Vérification de la sécurité

Rapport final

Le 14 mai 2004

N.B. Veuillez prendre note qu'en vertu de la Loi sur l'accès à l'information, certaines parties du texte comprises dans ces documents peuvent ne pas être publiées et seront identifiées comme suit : [ * ].

Table des matières

Résumé

1.0 Introduction

1.1 Contexte

1.2 Objectifs de la vérification

1.3 Portée de la vérification

1.4 Approche de la vérification

2.0 Constatations de la vérification

2.1 Organisation de la sécurité

2.2 Gestion de la sécurité

2.3 Fonctionnement de la sécurité

3.0 Réponse de la gestion et plan d'action

Résumé

Dans le contexte de son plan de vérification approuvé pour l'exercice 2003-2004, la Direction de la vérification interne et de l'assurance de la Direction générale de la gestion ministérielle de la Commission de la fonction publique (CFP) a entrepris une vérification de la sécurité. Cette vérification satisfait à l'exigence de la Politique du gouvernement sur la sécurité (PGS)(1) selon laquelle chaque ministère concerné doit procéder à une évaluation indépendante de la mise en oeuvre de la sécurité et mesurer son degré de conformité avec la PGS et les normes de sécurité opérationnelle(2). La vérification avait pour objectif de donner à la présidente l'assurance que les processus de la CFP en matière de gestion sont conformes à la nouvelle PGS.

La vérification a voulu confirmer que le ministère :

• a mis sur pied une organisation en matière de sécurité qui est conforme à la PGS;
  
  
• a élaboré et instauré un cadre de gestion pertinent en ce qui a trait à la mise en oeuvre et à l'administration de la sécurité;
  
  
• a effectivement mis en oeuvre son programme de sécurité et l'applique de façon efficace et efficiente.

Principales constatations

La présidente de la CFP a délégué le rôle d'agent de sécurité du ministère (ASM) au directeur général des Finances et de l'administration. Ce dernier est chargé d'élaborer, de mettre en oeuvre, de tenir à jour, de coordonner et de contrôler le programme de sécurité et de s'assurer qu'il est conforme à la PGS.

Le directeur général de la Direction des services de technologie de l'information (DSTI) est chargé de la sécurité de la technologie de l'information (TI) de même que de l'élaboration et du fonctionnement du programme de sécurité en matière de TI.

La CFP compte des bureaux régionaux dans tout le Canada. Le personnel qui y travaille assure la prestation de services ministériels comme l'administration et la TI.

[ * ]

Dans l'ensemble, la CFP a réalisé la mise en oeuvre d'un programme et d'une organisation en matière de sécurité qui satisfont aux principales exigences de la PGS. En effet :

• La CFP a mis en oeuvre un cadre de sécurité dans lequel les rôles et responsabilités sont clairement définis et assignés.
  
  
• Comme dans d'autres secteurs de sécurité, la responsabilité de la sécurité matérielle est partagée entre l'administration centrale (AC) et les régions. La plupart des personnes interrogées trouvaient que la sécurité matérielle était efficace dans leurs bureaux.
  
  
• Le processus de présélection du personnel est en place et fonctionne comme prévu. Le processus pour le personnel qui quitte est également en place et fonctionne comme prévu.
  
  
• À la CFP, les contrats sont la responsabilité du gestionnaire fonctionnel tout comme le respect des lignes directrices en matière de sécurité pour les contrats. La vérification a conclu que les gestionnaires connaissaient les exigences liées à la sécurité des contrats et qu'ils s'assurent que le niveau de sécurité requis est adéquat.
  
  
• La vérification a montré que le personnel connaissait les procédures à suivre et les formulaires à utiliser pour signaler les incidents.

Malgré ces constatations positives, la vérification a conclu qu'il y avait place à amélioration dans les domaines suivants :

• L'absence d'un programme de sensibilisation exhaustif fait en sorte que les membres du personnel ne comprennent pas et n'interprètent pas tous leurs rôles et responsabilités de façon cohérente.
  
  
• L'absence de mécanismes de communication officiels et courants entre les partenaires en matière de sécurité, à l'administration générale et dans les régions, empêche une communication efficace au sein de la collectivité responsable de la sécurité.
  
  
• Un cadre de politique complet a été mis en oeuvre. Toutefois, aucun plan stratégique concernant le programme de sécurité n'a été approuvé. Sans un tel plan, des priorités cruciales en matière de sécurité risquent de ne pas être abordées.
  
  
• La sécurité est considérée comme une question de nature administrative qui concerne la direction, mais pas nécessairement comme une priorité. On met plutôt l'accent sur les affaires courantes liées à l'administration. Même si des éléments d'un programme de sensibilisation ont été instaurés, le programme manque de dynamisme. En outre, les personnes interrogées ont plutôt fait preuve de complaisance à l'égard des activités de sécurité visant à garantir un environnement sans risque à la CFP.
  
  
• Des efforts sont faits pour s'assurer que les évaluations de la menace et des risques sont utilisées, particulièrement au moment d'élaborer de nouveaux projets visant les systèmes. [ * ]
  
  

[ * ]

1.0 Introduction

La vérification avait pour objectif d'évaluer si les processus de gestion de la CFP se conforment à la PGS du 2 février 2002 et d'en apporter la garantie à la présidente de la Commission de la fonction publique (CFP).

1.1 Contexte

La CFP est un organisme indépendant responsable de protéger les valeurs qui caractérisent une fonction publique professionnelle, à savoir la compétence, l'impartialité et la représentativité. Elle s'acquitte de cette obligation par l'administration de la Loi sur l'emploi dans la fonction publique (LEFP) et d'un système fondé sur le mérite. Elle est également responsable de la nomination de personnes qualifiées à la fonction publique. De plus, elle offre des possibilités de recours et d'examen au sujet de questions visées par la LEFP, elle dispense des programmes de formation et de perfectionnement et elle assume d'autres responsabilités prévues par la LEFP et la Loi sur l'équité en matière d'emploi (LEE). La mission que la CFP doit mener à bien en vertu des pouvoirs qui lui sont conférés par la loi est la suivante : maintenir une fonction publique hautement compétente, qualifiée, impartiale et représentative de la société canadienne, dont les membres sont nommés selon le principe du mérite.

Au moment de la vérification, la CFP exécutait, aux fins de son mandat, des activités dans cinq secteurs.

Le secteur du renouvellement du personnel a comme objectif d'aider les ministères et les organismes fédéraux à instaurer un système de renouvellement du personnel qui assure une fonction publique hautement compétente, impartiale et représentative de la société canadienne. Il comprend des activités qui appuient la dotation déléguée et non déléguée, notamment : l'élaboration de programmes, l'administration de la délégation de la dotation, la conception d'examens et de normes de sélection, l'administration des priorités en matière de dotation, le recrutement et l'avancement de même que les initiatives en matière de diversité et d'équité en matière d'emploi. La CFP s'occupe également de l'exécution de ces initiatives ainsi que des programmes de perfectionnement ministériels.

Le secteur de l'apprentissage a pour objectif d'améliorer la compétence professionnelle des fonctionnaires fédéraux et de leur permettre de satisfaire aux exigences linguistiques de leur poste. Ce secteur regroupe deux gammes principales de services : la formation linguistique et le perfectionnement professionnel à l'intention du personnel non cadre.

Les objectifs du secteur des recours consistent à protéger l'intérêt du public et à promouvoir l'application du principe du mérite, de la justice, de l'équité et de la transparence. Il offre des processus de recours indépendants et entend les appels que les fonctionnaires interjettent au sujet d'allégations d'infractions à la Loi sur l'emploi dans la fonction publique et à son Règlement, sur des questions telles que les nominations et l'avancement. Il doit également enquêter sur les plaintes et les irrégularités qui ont trait au processus de renouvellement du personnel et qui ne peuvent pas donner lieu à un appel, enquêter sur des plaintes de harcèlement en milieu de travail et agir comme conciliateur pour parvenir à un règlement dans les cas où les plaintes sont fondées.

Le secteur de la surveillance et de la liaison externe offre des connaissances, des renseignements, des observations et des conseils pour appuyer la capacité de la CFP de promouvoir une fonction publique professionnelle et représentative. Il assure la capacité de mesurer, d'établir des rapports, de formuler des conseils et d'élaborer des politiques dans des domaines qui s'inscrivent dans le mandat de la CFP. Il offre des services de recherche et d'analyse stratégique, d'analyse de l'environnement et de liaison avec les intervenants et intervenantes, en ce qui concerne les questions liées au rôle de la CFP comme gardien de l'intégrité du processus de nomination.

Le secteur des services ministériels fournit à la CFP des services et des systèmes centraux pour appuyer la gestion ministérielle et toutes les activités liées aux programmes. Il regroupe les activités de la présidente et des commissaires, la planification opérationnelle, les politiques et systèmes de gestion, les finances, la gestion des ressources humaines, la technologie de l'information, la vérification interne, ainsi que d'autres services administratifs et de soutien.

La CFP gère un budget annuel d'environ 123 millions de dollars. Quelque 1600 personnes y travaillent, dont 900 dans la région de la capitale nationale.

La Division des services administratifs de la Direction des finances et de l'administration pilote le programme de sécurité. À cette fin, elle établit des politiques, des procédures et des normes pour veiller au maintien des niveaux de sécurité requis dans toute la CFP.

 1.2 Objectifs

La vérification avait pour objectif global de répondre à l'exigence de la PGS selon laquelle il faut évaluer de façon indépendante, d'une part, la mise en oeuvre de la sécurité et, d'autre part, le degré de conformité avec la politique et les normes opérationnelles.

La PGS a été mise à jour en février 2002 afin de resserrer les mesures que doivent obligatoirement prendre les ministères et organismes. Elle insiste maintenant davantage sur le cadre de gestion et la structure de responsabilisation dans les ministères et organismes fédéraux.

La vérification avait plus précisément pour objectifs :

• de déterminer si la CFP respecte les normes de sécurité de la PGS et les normes opérationnelles; et
  
  
• d'évaluer l'efficience et l'efficacité du programme de sécurité de la CFP.

1.3 Portée

La portée de la vérification touche les domaines suivants.

Organisation de la sécurité

Il s'agissait d'évaluer la structure de gestion de la sécurité à la CFP pour vérifier si les responsabilités en la matière sont bien définies, établies et assignées à du personnel dont la description de travail englobe de telles responsabilités.

Gestion de la sécurité

Il s'agissait d'évaluer le programme de sécurité, les programmes de sensibilisation et de formation en la matière, le traitement des violations de la sécurité et d'autres incidents qui y sont liés de même que les mesures de protection visant les communications externes.

Sécurité matérielle

L'évaluation de la sécurité matérielle consistait à examiner la localisation et la disposition de certaines installations de la CFP, la définition et l'application des mesures de protection des installations, et le contrôle et l'examen des mesures de sécurité qui s'y rapportent.

Les installations suivantes ont fait l'objet d'un examen minutieux à l'aide du questionnaire d'inspection des sites : l'administration centrale (L'Esplanade Laurier) et trois bureaux régionaux (la région de la capitale nationale et de l'Est de l'Ontario, la région du Centre et du Sud de l'Ontario et le Québec).

Sécurité concernant le personnel

Ce domaine a couvert les enquêtes de sécurité concernant le personnel, les autorisations, les refus et révocations des cotes de sécurité, ainsi que les mesures requises à la cessation d'emploi.

Sécurité et gestion des cas d'urgence

Il s'agissait d'évaluer si les mesures nécessaires sont prises pour s'assurer que tous les gestionnaires de la CFP font ce qu'il faut pour protéger les renseignements de nature délicate, les biens et les membres du personnel, et pour reprendre les activités essentielles après une interruption imprévue.

Sécurité concernant la technologie de l'information

Il s'agissait d'une vérification de la sécurité matérielle, de la sécurité du personnel, du matériel informatique, des logiciels et de la communication. On visait ainsi à déterminer si les mesures nécessaires sont prises pour : s'assurer que la structure de la sécurité de la TI et la façon dont elle est liée et coordonnée à la structure globale de la CFP en matière de sécurité satisfont aux exigences de la PGS; examiner les évaluations de la menace et des risques visant les biens de TI et les procédures concernant l'élaboration, l'entretien et le fonctionnement de produits informatiques; et contrôler les renseignements électroniques de même que les biens liés à la TI et à la communication.

La vérification de la gestion des documents, qui a eu lieu en 2002, a couvert la classification et la désignation des renseignements personnels de nature délicate, les mesures de protection à cet égard de même que la déclassification et la destruction. Il en est ressorti que les processus liés à la sécurité matérielle constituent des éléments essentiels de la protection des documents. La vérification sur la sécurité en a fait un suivi.

En 2002, la gestion de la passation des marchés a été vérifiée. La composante de sécurité en est une exigence. La passation des marchés a été brièvement examinée dans le cadre de la vérification de la sécurité afin de s'assurer que la cote de sécurité requise est convenable et que les gestionnaires sont au courant des exigences en matière de sécurité.

1.4 Approche de la vérification

La vérification comprenait un examen exhaustif des politiques, procédures et lignes directrices répertoriées, des entrevues avec quelque 63 personnes à divers niveaux à l'administration centrale et dans les régions, et l'exécution de listes de vérification d'inspection des sites détaillées.

Grâce à une méthodologie intégrée et inspirée des lignes directrices en matière de vérification de la sécurité provenant du Secrétariat du Conseil du Trésor (SCT), l'équipe de vérification a fait une analyse exhaustive des enjeux.

2.0 Constatations de la vérification

La vérification comportait une analyse de six domaines principaux et de deux domaines connexes. Nous nous sommes fondés sur les résultats du travail de vérification pour regrouper nos constatations en trois domaines principaux.

2.1 Organisation de la sécurité

Lorsque l'équipe de vérification a examiné la sécurité à la CFP, elle a cherché à déterminer si celle-ci avait instauré des dispositions organisationnelles qui correspondent à l'intention de la PGS. À cette fin, il fallait un cadre de responsabilisation officiel et des capacités de communication adéquates.

2.1.1 Rôles et responsabilités

Les responsabilités en matière de sécurité ont été définies, établies et assignées à certains membres du personnel.

Constatation

Selon la PGS, la présidente, en tant qu'administratrice générale, est tenue responsable de la protection du personnel et des biens de la CFP et de la mise en oeuvre de la politique. En vertu de la politique, les ministères et organismes doivent nommer un agent ou une agente de sécurité du ministère (ASM) qui établit et dirige un programme de sécurité assurant la coordination de toutes les fonctions et de la mise en oeuvre des exigences de la politique.

La présidente a délégué ce rôle au directeur général des Finances et de l'administration, qui a la charge de toutes les facettes du programme de sécurité de la CFP. Ce dernier a délégué la gestion du programme au directeur de l'Administration, qui remplit le rôle d'agent de sécurité adjoint du ministère (ASAM). À ce titre, il est chargé de l'élaboration, de la mise en oeuvre, du maintien, de la coordination et de la surveillance du programme de sécurité et de s'assurer qu'il est conforme à la PGS.

Le chef des Services de sécurité relève de l'ASAM. Il est entouré de trois membres du personnel à temps plein. Ce groupe élabore, met en oeuvre et contrôle la sécurité du personnel et la sécurité matérielle à la CFP.

Le directeur général de la Direction des services de technologie de l'information (DSTI) veille quant à lui à la sécurité de la TI, laquelle touche les questions de sécurité de l'information liées au matériel, aux logiciels, à la transmission des données et au fonctionnement de l'environnement de la TI. Il est secondé par un coordonnateur de la sécurité de la TI (CSTI) qui est chargé de l'élaboration et du maintien du programme de sécurité de la TI. Le CSTI donne des orientations fonctionnelles au chapitre de la sécurité de la TI et coordonne les activités dans ce domaine dans toute la CFP. Plusieurs personnes dans diverses unités de la DSTI exercent des activités particulières liées à la sécurité. Celles qui sont liées à la sécurité de la TI sont intégrées au rôle opérationnel de la TI.

Les gestionnaires des centres de responsabilité sont chargés de la protection du personnel, des biens, de l'information, des services et des installations qui relèvent de leur compétence. Les directeurs régionaux et les directrices régionales ont les mêmes responsabilités, auxquelles s'ajoutent la sécurité matérielle, la reprise des activités et la planification du recouvrement après un désastre. Selon la taille du bureau régional, la personne qui s'occupe des activités administratives assume aussi les responsabilités liées à la sécurité.

Le personnel et les entrepreneurs ont la responsabilité de protéger les biens et les renseignements en leur possession contre le vol, les dommages, les interruptions et modifications, et de veiller à ce que seules les personnes autorisées puissent y accéder. À la CFP, comme dans de nombreux autres ministères, les rôles et responsabilités en matière de sécurité sont répartis de façon stratégique, en regard des fonctions et des activités. À l'exception des Services de sécurité, dont le personnel exerce des responsabilités qui lui sont propres, les rôles en la matière sont toujours partagés.

Conclusion

Le cadre de responsabilisation de la sécurité est mis en oeuvre et les rôles et responsabilités concernant la sécurité sont clairement définis et ont été assignés.

2.1.2 Communication et liens

Un cadre plus officiel pour soutenir un dialogue dans la collectivité de la sécurité permettrait à la CFP d'atteindre les objectifs habituels de conformité à la politique de sécurité, et ce, avec efficacité et efficience.

Constatation

La PGS souligne que l'ASM doit, en autres, coordonner les activités de la politique. Il ou elle doit occuper un poste stratégique au sein de l'organisation de façon à pouvoir fournir des conseils et des orientations stratégiques à l'équipe de la haute direction. Une organisation qui réussit au chapitre de la sécurité se caractérise par sa capacité de communiquer efficacement et d'établir des liens qui favorisent la coordination d'un programme de sécurité dans l'ensemble de ses composantes.

À l'administration centrale, depuis le 9 septembre 2001, une Équipe de gestion des incidents a été créée à L'Esplanade Laurier par les sous-ministres des Finances, du SCT et de la CFP pour s'occuper des questions liées à la sécurité. La CFP en est un membre actif. De plus, on a mis sur pied un comité directeur de L'Esplanade Laurier (niveau de SMA), dont les membres se réunissent une fois par mois pour discuter de questions de sécurité. La sécurité des lieux et des employés et employées est gérée conjointement par le SCT et les Finances. En outre, on retrouve des comités de santé et sécurité dans tous les bureaux de la CFP.

Les entrevues menées auprès de la collectivité de la sécurité ont révélé un manque généralisé de communication entre les régions et l'administration centrale et au sein de cette dernière. Les liens permettant une meilleure communication et coordination des activités de sécurité semblent plus faibles entre les régions et l'administration centrale (AC).

Les régions partagent avantageusement des techniques et des outils qui s'appliquent à la gestion de la sécurité sur le plan régional. [ * ] De nombreuses personnes interrogées ont mentionné que l'AC pourrait assurer plus d'orientation, de conseils et de leadership fonctionnels leur permettant de mieux participer aux processus, aux procédures et aux normes.

[ * ]

Conclusion

La sécurité dépend de nombreux secteurs de l'organisation. La communication et les liens constituent donc des éléments cruciaux pour garantir la mise en oeuvre cohérente du programme de sécurité et la protection du personnel et des biens. [ * ]

Recommandation

1. Il est recommandé que la vice-présidente de la Direction générale de la gestion ministérielle :

• établisse des mécanismes de communication officiels et réguliers entre les partenaires des bureaux régionaux et de l'administration centrale et entre les partenaires au sein de cette dernière [ * ].

2.2 Gestion de la sécurité

Afin de déterminer si la CFP a élaboré et mis en oeuvre un cadre de gestion pertinent pour implanter et administrer la sécurité, la vérification a cherché les composantes d'un tel cadre, notamment une politique établie, une planification active, des activités de formation et de sensibilisation adéquates et une approche de la gestion du risque.

2.2.1 Politique et planification

Un cadre de politique complet pour la sécurité a été mis en oeuvre à la CFP. Un plan stratégique concernant le programme de sécurité permettrait d'en assurer l'efficacité et la prise en compte continues des risques liés à la sécurité.

Constatation

La PGS prévoit que les ministères et organismes doivent gérer les risques liés à la sécurité à un niveau stratégique, soit celui de la haute direction. Ainsi, la nature stratégique des exigences de la politique dicte la nécessité d'établir, à un niveau stratégique, un plan de sécurité intégré et des politiques connexes.

La politique sur la sécurité de la CFP s'est alignée sur les changements apportés à la politique du gouvernement au cours des dernières années. Elle est accessible à tout le personnel de la CFP et aux entrepreneurs par le site intranet de la CFP. Elle traite des rôles et responsabilités de tout le personnel en ce qui touche la sécurité. Il s'agit d'un document exhaustif qui englobe les énoncés des politiques concernant tous les aspects de la sécurité. Y sont répertoriés les normes, directives et guides ainsi que d'autres renseignements. D'autres politiques qui touchent à la sécurité comme celles sur la TI, la gestion des documents et la passation des marchés sont également accessibles au personnel. La politique de la CFP sur la sécurité ainsi que des procédures sont affichées sur le site intranet, lequel propose au personnel des documents cohérents, pertinents et actualisés.

La CFP a axé le rôle de l'ASM sur l'établissement des orientations stratégiques en matière de sécurité. La planification s'est concentrée sur les besoins opérationnels immédiats et la mise en oeuvre du programme. [ * ]

Bien que l'ASM et la Section de la sécurité aient géré toutes les activités nécessitant une plus grande sécurité comme le Sommet du G8, les pannes de courant, les manifestations, la contamination de l'eau de l'édifice et les fausses alertes, une vision stratégique et bien définie de la sécurité doit obligatoirement donner lieu à des politiques actualisées et à des plans intégrés en matière de sécurité. Afin d'obtenir l'investissement pour mettre en oeuvre des normes de sécurité appropriées, les personnes chargées de la sécurité doivent être en mesure de présenter une vision stratégique et d'influencer la haute direction. On y arrive en formulant et en présentant un plan exhaustif qui englobe obligatoirement toutes les facettes de la sécurité : la sécurité matérielle, celle du personnel, de la TI et des biens.

Conclusion

La CFP a élaboré et mis en oeuvre un cadre de politique sur la sécurité complet. Étant donné que la CFP est une organisation de type matriciel, la sécurité n'obtient des personnes désignées que l'attention qu'elles sont en mesure de lui accorder compte tenu des autres priorités, tant horaires que budgétaires. En l'absence d'un plan intégré, des priorités fondamentales en matière de sécurité risquent de ne pas être abordées.

Recommandation

2. Il est recommandé que la vice-présidente de la Direction générale de la gestion ministérielle :

• arrête un plan stratégique pluriannuel concernant la sécurité matérielle, la sécurité du personnel et celle de la TI, et cerne les priorités essentielles à cet égard; et
  
  
• définisse un plan annuel intégré[ * ].

 2.2.2 Formation et sensibilisation

Les éléments d'un programme de sensibilisation à la sécurité ont été instaurés, mais ce programme n'est pas dynamique. En raison de la complaisance à l'égard des questions de sécurité, les membres du personnel et les biens risquent de ne pas être adéquatement protégés.

Constatation

La PGS oblige les ministères et organismes à instaurer un programme de sensibilisation à la sécurité. Un tel programme devrait comporter les éléments suivants :

• des séances d'orientation pour les nouveaux membres du personnel (portant, entre autres, sur la sécurité);
  
  
• des rappels continus concernant les responsabilités (p. ex. garder les renseignements de nature délicate sous clé), des mises à jour sur des sujets préoccupants (p. ex. avis à propos des virus ou d'une augmentation des vols);
  
  
• et des contrôles (ratissages de sécurité et repérage de problèmes).

La PGS impose que les personnes soient informées de leurs privilèges d'accès et des limites liées à leur cote de sécurité avant qu'elles assument leurs fonctions. La CFP dispose d'un programme d'orientation destiné aux nouveaux membres du personnel, lequel contient une composante relative à la sécurité. Toutefois, ce programme n'est offert qu'à l'AC. En outre, ce ne sont pas tous les nouveaux membres du personnel qui doivent y participer. En tout, deux bureaux régionaux ont également élaboré de tels programmes. Comme la plupart des sujets liés à la sécurité sont identiques, il n'est ni efficace ni rentable que les régions élaborent leur propre programme.

Une fois par semaine, les membres du personnel doivent accepter leur responsabilité à l'égard de l'utilisation des services et de l'équipement liés à la TI. Une fenêtre s'ouvre automatiquement lorsqu'ils entrent dans le système. Ils doivent alors accepter la responsabilité liée à l'usage des services et de l'équipement conformément aux diverses politiques de la CFP et reconnaître qu'ils sont au courant des sanctions éventuelles en cas d'abus. Même si ce garde-fou constitue une excellente première étape, le processus est configuré de façon que les membres du personnel ne soient pas obligés de lire les modalités. Avec le temps, ils risquent de ne plus prêter attention au rappel ni à son intention.

La Section de la gestion des documents a élaboré une formation portant sur la protection des renseignements de nature délicate, qu'elle a présentée à l'AC et aux régions, et dans laquelle on mentionne que la sécurité constitue un élément important. Elle a permis aux participants et participantes de comprendre les cotes de sécurité des renseignements (Très secret, Secret, Confidentiel et Protégé A, B ou C) et les exigences liées à leur désignation, leur transmission, leur protection et leur destruction. Cette initiative n'a pas fait le tour de l'organisation, et ce ne sont pas tous les membres du personnel qui y ont participé. Dans le même ordre d'idées, le groupe chargé de la passation des marchés offre une formation qui couvre la sécurité.

La PGS oblige les ministères à vérifier qu'ils y adhèrent. Les membres du personnel sont ainsi davantage sensibilisés à la sécurité. La DSTI contrôle l'utilisation du réseau et sa conformité à la PGS. Les Services de sécurité ont financé, grâce à un partenariat avec la GRC, des cours de sensibilisation et de formation sur la sécurité partout au Canada. La sécurité matérielle est également contrôlée grâce à des ratissages de sécurité. [ * ]

[ * ]

Des courriels sur la sécurité sont parfois envoyés à tout le personnel, mais ils concernent principalement la TI, notamment les nouveaux virus et vers informatiques. En outre, il n'existe aucun mécanisme visant à s'assurer que tous les membres du personnel les lisent.

Conclusion

Même si la CFP n'a pas établi un programme de sensibilisation officiel, des éléments d'un tel programme sont déjà instaurés. La sécurité est considérée comme une question touchant la direction, et pas nécessairement comme une priorité. Elle est principalement axée sur la routine administrative. En l'absence d'un programme de sensibilisation actif, le personnel risque de devenir complaisant par rapport à la sécurité ou de ne pas comprendre les répercussions de certains gestes.

Voici des points majeurs à inclure dans le programme de sensibilisation visant à rappeler à la haute direction et au personnel les exigences en matière de sécurité :

• obtenir les cotes de sécurité avant de nommer le personnel;
  
  
• se conformer aux exigences liées à l'attribution des cotes de sécurité en ce qui concerne les marchés;
  
  
• avant de quitter le ministère, tous les membres du personnel et les entrepreneurs doivent remettre les biens et les renseignements qui lui appartiennent, conformément aux lignes directrices en matière de sécurité;
  
  
• suivre certaines étapes lors du traitement des renseignements et des biens de nature délicate;
  
  
• veiller à l'utilisation adéquate du régime de protection ABC.

Recommandation

3. Il est recommandé que la vice-présidente de la Direction générale de la gestion ministérielle s'assure :

• que soient inclus officiellement au plan de sécurité annuel, un programme de sensibilisation pour tout le personnel et un plan de formation à l'intention du personnel de la sécurité comportant des indices pour mesurer l'efficacité, l'optimisation et la conformité;
  

[ * ]

2.2.3 Gestion du risque

[ * ]

Constatation

La fonction publique du Canada se dirige vers un environnement de travail où prévaut une approche de gestion des risques. Sa politique à cet égard oblige les gestionnaires à se tenir informés des menaces à la sécurité de leur ministère, du degré de vulnérabilité à la menace et aux risques liés à la sécurité qui pèsent sur les activités opérationnelles de même que des incidences. L'évaluation de la menace et des risques (EMR) constitue l'approche normalisée à cette fin.

Certains secteurs de la CFP, la TI en particulier, connaissent bien le processus d'EMR. En effet, ils doivent y soumettre tous leurs nouveaux projets d'élaboration de systèmes d'information établis selon le Cadre de gestion de projets de la TI de la CFP, et ce, à diverses étapes de leur élaboration. [ * ]

Un certain nombre d'EMR ont été effectuées pour des édifices qu'occupent les bureaux de la CFP, habituellement de concert avec les autres locataires. Travaux publics et Services gouvernementaux Canada (TPSGC) en a réalisé plusieurs, particulièrement dans les cas où ce ministère est propriétaire ou administrateur des bâtiments. [ * ]

Les gestionnaires interrogés lors de la vérification ont souligné que la CFP, de par sa nature, n'est pas considérée comme une organisation ouvertement exposée à la menace. La CFP dépend de systèmes de sécurité matérielle et de sécurité de la TI. La CFP se dirige toutefois vers la gestion des risques. [ * ]

Conclusion

Dans l'ensemble, les gestionnaires de la CFP se soucient principalement des répercussions des incidents malheureux liés à la sécurité et considèrent les contrôles matériels comme le meilleur moyen de garantir un environnement sûr. Même si le ministère se dirige vers une gestion des risques en matière de sécurité, il faut améliorer l'application et la couverture du processus.

Recommandation

4. Il est recommandé que la vice-présidente de la Direction générale de la gestion ministérielle :

• s'assure de la réalisation d'un examen du processus d'évaluation des risques en matière de sécurité et y apporte des améliorations visant à en étendre la couverture afin de l'harmoniser avec le cadre de gestion des risques de la CFP.

2.3 Fonctionnement de la sécurité

Outre ses propres fonctions, la PGS définit un cadre de gestion de la sécurité. Ensemble, ils forment le programme de sécurité ministériel. Nous examinerons ces éléments afin d'évaluer si ce programme fonctionne avec efficacité et efficience.

2.3.1 Sécurité matérielle et protection des biens et du personnel

Constatation

[ * ]

Conclusion

[ * ]

2.3.2 Enquêtes de sécurité sur le personnel

Constatation

Tous les membres du personnel et les entrepreneurs doivent se soumettre à une enquête de sécurité afin d'obtenir la cote la plus élevée attribuée aux renseignements et aux biens auxquels ils devront accéder dans le cadre de leurs fonctions. Il faut effectuer cette enquête avant qu'ils puissent accéder à l'environnement de travail et aux renseignements ou autres biens. À leur départ, ils doivent rendre tous les biens et continuer à observer le caractère confidentiel des renseignements.

Pour la plupart des postes à la CFP, la fiabilité constitue la cote de sécurité maximale requise. Certains membres de la haute direction ont accès à des renseignements secrets; ils doivent donc obtenir la cote de sécurité « Secret ». Certains membres de la TI ont récemment obtenu cette cote, car ils peuvent consulter beaucoup de renseignements. Quant aux entrepreneurs, ils doivent au moins obtenir la cote de fiabilité.

L'attribution de la cote de sécurité fait partie du processus de classification de la CFP. Un niveau de sécurité est associé à chaque poste selon la décision du ou de la gestionnaire. La vérification approfondie de la fiabilité constitue la cote minimale. Dans le cadre du processus de dotation, il y a lieu de mener une enquête de sécurité avant d'offrir un poste. Il en est de même en ce qui concerne la passation des marchés : les gestionnaires définissent les exigences en matière de sécurité. L'entrepreneur doit avoir obtenu la cote de sécurité avant d'être autorisé à pénétrer sur le site. Les Services de sécurité sont chargés d'obtenir les cotes de sécurité et d'aviser le ou la gestionnaire d'embauche afin qu'il ou elle puisse envoyer une lettre d'offre ou finaliser tout mécanisme de passation des marchés.

Il existe des procédures et des formulaires de cessation d'emploi ou de marché pour que la séparation se fasse en bonne et due forme et que les personnes concernées rendent les biens en leur possession, comme la carte d'identité. Ces procédures sont accessibles au personnel de la CFP sur le site intranet. Toutes les personnes interrogées dans le contexte de la vérification connaissaient ces procédures et les formulaires qui s'y rapportent.

Conclusion

Le processus d'enquête sur le personnel est instauré et fonctionne comme prévu. Il en va de même pour le processus de cessation d'emploi.

2.3.3 Sécurité des renseignements

Constatation

La divulgation sans autorisation de renseignements, au sens des dispositions particulières de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels, constitue un risque à gérer au moyen de mesures de sauvegarde visant la sécurité des renseignements. Lorsqu'une telle divulgation risquerait vraisemblablement de porter préjudice à l'intérêt national, la CFP doit classifier et marquer ces renseignements selon le degré de préjudice potentiel, soit « Confidentiel », « Secret » ou « Très secret ». Lorsque le préjudice potentiel touche à des intérêts privés ou non reliés à l'intérêt national, les renseignements sont protégés et doivent être catégorisés et marqués selon le degré de préjudice potentiel, soit « Protégé A », « Protégé B » ou « Protégé C ».

En général, les gestionnaires conviennent que la CFP, comparée à d'autres ministères ou organismes, ne constitue pas un organisme gouvernemental à « risque élevé ». La CFP a adopté le régime « Protégé ABC », et les renseignements y sont, pour la plupart, classifiés « Protégé B » ou moins.

Au cours des deux dernières années, les services de gestion des documents ont animé des séances de formation sur la désignation et la classification des renseignements. Le personnel a reçu, sous forme de feuille laminée, un résumé des exigences concernant la protection des renseignements de nature délicate.

À la CFP, il y a peu de renseignements qu'on pourrait classifier au niveau « Secret » ou à un niveau supérieur. La vérification a examiné les secteurs où ils se trouvent. Dans tous les cas, ils étaient conservés dans les endroits appropriés, munis de serrures approuvées, lesquelles étaient correctement fermées. Les renseignements de nature délicate comme les examens et les résultats d'examens sont protégés par un ensemble particulier de contrôle de l'accès, de la distribution et du stockage.

[ * ]

La CFP est à élaborer une stratégie et une vision en matière de gestion de l'information, lesquelles engloberont les renseignements en versions papier et électronique et leur sécurité. Il est généralement admis que la classification et l'archivage des renseignements électroniques constituent des sujets à aborder dans le contexte de ce processus.

Conclusion

À la CFP, la sécurité des renseignements, bien qu'elle soit importante, n'est pas essentielle au fonctionnement des programmes. Toutefois, comme les renseignements sont de nature personnelle, leur protection et leur sécurité sont primordiales pour maintenir l'intégrité des processus liés aux activités de même que la réputation et l'intégrité de la CFP.

2.3.4 Technologie de l'information

Constatation

En raison d'un engagement accru de la CFP à l'égard des politiques et des normes en matière de prestation de services en matière de TI, la gestion de l'information et la TI évoluent.

Le coordonnateur de la sécurité de la technologie de l'information (CSTI) et directeur des Services techniques est responsable de l'élaboration et de la maintenance du programme de sécurité de la TI de la Commission; à ce titre, il donne des conseils fonctionnels au sujet de la sécurité de la TI et coordonne les activités de la CFP en la matière. Plusieurs membres du personnel dans divers secteurs de la DTSI remplissent des tâches associées à la sécurité (p. ex. le réseau), lesquelles sont intégrées au rôle opérationnel de la TI. Lors de téléconférences périodiques, le CSTI donne de l'orientation fonctionnelle aux gestionnaires locaux du RLE qui s'occupent de la sécurité.

[ * ]

La CFP a adopté une approche ministérielle en ce qui touche l'élaboration, la maintenance et le fonctionnement de ses systèmes et a instauré un comité qui les approuve et les gère. Elle a mis en oeuvre un cadre de gestion de projets, fondé sur le cadre amélioré de gestion des projets du SCT. Ce cadre normalise les processus d'élaboration qui englobent la nécessité d'établir des énoncés sur la nature délicate et de mener des évaluations de la menace et des risques de même qu'une étude d'impact visant à vérifier la correspondance avec l'infrastructure technique de la CFP. Un laboratoire d'examen a été mis sur pied, ainsi qu'un processus de gestion du changement. En outre, il faut faire homologuer les applications avant de pouvoir les produire. Enfin, le CSTI s'occupe de réaliser les EMR pour les nouveaux projets.

Comme nous l'avons mentionné à la rubrique portant sur la formation et la sensibilisation, les membres du personnel de la CFP doivent endosser une fois par semaine leur responsabilité à l'égard de la sécurité. À cette fin, ils doivent accepter, lorsqu'ils entrent dans le système, un énoncé sur l'utilisation du matériel informatique et des réseaux gouvernementaux. Des processus visant à s'assurer que les mots de passe sont changés régulièrement et qu'il est impossible de les réutiliser sont également en place.

Le CSTI participe à l'élaboration des politiques et des normes en matière de TI (p. ex. appareils sans fil, utilisation du courrier électronique). La CFP a des normes très précises en ce qui concerne les réseaux, le matériel informatique et les logiciels qu'appuie la DSTI. La gestion et le contrôle de l'environnement de la TI sont centralisés, et la CFP utilise partout les mêmes pare-feu, logiciels antivirus et logiciels de contrôle d'accès.

Il existe un processus de gestion du changement, qui est suivi pour obtenir la certification des nouveaux systèmes et des modifications. [ * ]

[ * ]

Conclusion

Comme la responsabilité relative à la sécurité de la TI est partagée dans l'ensemble du secteur de la TI, elle est difficile à administrer. [ * ]

2.3.5 Planification des mesures d'urgence

Un plan de poursuite des activités (PPA) a été préparé, mais tant qu'il ne sera pas finalisé, distribué et mis à l'essai, l'organisation risque, en cas de désastre, de ne pas être en mesure de continuer à offrir des services.

Constatation

Dans le cadre du programme de sécurité, la politique fédérale oblige les ministères et organismes à établir un programme de planification concernant la poursuite des activités. Un tel programme doit englober une structure de gouvernance, un contrôle de l'état de préparation général ainsi que des examens, des mises à l'essai et des vérifications continus. Le SCT n'a pas encore finalisé les normes opérationnelles destinées à appuyer la PGS.

À l'instar de la plupart des ministères et organismes, la CFP a élaboré un PPA pour la TI, et ce, dans le cadre de son plan de reprise des activités de 2000. Plus récemment, le Comité exécutif de gestion a examiné la version préliminaire d'un PPA. La CFP en rédigera la version finale après que le SCT aura produit les normes.

Les Services de sécurité sont chargés de coordonner les procédures d'urgence à l'administration centrale et ont fait un excellent travail lors d'incidents rares comme la dernière panne d'électricité. De nombreux courriels et messages sur boîte vocale sont communiqués aux employés et employées par l'entremise de leurs ordinateurs et téléphones en situations d'urgence, par exemple la contamination de l'eau à L'Esplanade Laurier, la panne d'électricité, les moisissures, la qualité de l'air, etc. L'ASM et la Section de la sécurité ont été complimentées par le passé, en particulier pour la gestion de la crise de la contamination de l'eau à L'Esplanade Laurier et tous les employés et employées concernés de la Section de la sécurité ont reçu une prime de reconnaissance de l'ancien président de la CFP lors d'une réunion du CEG.

Les bureaux régionaux et les bureaux de secteur disposent de plans d'urgence actualisés, rédigés de concert avec les colocataires, notamment pour les menaces particulières, les incidents, les vols, les suivis postérieurs aux sommets et les manifestations. Le Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC) émet de l'information et des avertissements. Par exemple, dans la région de Vancouver, une simulation de séisme a été coordonnée avec les autorités municipales, provinciales et fédérales. Les trousses en cas de séisme ont été remplacées en 2001-2002. De plus, un exercice conjoint anti-terrorisme parrainé par les É.-U. a eu lieu en mai 2003. [ * ]

Des incidents récents comme la panne de courant et la tempête de verglas ont mis en évidence la nécessité de planifier des mesures d'urgence et de sécurité. Il en est également ressorti que les services de la CFP ne sont pas essentiels. En effet, il n'est pas indispensable d'accéder immédiatement aux processus liés à ses activités et aux renseignements. Toutefois, l'intégrité de l'information et son accessibilité comptent à long terme. La DSTI a instauré une procédure de sauvegarde qui prévoit l'entreposage dans un site externe et l'arrêt géré de l'équipement, mesures qui permettent de réduire au minimum les dommages potentiels à l'information. Des incidents comme la panne de courant ont entraîné des améliorations. Par exemple, on a reconnu qu'il est important de savoir qui sont les personnes-ressources primordiales et comment communiquer avec elles.

Conclusion

[ * ]

Recommandation

5. Il est recommandé que la vice-présidente de la Direction générale de la gestion ministérielle :

[ * ]

2.3.6 Marchés

Constatation

La PGS s'applique au processus de passation des marchés et aux activités internes. Comme les autorités contractantes sont assujetties à la délégation de pouvoirs financiers de la part de la CFP, il revient aux gestionnaires concernés de s'assurer que les mesures de sécurité correspondent aux marchés pour lesquels ils s'engagent.

La CFP utilise un mécanisme qui oblige les gestionnaires à remplir des énoncés de travail et des formulaires de passation des marchés et à préciser, dans un champ obligatoire, la cote de sécurité requise. Le site intranet renferme un guide d'aide exhaustif, destiné aux gestionnaires, sur les procédures qui régissent la passation des marchés. En outre, le groupe chargé de la passation des marchés interroge les gestionnaires relativement au lieu de travail de l'entrepreneur et aux renseignements auxquels il aura accès, et ce, afin de s'assurer que la cote de sécurité est la bonne et que tous les risques sont pris en compte. Pour la plupart des marchés, la cote de fiabilité suffit. Aucun marché n'est amorcé tant que les Services de sécurité n'ont pas vérifié les attestations de sécurité.

Au cours des entrevues, les gestionnaires ont confirmé qu'ils connaissaient leurs responsabilités relatives à la passation des marchés, notamment la sécurité. Ils ont tous mentionné qu'aucun entrepreneur ne se trouve dans les locaux tant que son attestation de sécurité du personnel n'est pas confirmée.

Conclusion

À la CFP, la passation des marchés relève des gestionnaires des secteurs d'activités, conformément aux lignes directrices en matière de sécurité. La vérification a révélé que les gestionnaires connaissaient les exigences liées à la passation des marchés et qu'ils s'assuraient que la cote de sécurité requise est la bonne.

2.3.7 Réaction aux atteintes à la sécurité

Constatation

La production efficace de rapports d'incidents liés à la sécurité constitue, avec les enquêtes, un mécanisme de rétroaction majeur pour recueillir des renseignements importants sur la vulnérabilité en matière de sécurité et les tendances qui se profilent. Sans un système solide d'établissement de rapports et d'enquêtes ou sans consignation des incidents, la gestion ne peut pas prendre de mesures préventives ou correctrices efficaces.

À l'AC, les incidents sont déclarés aux commissionnaires ou aux Services de sécurité. C'est le chef des Services de sécurité qui décide s'il faut mener enquête et quelle mesure correctrice prendre. Les incidents majeurs sont signalés à la direction régionale à des fins d'intervention. Au besoin, les Services de sécurité en sont informés et apportent leur aide. Les enquêtes se passent à divers niveaux, selon la nature des incidents. Les Services de sécurité montent des dossiers sur les incidents ou les sujets de préoccupation. Ils s'en servent pour cerner les tendances.

Les régions transmettent des rapports sur les pertes de biens aux Services de sécurité qui s'assurent qu'il en est fait état dans les comptes publics. Les régions communiquent en outre à l'AC un rapport annuel sur la sécurité, lequel inclut un résumé des incidents ou précise qu'il n'y en a pas eu, le cas échéant. Au cours des dernières années, tous les sites ont signalé des incidents.

Nous avons découvert que la plupart des incidents concernaient la perte de biens (p. ex. le vol). Des atteintes à la sécurité, comme la violence verbale, n'étaient pas toujours considérées comme des incidents et n'ont donc pas nécessairement fait l'objet d'un rapport.

Conclusion

La vérification a révélé que le personnel connaissait les procédures à suivre et les formulaires à utiliser pour signaler des incidents. Dans la plupart des cas, ce sont le ou la gestionnaire et le personnel concernés qui établissent les rapports. Dans le cadre du programme de sensibilisation à la sécurité, on pourrait familiariser le personnel avec tous les types d'incidents et la nécessité d'en faire rapport et de les consigner.

3.0 Réponse de la gestion et plan d'action

1. Politique du gouvernement sur la sécurité, février 2002. Les pouvoirs en la matière découlent de l'article 7 de la Loi sur la gestion des finances publiques. Cette politique remplace celle du 9 juin 1994 ainsi que les modifications de novembre 1994 et de juin 1995.
   
   
2. Il s'agit des normes de sécurité opérationnelle approuvées par le Secrétariat du Conseil du Trésor. Elles contiennent des mesures visant à diriger et à guider la mise en oeuvre de la politique. Certaines sont obligatoires, d'autres, recommandées. Remarque : la production de nouvelles normes est en cours, mais certaines ne sont qu'à l'état d'ébauches.