayant trait à la fiabilité et à la sécurité des IE devrait être prise en fonction des évaluations de la vulnérabilité et de menace ainsi que des mesures de gestion des risque.
• La fiabilité des infrastructures essentielles doit être reconnue par l'organisation et être assurée par tout le personnel, de la haute direction au personnel opérationnel.
• L'information et la sensibilisation, les exercices et la formation, la communication et le partage de l'information, le contrôle continu et régulier ainsi que l'analyse et la mise à jour sont des caractéristiques des pratiques exemplaires.
• L'articulation complète et la documentation des définitions, des rôles et des responsabilités, la planification des mesures à prendre avant, pendant et après les perturbations et la planification de la reprise des activités ainsi que l'élaboration de mesures d'urgence à long terme sont des composantes nécessaires des pratiques exemplaires.

La présente section porte sur les pratiques exemplaires génériques relatives à la fiabilité des infrastructures essentielles qui sont communes à tous les secteurs. De plus, les pratiques exemplaires décrites ci dessous qui sont propres à chaque secteur et qui répondent à des besoins particuliers peuvent servir à d'autres secteurs. Il est recommandé de tenir compte de toutes les pratiques exemplaires exposées dans le présent document et non pas seulement de celles qui sont liées à son secteur particulier.

Pratiques exemplaires génériques

Les pratiques exemplaires génériques supposent que toutes les composantes ont été prises en considération pour que soient déterminés les éléments qui sont les plus fondamentaux et communs. Si nous considérons les points communs de base parmi les différents secteurs des infrastructures essentielles, nous trouvons six éléments qui sont essentiels pour assurer la continuité des services :

• Sécurité -- désigne la sécurité physique de l'infrastructure, y compris les aspects liés à la sécurité humaine.
• Soutien apporté par les cadres supérieurs -- est essentiel à la fiabilité des infrastructures essentielles, puisque c'est grâce à ce soutien que le personnel opérationnel mettra en œuvre les mesures de fiabilité des infrastructures essentielles.
• Évaluation de la vulnérabilité -- contribuera à déterminer les lacunes qui existent et à établir leur priorité.
• Gestion des risques et des mesures d'urgence -- est nécessaire pour comprendre et déterminer les besoins appropriés en matière d'atténuation et de gestion des risques.
• Sécurité informatique -- est tout aussi importante et doit être prise en considération avec la sécurité physique.
• Fiabilité des infrastructures essentielles -- est assurée lorsque les mécanismes nécessaires sont en place pour exercer une gestion efficace des risques. Ces mécanismes comprennent notamment les modalités de partage de l'information, l'identification des biens essentiels, les renseignements relatifs aux menaces, les évaluations de la vulnérabilité, l'analyse de l'interdépendance et la planification de la continuité opérationnelle.

En tenant compte de ces six éléments communs, nous devons élaborer un cadre pour mettre au point les outils nécessaires en vue d'assurer la fiabilité des infrastructures essentielles. Nous pouvons entamer ce processus en prenant en considération les principes clés qui doivent sous tendre les initiatives réalisées dans ce domaine.

Principes clés des pratiques exemplaires

Les principes clés permettent de déterminer les types d'approches qui sont nécessaires pour atteindre l'objectif. Il y a sept principes clés qui sous tendent les pratiques exemplaires relatives à la fiabilité des infrastructures essentielles et qui doivent être pris en considération collectivement et individuellement au moment d'élaborer des méthodologies pour tous les secteurs des infrastructures. Établis par le Network Reliability and Interoperability Council (NRIC), ces sept principes explicites sont les suivants :

1. Les employés mettent en œuvre les pratiques exemplaires.
2. Les pratiques exemplaires soulignent la nature d'une bonne orientation.
3. Les pratiques exemplaires tiennent compte des catégories de problèmes, et non pas des détails.
4. De nombreux organismes mettent déjà en œuvre les pratiques exemplaires.
5. Les pratiques exemplaires sont élaborées avec le consensus de l'industrie.
6. Les pratiques exemplaires doivent être vérifiées par l'ensemble des membres de l'industrie.
7. Les pratiques deviennent exemplaires seulement une fois que l'on a tenu compte du niveau actuel de mise en œuvre, de l'efficacité et de la faisabilité de la mise en œuvre, du risque de ne pas les mettre en œuvre et des solutions de rechange aux méthodes exemplaires.

En se fondant sur ces principes clés, les cadres supérieurs peuvent commencer à mettre au point les outils nécessaires dont aura besoin le personnel opérationnel pour protéger les infrastructures essentielles dont il est responsable.

Pratiques exemplaires pour les cadres supérieurs

L'Internet Security Alliance (ISAlliance) a été créé en avril 2001. Elle a pour mandat de promouvoir des pratiques, des politiques et des technologies de sécurité de l'information saines. À cette fin, elle a élaboré une série d'énoncés d'action qui sont regroupés sous dix pratiques exemplaires hautement prioritaires en matière de sécurité pour démontrer le leadership des cadres de direction dans l'industrie. Les pratiques exemplaires tiennent compte des questions touchant les politiques, les processus, les employés et la technologie qui doivent être réglées pour assurer la fiabilité des infrastructures essentielles, ainsi que des fonctions et des services essentiels. On peut obtenir la publication intitulée Common Sense Guide for Senior Managers en consultant le site Web de l'IS Alliance à l'adresse suivante : http://www.isalliance.org/ . Les dix pratiques exemplaires exposées ci dessous, qui ont été adaptées en vue d'être appliquées aux divers secteurs des infrastructures essentielles, sont résumées comme suit :

1. Gestion générale -- la haute direction doit favoriser et démontrer un engagement envers la protection des infrastructures essentielles (PIE) pour que celle ci soit considérée comme étant essentielle pour la conduite des opérations et que les considérations en matière de sécurité soient intégrées aux processus administratifs réguliers. La direction doit être au courant de toute exigence juridique ou réglementaire, et chaque niveau de direction doit connaître et comprendre son rôle et ses responsabilités en matière de sécurité.
2. Politiques -- les documents qui portent sur les politiques prioritaires en matière de sécurité et les objectifs opérationnels qu'elles protègent sont essentiels aux cadres supérieurs du gouvernement et de l'organisation. Il faut donc définir les rôles et les conséquences de la non observation (y compris le fait de ne pas avoir fait preuve de diligence raisonnable).
3. Gestion des risques -- la détermination des biens et des risques, des rôles et des responsabilités connexes ainsi que les évaluations des répercussions et les possibilités de réduire les pertes.
4. Architecture et conception de la sécurité -- l'infrastructure de la sécurité, la diligence voulue pour procéder à la sous traitance, les processus et les outils d'évaluation des systèmes nouveaux et importés, les fonctions essentielles et les biens desquels celles-ci dépendent, et qui peut répondre aux préoccupations en matière d'architecture et de conception de la sécurité.
5. Questions relatives à l'obligation de rendre compte -- la participation de la haute direction aux séances d'information et à la formation sur la sécurité, l'intégration des examens des politiques et des pratiques en matière de sécurité aux vérifications des sociétés, l'évaluation et la limitation de la responsabilité liée à l'utilisation illégale et malveillante du matériel par les employés et l'assurance par les gestionnaires que les pratiques relatives aux infrastructures essentielles sont suivies.
6. Gestion des systèmes et des réseaux électroniques -- comprend notamment le contrôle d'accès, l'intégrité des logiciels, la configuration sécuritaire des logiciels et les sauvegardes électroniques régulières.
7. Authentification et autorisation -- des utilisateurs des installations, des tiers et des utilisateurs éloignés.
8. Surveillance et vérification de la sécurité -- comprend notamment le contrôle, la vérification et l'inspection des protocoles ainsi que l'identification et la disponibilité d'un coordonnateur responsable de la présentation des rapports, de l'évaluation et des mesures d'intervention.
9. Sécurité physique -- les contrôles d'accès appropriés, y compris les protocoles d'application des lois et les mécanismes de présentation de rapports pour tout incident suspect.
10. Planification de la continuité des opérations et reprise après un sinistre -- les cadres supérieurs doivent veiller à ce qu'un plan de continuité des opérations et un plan de reprise des activités après un sinistre soit élaboré et périodiquement mis à l'essai.

Ces pratiques exemplaires en matière de sécurité, qui visent à démontrer le leadership des cadres de direction, aideraient à toute organisation à protéger ses infrastructures essentielles et à faire preuve d'une saine gestion.

Pratiques exemplaires en matière de sécurité

La sécurité fait partie intégrante de la fiabilité des infrastructures essentielles, peu importe le type d'infrastructure en cause. Ainsi, les neuf pratiques exemplaires suivantes en matière de sécurité élaborées par le North American Electricity Reliability Council (NERC) représentent de bonnes pratiques administratives pouvant être appliquées à toutes les organisations qui cherchent à assurer la fiabilité de leurs infrastructures essentielles et la continuité des services qu'elles offrent :

1. Évaluation de la vulnérabilité et des risques -- déterminer les biens, les répercussions de leur perte, les vulnérabilités, les priorités des risque et de la protection, les contre-mesures, les coûts et les compromis.
2. Capacité d'intervention en cas de menace -- facilite l'établissement de la priorité des risques et des efforts de protection.
3. Gestion des situations d'urgence -- comprend notamment les entente d'aide, les plans de mesure d'urgence, les rôles et les responsabilités, les protocoles de gestion des urgences, les besoins en matière de communications, les programmes de formation et d'orientation et les méthodes de mise à jour, de mise à l'essai et de documentation.
4. Continuité des processus opérationnels -- examen des vulnérabilités et des besoins liés aux services financiers et administratifs ainsi qu'à la technologie de l'information (achats et approvisionnements, livraison, gestion des dossiers, etc.).
5. Communications -- suppose l'établissement de voies de liaison et de communication efficaces avec d'autres agences, entités et secteurs ainsi que la détermination des besoins en communications internes.
6. Sécurité physique -- éléments qui peuvent comprendre notamment la dissuasion, la détection, l'évaluation, la communication et l'intervention, qui ensemble fournissent une approche en matière de systèmes. L'applicabilité des types de sécurité physique nécessaires est déterminée par l'évaluation de la vulnérabilité et des risques liés aux biens essentiels.
7. Technologie de l'information et sécurité informatique -- comprend notamment la caractérisation des systèmes, l'identification des menaces, l'identification de la vulnérabilité, l'analyse des contrôles, la détermination de la probabilité, l'analyse des répercussions, la détermination des risques, les recommandations en matière de contrôles et les documents concernant les résultats. Les programmes de gestion des risques doivent être proactifs et continus. De plus, la criticité est déterminée par la composante la plus essentielle, et la vulnérabilité par la composante la plus vulnérable.
8. Vérification préalable à l'emploi -- peut contribuer à atténuer les menaces internes.
9. Protection des renseignements pouvant être de nature délicate -- comprend notamment l'information sur la fiabilité des infrastructures essentielles, de même que les renseignements confidentiels liés aux services de l'organisation.

Le passage de la sécurité à la fiabilité des infrastructures essentielles constitue l'étape suivante. À cet égard, le Chicago Area Critical Infrastructure Protection Program a établi la liste de vérification suivante comportant sept éléments qui visent à assurer la fiabilité des infrastructures essentielles.

• Responsabilités -- l'identification des principales organisations, des points de contact, les ententes sur l'aide et les accords de franchise, la sensibilisation des employés et les besoins en matière de communications.
• Planification des mesures d'intervention avant les perturbations -- la détermination des installations essentielles, les niveaux de criticité, les interdépendances, les répercussions des pertes et les menaces à la sécurité, l'évaluation de la vulnérabilité et les mesures d'urgence de rechange.
• Planification des mesures d'intervention pendant les perturbations -- comprend notamment la planification des mesures d'intervention progressives, les protocoles de notification et de communication et les protocoles d'intervention pour les pannes de service imminentes et réelles.
• Planification des mesures de reprise des activités après les perturbations -- comprend notamment l'élaboration de procédures concernant la reprise des activités normales et les besoins dont il faut tenir compte pour toutes les mesures de sécurité qui sont nécessaires à ce processus.
• Exercices de planification des mesures d'urgence -- la planification et l'exécution des exercices de planification des mesures d'urgence sont essentielles pour relever les lacunes ou les inconséquences qui peuvent entraver les activités d'intervention et de reprise des opérations.
• Mesures d'urgence à long terme -- comprend notamment l'examen et l'évaluation des politiques et des règlements qui peuvent influer sur le secteur et sur la capacité d'assurer la fiabilité des infrastructures essentielles.
• Élaboration de plans -- comprend notamment la documentation de tous les éléments susmentionnés de façon globale, y compris les considérations relatives à la sécurité physique et informatique et l'entretien de l'équipement de sécurité (la sensibilisation des employés, l'entretien du matériel d'intervention, l'évolution de l'information et besoins en matière d'information et de sécurité informatique, etc.).

Les détails ayant trait à chacun des éléments susmentionnés dépendent du secteur en question, mais ils présentent un cadre commun permettant à tous les secteurs d'élaborer des programmes efficaces de fiabilité des infrastructures essentielles qui sont suffisamment souples pour tenir compte de l'évolution des besoins et des circonstances. La souplesse est une caractéristique essentielle qu'il ne faut pas négliger pour éviter l'apparition de nouveaux risques éventuels.

Conclusions concernant les pratiques exemplaires

Les thèmes récurrents qui sont importants pour tous les secteurs des infrastructures et les pratiques exemplaires génériques décrites dans la présente section sont résumés ci dessous pour indiquer comment assurer la fiabilité des EI. Les pratiques exemplaires visant à assurer la fiabilité des infrastructures essentielles qui figurent ci-dessous font partie intégrante de la saine gestion des mesures d'urgence et de la planification de la continuité des opérations et elles devraient être considérées essentielles aux bonnes pratiques administratives :

• Sécurité -- approche fondée sur une perspective globale. Même si les mesures en matière de sécurité sont mises en œuvre au niveau local, elles doivent être élaborées dans le contexte de toute l'organisation.
• Gestion -- reconnaissance de l'organisation. Le soutien de la haute direction est essentiel, et les politiques, les procédures, etc. doivent favoriser les bonnes habitudes en matière de sécurité parmi tous les membres du personnel.
• Risque- connaissances nécessaires à la prise de décisions. Une connaissance approfondie des risques liés à une infrastructure donnée et à ses composantes, des mesures de sécurité et de réduction des risques, des répercussions des pertes, et des besoins en matière d'intervention et de reprise des activités est essentielle à la saine gestion des mesures d'urgence et à la planification de la continuité des opérations.
• Fiabilité -- le tout est la somme de ses parties. Chacune des mesures prises à divers niveaux de l'organisation contribue à la fiabilité de ses infrastructures essentielles.
• Électronique -- il ne s'agit pas seulement du matériel. Il est impossible de trop insister sur l'importance du cyberenvironnement, dont les besoins doivent être examinés en tenant compte des infrastructures physiques.
• Évaluation de la vulnérabilité -- la connaissance est le pouvoir. Tout comme pour le risque, il est essentiel de bien évaluer les vulnérabilités de l'organisation et les mesures les plus efficaces pour les atténuer.

Il est important de noter que le présent aperçu des pratiques exemplaires et actuelles pour la protection des infrastructures essentielles n'est pas fondé sur un examen exhaustif des documents disponibles à ce sujet. La quantité et la variété des renseignements disponibles sur Internet et à partir d'autres sources sont vastes. On recommande donc que les organisations examinent d'autres sources en utilisant les renseignements qui figurent dans le présent aperçu lorsqu'elles commencent à élaborer un plan détaillé de gestion des mesures d'urgence pour assurer la fiabilité des fonctions et services essentiels.

Énergie et services publics

Le secteur de l'énergie et des services publics est généralement l'un des premiers secteurs considérés lorsque l'expression " infrastructure essentielle " est utilisée. Tous les secteurs dépendent d'une certaine forme d'énergie pour leurs opérations normales, et nous avons tendance à tenir les services publics pour acquis jusqu'à ce qu'il y ait une panne de service. Le lien entre l'énergie et le secteur des services publics et les communications et le secteur de la technologie de l'information est tout aussi important (voir la section suivante) pour l'infrastructure de soutien nécessaire qui est essentiel pour fournir un service énergétique ininterrompu.

L'électricité est la forme d'énergie la plus évidente qui est étroitement liée à tous les autres secteurs, mais les industries du charbon et du gaz naturel ainsi que les industries hydroélectriques, nucléaires et pétrolières sont toutes aussi importants, puisqu'elles fournissent le carburant et l'énergie nécessaires à la production d'électricité. On a donc consacré beaucoup de travail à l'élaboration de pratiques exemplaires pour le secteur de l'énergie et des services publics. La liste de vérification qui est peut être la plus utile a été dressée par le département de l'énergie des États-Unis (United States Department of Energy (U.S. DOE) pour les installations énergétiques de petite taille et de taille moyenne, peu importe leur taille ou leur type. Les six étapes génériques de la gestion des risques et des mesures sont les suivantes :

1. Déterminer les biens essentiels et les répercussions de leur perte -- y compris les fonctions et les biens, les répercussions de leur perte et la valeur des biens.
2. Déterminer qui protège et soutient les biens essentiels -- y compris les systèmes de sécurité physique, l'interdépendance des infrastructures et les renseignements de nature délicate.
3. Déterminer et caractériser les risques et les menaces -- en évaluant les environnements physiques et les cyberenvironnements dans lesquels les risques ou les menaces peuvent se présenter.
4. Déterminer et analyser les vulnérabilités -- en déterminant la susceptibilité aux risques et les menaces identifiés, y compris ceux qui ont trait aux cyberattaques.
5. Évaluer et déterminer les priorités pour assurer la protection des biens -- en fonction de la formule suivante :
   cote de risque = cote d'incidence X cote de menace X cote de vulnérabilité
6. Déterminer les options d'atténuation des risques, les coûts et les compromis -- y compris les mesures pour prévenir les dommages, limiter les conséquences, accélérer la reprise des activités et réduire la vulnérabilité.

Pour de plus amples renseignements sur la fiabilité des infrastructures essentielles dans le secteur de l'énergie et des services publics, consultez le site Web de l'U.S. DOE à l'adresse suivante :
http://www.doe.gov/engine/content.do .

Communications et Technologie de l'information

Le secteur des communications et de la technologie de l'information comprend notamment les télécommunications (téléphone, télécopieur, câble et satellite), les systèmes de diffusion de l'information, les logiciels et le matériel, et les réseaux comme l'Internet. Ce secteur est étroitement lié au secteur financier pour les transactions bancaires, de même qu'au secteur de l'énergie des services publics pour la fourniture de l'énergie électrique. De plus, le recours accru par bon nombre d'organisations aux ordinateurs et à l'Internet pour les opérations quotidiennes sur place et distantes, la prestation des services, la gestion de données, le marketing, etc., montrent la difficulté de séparer la PIE physique de la PIE électronique et de séparer le secteur des communications de tous les autres secteurs. Par conséquent, la protection des communications et de la technologie de l'information sont essentielles pour assurer la fiabilité des infrastructures essentielles.

Des renseignements sur les pratiques exemplaires relatives à la sécurité physique, y compris la fiabilité des services, la sécurité des réseaux et des entreprises et la sécurité informatique peuvent être téléchargés sous forme de liste de vérification choisie à partir d'un menu du type de réseaux, des rôles des industries, des types de pratiques exemplaires et de mots clés dans le site Web du Network Reliability and Interoperability Council (NRIC) à l'adresse suivante : http://www.bell-labs.com/user/krauscher/nric . Des rapports, un calendrier des séminaires d'information et des groupes de discussion et d'autres renseignements utiles sont également disponibles.

Les utilisateurs domestiques et les petites entreprises peuvent contribuer à la cybersécurité en utilisant des mots de passe sûrs, en installant et mettant à jour les dispositifs de protection antivirus et les correctifs et en recourant au filtrage de trafic, aux pare feux et à de bonnes pratiques semblables. Les grandes entreprises peuvent mettre en œuvre des mesures, telles que l'authentification, la gestion des configurations, la formation, l'intervention en cas d'incident, le réseau de l'organisation et les méthodes d'achat avisées, en tant que pratiques exemplaires volontaires qui peuvent être considérées généralement comme étant de saines pratiques de gestion dans un cyberenvironnement sans frontière. Des détails supplémentaires sont disponibles dans le site Web de la United States National Strategy to Secure Cyberspace à l'adresse suivante : http://www.whitehouse.gov/pcipb/ .

Finances

Les citoyens doivent avoir la certitude que les activités gouvernementales se poursuivront, que la devise canadienne sera stable et que les chèques émis par le gouvernement seront délivrés. Les sous secteurs bancaires, ainsi que les secteurs des valeurs immobilières et des investissements sont fortement tributaires du secteur des communications et de la technologie de l'information pour la prestation de services financiers en temps opportun. Comme on a de plus en plus recours à la technologie de l'information, un environnement électronique sécurisé est essentiel pour assurer la permanence des services dans le secteur financier. À cette fin, la Banque mondiale a déterminé un cadre de sécurité électronique composé de sept piliers pour la gestion des risques ayant trait aux opérations, au vol d'identité, à la fraude et à l'extorsion, à la qualité des cartes de crédit, aux systèmes et à la réparation des défaillances :

Pour obtenir de plus amples renseignements sur la fiabilité des infrastructures essentielles dans le secteur privé, consultez les sites Web suivants :

• Internet Security Alliance http://www.isalliance.org/
• Équipe d'intervention d'urgence en informatique (EIUI) http://www.cert.org/
• Forum of Incident Response and Security Teams (FIRST) http://www.first.org/
• Electronic Crimes Task Force (ECTF) http://www.ectaskforce.org/
• InfraGard http://www.infragard.net/
• Centre national de protection des infrastructures (CNPI) http://www.nipc.cog.il.us/

Soins de santé

Capacité d'intervention en santé publique

En ce qui a trait à ce secteur, les plans d'intervention pour tous les types de situations d'urgence menaçant la santé publique sont essentiels. Ces plans doivent tenir compte de tous les paliers (local, régional, national) ainsi que de la réception, de la gestion et de la distribution de stock de produits pharmaceutiques, de l'évaluation des rapports urgents sur les maladies, des besoins en matière de communications, de la diffusion de l'information et des besoins en formation. Un soutien financier approprié est nécessaire pour répondre aux objectifs liés à l'élaboration des plans.

Capacité d'intervention des hôpitaux

Les hôpitaux peuvent se préparer en désignant un coordonnateur et en mettant sur pied un comité de planification des mesures d'urgence dans les hôpitaux pour assurer l'orientation et la surveillance liées à la planification des plans d'intervention. Les plans d'intervention en cas d'épidémies éventuelles, y compris les besoins des patients ruraux desservis par les centres métropolitains, sont nécessaires.

Capacité d'intervention de la main-d'œuvre

La capacité d'intervention de la main d'œuvre comprend notamment l'évaluation des besoins pour assurer l'efficience et l'efficacité des activités de perfectionnement et d'intervention de la main d'œuvre ainsi que les mesures à prendre pour répondre à ces besoins. Cette approche suppose, entre autres, l'établissement de rapports appropriés et l'acquisition d'expertise en matière de santé publique et de gestion des situations d'urgence et d'intervention. Le financement approprié des initiatives réalisées par les secteurs public et privé est essentiel.

Renseignements additionnels

Au Canada, la capacité d'intervention en santé publique doit répondre aux exigences provinciales. Pour de plus amples renseignements à ce sujet, consultez le site Web de votre province (voir les liens dans la section Gouvernement du présent document) ou de votre hôpital local.
Dans le discours du Trône du 2 février 2004, le Premier ministre a annoncé la création d'une nouvelle Agence de la santé publique du Canada qui sera chargée de veiller à ce que le Canada soit relié, sur les plans national et international, à un réseau chargé du contrôle des maladies et d'interventions d'urgence. Un nouveau médecin hygiéniste en chef du Canada aura pour mandat d'élaborer la loi canadienne sur la protection de la santé, qui contribuera à assurer un système de santé public vigoureux et adapté.

Alimentation

La sécurité des aliments, l'agriculture et l'industrie alimentaire ainsi que les systèmes de distribution des aliments font partie de ce secteur. Les approvisionnements d'aliments nationaux et importés dépendent de la continuité de la livraison et du transport, et les liens avec les différents secteurs des IE sont importants. La déstabilisation économique, la perte de confiance et l'instabilité sociale qui découlent des incidents liés au secteur alimentaire peuvent être considérables. Les répercussions sur l'industrie alimentaire canadienne d'un seul cas d'ESB en mai 2003 ont été énormes. Malheureusement, la désignation de ce secteur dans le cadre des infrastructures essentielles est très récente. Il faut élaborer des pratiques exemplaires pour assurer les fonctions et les services essentiels. Les mesures de protection et d'intervention suivantes sont nécessaires :

• Mesures de protection -- mesures relatives aux renseignements, programmes de contrôle, recherche ciblée, traités, protocoles et accords internationaux de lutte contre la prolifération, amélioration de la résistance du bétail à certains agents, vaccination, modification des pratiques vulnérables, biosécurité et surveillance, et information et formation.
  
• Mesures d'intervention -- gestion des conséquences, détection précoce, prévision et confinement, épidémiologie et traitement, dépeuplement et élimination, interventions diplomatiques, juridiques, économiques et politiques, compensation et indemnité, information et formation, sensibilisation du public et liaison avec celui ci, vaccination et stockage de produits pharmaceutiques.

La responsabilité liée à la sécurité des aliments au Canada incombe à l'Agence canadienne d'inspection des aliments (ACIA). Au sein de cet organisme, le Bureau de la gestion des mesures d'urgence est chargé de jouer un rôle de premier plan dans la préparation des mesures d'urgence liées à la sécurité des aliments, à la santé des animaux, à la protection des plantes et à tout autre de ses programmes. Les détails concernant la sécurité des aliments et les initiatives d'intervention connexes sont disponibles sur le site Web de l'ACIA à l'adresse suivante : http://www.inspection.gc.ca/english/liaison/emgmte.shtml.

Eau

L'approvisionnement en eau potable et la gestion des eaux usées sont des questions importantes au Canada. L'Association canadienne des eaux potables et usées (ACEPU) a préparé deux rapports qui décrivent « Les meilleures pratiques de gestion pour les municipalités de petite taille et de taille moyenne en vue de procéder à une évaluation de la vulnérabilité ». Ces rapports portent séparément sur les services d'eaux potables et usées et comprennent notamment des modèles et des instructions sur la façon de procéder aux évaluations de la vulnérabilité. Ces rapports sont gratuitement mis à la disposition des membres et à un tarif nominal aux non membres sur le site Web de l'ACEPU à l'adresse suivante : http://www.cwwa.ca/publicationorder_e.asp. On encourage les gouvernements provinciaux à mettre en œuvre le modèle dans leurs municipalités en utilisant l'infrastructure locale de gestion des situations d'urgence dans le cadre d'un programme national pour la gestion des situations d'urgence s'appliquant aux services d'eaux potables et usées et la planification de la continuité des opérations. Le modèle vise à évaluer les risques et en établir la priorité en fonction des catégories suivantes :

• santé humaine
• catastrophes naturelles
• catastrophes chimiques, biologiques et autres
• défaillances techniques.

Même si le modèle a été élaboré pour les membres de l'ACEPU, il s'applique également à d'autres installations de petite taille et de taille moyenne au Canada. Les services d'eaux potables et usées de plus grande taille élaborent leurs propres plans de gestion de situations d'urgence fondés sur les normes industrielles établies qui s'inspirent des critères américains. Des renseignements additionnels sur la préparation aux situations d'urgence dans ce secteur sont disponibles sur le site Web de l'ACEPU à l'adresse suivante : http://www.cwwa.ca/ .

Transports

Le secteur des transports comprend notamment les modes de transport aérien, ferroviaire, maritime et de surface. Les transports font partie intégrante de nos vies quotidiennes, et les liens avec les secteurs qui répondent aux besoins fondamentaux de survie sont importants. La fiabilité des infrastructures essentielles doit tenir compte de la livraison de biens essentiels, tels que les aliments, les médicaments, les équipements de remplacement et les intervenants en cas d'urgence. Les pratiques exemplaires relatives à la sécurité des transports en commun ont activement été intégrées au secteur du transport aérien, notamment par suite des attentats du 11 septembre 2001. Toutefois, la diligence en matière de sécurité du fret en conteneurs constitue de plus en plus une préoccupation liée aux infrastructures essentielles.

Les problèmes transfrontaliers et les retards accrus aux postes frontaliers démontrent l'importance de transporter documents appropriés et à jour. Il faut favoriser l'utilisation de méthodes électroniques d'identification pour réduire les retards et assurer un mouvement efficace du trafic transfrontalier.

Pour obtenir de plus amples renseignements sur la préparation aux situations d'urgence dans le secteur des transports canadiens, consultez le site Web Sécurité et Préparation d'urgence de Transports Canada à l'adresse suivante : http://www.tc.gc.ca/vigilance/.

Sécurité

Le secteur de la sécurité, qui est étroitement lié au secteur gouvernemental (voir la section suivante), comprend notamment la sécurité chimique, biologique, radiologique et nucléaire, les matériaux dangereux, la fouille et le sauvetage, les services d'urgence (services de police, d'incendie, d'ambulance et d'autres services d'urgence) et les barrages. Il convient de noter que les barrages peuvent être essentiels à un certain nombre de secteurs (services des eaux, des transports, d'énergie et services publics) pour assurer la prestation de services. La sécurité des barrages constitue donc une préoccupation importante.

La Commission canadienne de sûreté nucléaire (CCSN) est l'organisme responsable de la sécurité nucléaire au Canada. La participation de la CCSN aux interventions d'urgence est considérable, et l'industrie nucléaire prend d'importantes mesures pour assurer la sécurité de tous les biens dans le cadre de ses opérations administratives normales. Les protocoles de sécurité et les plans de mesures d'urgence et d'intervention sont hautement classifiés. Les faits saillants concernant les pratiques exemplaires de l'industrie nucléaire ne sont donc pas disponibles.

Le Centre canadien des mesures d'urgence (CCMU) est un organisme canadien à but non lucratif qui encourage les particuliers, les collectivités, les organismes et les gouvernements à prendre les dispositions nécessaires pour intégrer la gestion des catastrophes à leurs opérations quotidiennes. En sensibilisant ces derniers et en leur donnant des conseils et des outils pour réduire les risques, le CCMU cherche à réduire les répercussions et les coûts liés aux catastrophes naturelles et à celles qui sont causées par l'homme. Pour obtenir de plus amples renseignements à ce sujet, un large éventail de modèles, de publication et de documents, de l'information et de la formation, des avis de conférence, etc., concernant la préparation aux situations d'urgence et la gestion des catastrophes, consultez le site Web du CCMU à l'adresse suivante : http://www.ccep.ca/ .

L'Association canadienne de la protection civile (ACPC) est un forum national pour les particuliers, les membres associés et corporatifs qui s'intéressent à la gestion des catastrophes. Elle favorise l'échange de renseignements parmi les membres ainsi que l'élaboration et l'adoption de normes ou de modèles nationaux. De plus, elle facilite la formation et l'accréditation de professionnels et d'instituts de formation. Des détails supplémentaires sont disponibles sur le site Web de l'ACPC à l'adresse suivante : http://www.cepa-acpc.ca/cepa/ .

Le Sandia National Laboratory , (Département américain de l'administration de la sécurité nucléaire nationale) est un centre exploité par un entrepreneur et appartenant au gouvernement. Établi en 1949 pour appuyer la sécurité nationale, il utilise la science et la technologie, les particuliers, les infrastructures et les partenariats pour répondre aux besoins nationaux liés aux armes nucléaires, à la non prolifération et au contrôle des matériaux, aux infrastructures énergétiques et essentielles et aux nouvelles menaces. Les initiatives de recherche sur la fiabilité des infrastructures essentielles sont axées sur les éléments des infrastructures dans les domaines des transports, des réseaux électriques, de la distribution du pétrole et de l'essence, des communications, des finances et des opérations bancaires et des services essentiels à la vie humaine.

Gouvernement

Le maintien des opérations gouvernementales, le leadership, la sécurité et le contrôle ainsi que la prestation de services essentiels à la population sont importants. Ce secteur comprend notamment les installations gouvernementales, les services gouvernementaux tels que les services météorologiques, les réseaux d'information du gouvernement, les biens gouvernementaux et les principaux symboles nationaux (institutions culturelles, sites et monuments nationaux).

Au Canada, la protection des infrastructures essentielles est une responsabilité partagée qui nécessite la collaboration de tous les paliers de gouvernement (fédéral, provincial/territorial, municipal) et du secteur privé. Cette responsabilité partagée devrait être facilitée par des partenariats avec les secteurs public et privé et par la définition précise des rôles et des responsabilités de toutes les organisations.

Gouvernement fédéral

Sécurité publique et protection civile Canada (SPPCC) est le principal organisme canadien chargé de prendre les mesures d'urgence et de coordonner des efforts d'intervention et de reprise des activités du gouvernement dans le cas d'attaques terroristes ou de catastrophes naturelles. SPPCC assure le leadership national grâce à des programmes et à la diffusion de renseignements afin d'accroître la sensibilisation des Canadiens, des collectivités, des entreprises et des gouvernements et leur capacité de gérer leurs besoins en matière de sécurité physique et électronique. Il sert également à conseiller le gouvernement sur la planification de la continuité des opérations. SPPCC vise à accroître la sécurité des Canadiens dans leur environnement physique et électronique en assurant ainsi la continuité des fonctions et des services essentiels dans le cadre du Programme national de fiabilité des infrastructures essentielles (PNFIE).

Les pouvoirs liés à ces efforts sont conférés par le Conseil du Trésor du Canada et la Politique du gouvernement sur la sécurité. Cette dernière décrit le cadre de gestion et les responsabilités nécessaires aux ministères et organismes gouvernementaux canadiens pour protéger les employés, assurer la confidentialité, l'intégrité, la disponibilité et la valeur des biens ainsi que la continuité des opérations.

Gouvernements provinciaux et territoriaux

Tous les gouvernements provinciaux et territoriaux ont un organisme de gestion des mesures d'urgence qui reconnaît la nécessité de planifier les mesures d'intervention et de reprise en cas de catastrophes naturelles et qui a un site WEB. Plusieurs provinces ont également reconnu la nécessité de la fiabilité des IE.

Le gouvernement de l'Alberta a mis en œuvre en 2001 l'Alberta Counter-Terrorism Crisis Management Plan (ACTCMP) indépendamment du gouvernement fédéral. Ce plan comporte les deux composantes suivantes :

• Les services de sécurité et de gestion de l'information (SGI) du Solliciteur général, qui sont responsables du maintien du système de niveaux de menaces selon les normes de la GRC, de la diffusion, selon un calendrier prévu, d'évaluations régulières de la menace aux propriétaires des IE et autres partenaires, et de la gestion des attestations de sécurité.
• La Gestion des urgences de l'Alberta (Emergency Management Alberta (EMA)) a mis en œuvre un programme d'identification des IE, d'évaluations sur place de la sécurité et prestation de conseils à ce sujet.

En 2001, le gouvernement de l'Alberta a mis en œuvre des programmes de continuité des opérations au sein de l'EMA pour donner des conseils, établir des pratiques exemplaires en matière de continuité des opérations en ce qui a trait à l'élaboration, à l'évaluation et à l'application des stratégies et plans de continuité des opérations dans les 26 ministères de la province. Les stratégies de continuité des opérations comprennent notamment des initiatives organisationnelles pour les ressources, les installations et les services communs et un plan de continuité des opérations globales du gouvernement de l'Alberta.

L'Alberta a mis sur pied un système d'alerte en cas d'urgence conçu pour communiquer les changements relatifs aux niveaux de menace désignés dans les SGI. Ce système est géré par l'EMA.

La Gestion des situations d'urgence du gouvernement de l'Ontario a mis en œuvre, le 6 mars 2003, le Programme de fiabilité des infrastructures essentielles de l'Ontario pour les ministères de cette province. Ce programme, qui supposera la collaboration des gouvernements fédéral et provinciaux et du secteur privé, est actuellement mis en œuvre dans les groupes de travail des secteurs suivants : la sécurité publique, l'électricité, les communications, la distribution des aliments et de l'eau, les transports, les institutions financières, la continuité des opérations gouvernementales et la distribution du pétrole et de l'essence. L'engagement de l'industrie privée dans le Programme de fiabilité des infrastructures essentielles de l'Ontario commencera en 2004 et se poursuivra en 2005.

Tous les ministères du gouvernement de l'Ontario participent actuellement au programme de planification de la continuité des opérations dirigé par le Secrétariat du Conseil de gestion de l'Ontario qui produira ses premiers résultats attendus d'ici le 31 décembre 2004. De plus, on a remis à tous les ministères un cahier qui explique le processus de gestion des risques en cas de catastrophes. Ce cahier est fondé sur les lignes directrices de la Gestion des risques et de l'organisme australien de gestion des risques.

Le Ministère de la sécurité publique du Nouveau Brunswick travaille à élaborer, à mettre en œuvre et à valider un Programme modèle provincial de protection des infrastructures essentielles. Le modèle a été conçu en collaboration avec SPPCC et un certain nombre d'autres ministères fédéraux, dont la Gendarmerie royale du Canada, le Service canadien du renseignement de sécurité, le ministère de la Défense nationale, Ressources naturelles Canada, le Conseil national de recherches et Transports Canada. L'Université du Nouveau Brunswick (études sur les conflits) et les organisations de mesures d'urgence de l'Île du Prince Édouard et de la Nouvelle Écosse participeront à l'élaboration du modèle. De plus, la Maine Emergency Management Agency, le Maine State Homeland Security et le Bureau général de l'antiterrorisme du procureur général des États Unis présenteront une perspective américaine du modèle.

On s'attend à ce que ce modèle réponde aux exigences du Nouveau Brunswick et à celles exposées dans le Programme national de fiabilité des infrastructures essentielles pour l'ensemble du gouvernement fédéral ainsi que pour les provinces et les territoires. Le programme du Nouveau Brunswick adoptera une approche qui englobe toutes les catastrophes, intègre les programmes de sécurité, d'infrastructures essentielles et de gestion des mesures d'urgence et tient compte des aspects transfrontaliers des infrastructures essentielles dans le cadre du Programme de frontière intelligente.

Voici des liens avec les sites Web provinciaux et territoriaux qui fournissent de l'information sur les mesures d'urgence et la fiabilité des infrastructures essentielles :

• Alberta -- Affaires municipales de l'Alberta, Direction de la gestion des mesures d'urgence http://www.municipalaffairs.gov.ab.ca/ema_index.htm;
• Ontario -- Gestion des situations d'urgence du gouvernement de l'Ontario, ministère de la Sécurité publique http://www.mpss.jus.gov.on.ca/english/ pub_security/emo/about_emo.html;
• Yukon -- Direction des mesures d'urgence du gouvernement du Yukon http://www.community.gov.yk.ca/;
• Territoires du Nord Ouest -- Organisation des mesures d'urgence, ministère des Affaires municipales et communautaires, gouvernement des Territoires du Nord Ouest http://www.maca.gov.nt.ca/;
• Colombie-Britannique -- Gouvernement de la Colombie Britannique, Programme provincial des mesures d'urgence http://www.pep.bc.ca/;
• Manitoba -- Organisation des mesures d'urgence du Manitoba http://www.gov.mb.ca/gs/memo/;
• Nouveau-Brunswick -- Organisation des mesures d'urgence du Nouveau Brunswick http://www.gnb.ca/cnb/emo-omu/index-e.asp;
• Terre-Neuve et Labrador -- Organisation des mesures d'urgence de Terre Neuve et du Labrador, ministère des Affaires municipales et provinciales http://www.gov.nf.ca/mpa/emo.html;
• Nouvelle Écosse -- Organisation des mesures d'urgence de la Nouvelle Écosse http://www.gov.ns.ca/emo/;
• Nunavut -- Gestion des mesures d'urgence du Nunavut, ministère du Gouvernement communautaire et des Transports http://www.gov.nu.ca/Nunavut/English/departments/CGT/;
• Île-du-Prince-Édouard -- Organisation des mesures d'urgence de l'Île du Prince Édouard http://www.gov.pe.ca/commcul/emo/index.php3;
• Québec -- ministère de la Sécurité publique du Québec http://www.msp.gouv.qc.ca/; et
• Saskatchewan -- Planification des mesures d'urgence de la Saskatchewan http://www.cps.gov.sk.ca/Safety/emergency/default.shtml.

Administrations municipales

Les administrations municipales entreprennent des initiatives pour régler les problèmes de protection des infrastructures dans leurs secteurs de responsabilité.

La ville d'Ottawa a publié en mai 2002 un plan d'urgence qui expose les rôles et les responsabilités pour assurer les services essentiels à la collectivité, y compris la façon de coordonner les organismes, tels que des hôpitaux, les commissions scolaires et tous les services publics ainsi que la Croix Rouge canadienne. Le plan est coordonné par l'Unité des mesures d'urgence. Des renseignements généraux sur les situations d'urgence, les liens, etc. sont disponibles sur le site Web de la ville d'Ottawa à l'adresse suivante : http://ottawa.ca/city_services/emergencyserv/erp/index_fr.shtml .

Le plan des mesures d'urgence de la ville de Toronto présente en détail les méthodes utilisées pour mobiliser les ressources de la ville, de façon à répondre à une situation d'urgence. Les points saillants comprennent notamment les méthodes de notification normalisées, les procédures de déclaration d'urgence, les protocoles pour coordonner l'intervention de plusieurs organismes, la mobilisation des ressources et l'établissement de centres d'évacuation. Des feuilles d'information, des renseignements et des détails du plan sont disponibles sur le site Web du Bureau de la gestion des mesures d'urgence à l'adresse suivante : http://www.city.toronto.on.ca/wes/techservices/oem/index.htm .

Le Bureau de la gestion des situations d'urgence et des risques est chargé de la planification des mesures d'urgence pour la ville de Vancouver . Le premier forum annuel sur la planification des mesures d'urgence a été tenu en octobre 2003 pour sensibiliser les participants à l'initiative de planification des mesures d'urgence locales et internationales. Les tremblements de terre constituent une préoccupation particulière, et les programmes de quartier destinés à fournir aux résidents des renseignements, de la formation et des compétences en matière de préparation aux situations d'urgence font partie intégrante de la gestion des situations d'urgence. Des renseignements additionnels sont disponibles sur le site Web de la ville de Toronto à l'adresse suivante :http://www.city.vancouver.bc.ca/corpsvcs/emerg/index.htm .

Pour obtenir plus de renseignements sur la planification des mesures d'urgence et la fiabilité des infrastructures essentielles dans votre collectivité, consultez le site Web de votre municipalité ou communiquez avec votre gouvernement local.

Fabrication

La première priorité est d'assurer la suffisance des approvisionnements domestiques et la deuxième est de veiller à ce que les opérations ne soient pas perturbées ou de limiter les perturbations, notamment lorsque les produits toxiques et des explosifs font partie de l'infrastructure des installations.

Pour la fiabilité des infrastructures au Canada, le secteur de la fabrication comprend notamment l'industrie chimique et l'infrastructure industrielle de défense. Les urgences liées à l'industrie chimique sont causées par les déversements majeurs possibles de matières dangereuses pendant la fabrication, le transport et l'élimination. Les répercussions économiques de la perturbation de ce secteur est également une préoccupation, puisque de nombreux autres secteurs comptent sur l'industrie chimique pour répondre à leurs besoins qui sont essentiels à la continuité de leurs opérations. Dans le cas de l'infrastructure industrielle de défense, les possibilités de catastrophes sont moins importantes que la nécessité d'assurer la continuité des opérations par suite d'une catastrophe. Dans les situations d'urgence, le soutien de la défense est souvent essentiel, et sa capacité de fournir les biens et les services nécessaires est indispensable pour réduire les répercussions de la catastrophe et rétablir les opérations et les conditions normales. Les 12 étapes suivantes, élaborées au Sandia National Laboratory pour le ministère américain de la Justice , contribuent à déterminer les risques possibles auxquels peuvent faire face les organisations faisant partie de ce secteur :

Pour de plus amples renseignements sur les besoins en matière de fiabilité des infrastructures pour le secteur de la fabrication, consultez le site Web du Sandia National Laboratory à l'adresse suivante : http://www.sandia.gov/ .

Initiatives internationales

La fiabilité des infrastructures essentielles est une préoccupation pour tous les pays, et les initiatives internationales sont nombreuses, comme le montrent les nombreux sites Web qui fournissent des renseignements à ce sujet. La liste suivante indique diverses activités qui sont réalisées à l'échelle internationale :

• Australie -- Emergency Management Australia (EMA) http://www.ema.gov.au/ema/emaInternet.nsf et l'Australian National Security Attorney-General's Department http://nationalsecurity.ag.gov.au/www/nationalsecurityhome.nsf/ .
• Royaume-Uni -- l'UK Financial Sector Continuity Group http://www.financialsectorcontinuity.gov.uk/ and Resilience http://www.ukresilience.info/home.htm .
• États-Unis -- Département de la sécurité intérieure http://www.dhs.gov/dhspublic/; le Critical Infrastructure Assurance Office, US Commerce Department, Bureau of Industry and Security http://www.ciao.gov/; l'US National Infrastructure Protection Centre http://www.nipc.gov/; et la Federal Emergency Management Agency http://www.fema.gov/ .
• Suède -- Swedish Emergency Management Agency (SEMA) http://www.krisberedskapsmyndigheten.se/defaultEN____224.aspx .
• Suisse -- Protection civile http://www.bevoelkerungsschutz.admin.ch/internet/bs/en/home.html .

Questions, commentaires et préoccupations

Pour obtenir de plus amples renseignements sur les pratiques exemplaires décrites dans le présent document et une liste complète des renvois aux documents de base, consultez la publication intitulée " Les pratiques exemplaires pour la protection des infrastructures essentielles " et datée du 31 mars 2003. Cette publication est disponible sur demande, comme il est indiqué ci dessous.

Votre opinion est importante pour nous. Si vous avez des questions ou des observations sur le contenu de la présente publication ou des préoccupations ayant trait à la fiabilité des infrastructures nationales au Canada, communiquez avec :

Louise Forgues
Directrice, Initiatives de programme
Tél. : (613) 990-3498
Adresse électronique : Louise.Forgues@psepc-sppcc.gc.ca

Avis de non-responsibilité

Cette publication a été préparée pour Sécurité publique et Protection civile Canada par SENES Consultants Limited

Les opinions, constatations et conclusions ou recommandations exprimées dans le présent document sont celles des auteurs et ne reflètent pas nécessairement les points de vue de Sécurité publique et Protection civile Canada.

© Sa Majesté La Reine Aux Droits Du Canada (2003)