Conformément aux normes du Secrétariat du Conseil du Trésor du Canada pour la sécurité opérationnelle dans la Politique du gouvernement sur la sécurité (PGS), Industrie Canada (IC) a établi un Programme de planification de la continuité des activités et a dégagé des services critiques et essentiels. Sécurité publique et Protection civile Canada (SPPCC), dont le mandat consiste à examiner les plans des ministères fédéraux pour assurer qu'ils sont en mesure de continuer les activités durant les urgences, a demandé aux vérificateurs des ministères de vérifier la planification de la continuité des activités. Conformément à la demande de SPPCC, Industrie Canada a donc mené une vérification interne de son Programme de PCA.

1.2 Analyse générale

Dans l'ensemble, la vérification a révélé que le programme de PCA repose sur une base solide et offre une certaine assurance que l'organisation pourra gérer les services critiques et essentiels en cas d'interruptions et d'urgences majeures. Toutefois, la vérification a permis de constater que le programme de PCA n'offre pas une assurance complète pour les raisons suivantes : il n'existe aucun programme exhaustif d'exercices; et il reste de sérieuses questions quant à l'intégration de la GI/TI pour les plans critiques de PCA.

1.3 Principales constatations, conclusions et recommandations

La vérification a permis de constater qu'Industrie Canada avait bien administré le programme de PCA dans son ensemble. Dans les secteurs, certaines des fonctions essentielles n'accordent pas assez de priorité à leur PCA. La vérification a cerné de sérieuses préoccupations quant à l'intégration des plans de continuité des activités pour les fonctions critiques à la planification de la continuité en matière de TI, en plus de constater l'absence d'un programme exhaustif d'exercices.

1.3.1 Gouvernance du Plan de continuité des activités (voir Section 3.1 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'Industrie Canada a la responsabilité assignée pour le programme de PCA conformément à la norme.

Nous avons trouvé qu'Industrie Canada avait nommé une coordinatrice de PCA efficace et efficiente qui relève du directeur de la Sécurité et de l'agent de la Sécurité ministérielle (ASM). Un Comité directeur de PCA se rencontre environ tous les six mois afin de discuterdes questions stratégiques en matière de PCA. De plus, un Groupe de travail sur la PCA compte des représentants des divers services ministériels et des fonctions critiques.

Conclusion

Les conditions essentielles d'une gouvernance stable et d'une orientation stratégique sont en place pour offrir une planification efficace de la continuité des activités, un soutien au sous-ministre et la livraison des résultats. Plusieurs améliorations pourraient rehausser la gouvernance générale, ainsi qu'il est décrit dans les recommandations suivantes.

Recommandation 1 :

Un examen critique efficace et indépendant des plans de continuité des activités au niveau des secteurs est nécessaire pour les améliorer. Un tel examen critique devrait être effectué tous les deux ans afin de répondre aux risques et circonstances en évolution rapide. De plus, chaque secteur devrait inclure un examen de la planification de la continuité des activités dans son cycle annuel de planification des activités.

Recommandation 2 :

Industrie Canada devrait identifier les principales relations de dépendance externes. Ces relations de dépendance devraient être évaluées au chapitre de leur importance pour la réussite du plan de continuité des activités. Un plan devrait ensuite être élaboré et documenté pour minimiser toute exposition aux risques. Lorsque cela convient, il faudrait négocier des protocoles d'entente ou des ententes équivalentes avec ces relations de dépendance externes.

Recommandation 3 :

Après un examen critique approfondi des plans de continuité des activités, les relations de dépendance internes (par exemple, services de GI/TI) doivent être identifiées et documentées. Les ententes internes au niveau des services ou certains équivalents doivent être négociés pour assurer que des services appropriés sont disponibles à l'appui de l'exécution des plans de continuité des activités du secteur.

1.3.2 Analyse des incidences sur les activités (voir Section 3.2 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'un programme de PCA efficace repose sur une évaluation des incidences sur les activités (EIA). L'EIA identifie et quantifie les incidences directes et indirectes, quantitatives et qualitatives sur les services critiques et essentiels à la suite d'interruptions et d'urgences.

Industrie Canada a utilisé les EIA en tant qu'un outil pour examiner les services essentiels, mais ne l'a pas fait pour tous les services critiques. L'information acquise par une évaluationdétaillée des incidences offre à la direction des renseignements utiles en vue d'établir les priorités et d'identifier les principaux services.

Conclusion

L'information recueillie dans le cadre d'une évaluation des incidences sur les activités pourrait ajouter une valeur aux plans de continuité des activités. Même si la vérification ne comporte pas une recommandation particulière, Industrie Canada pourrait envisager la conduite et le maintien d'évaluations des incidences sur les activités pour toutes les fonctions opérationnelles afin de veiller à ce que les programmes de PCA pour les fonctions de services telles que le SAPI, les installations et la sécurité, soient appropriées, réceptives et complètes.

1.3.3 Plans d'action et arrangements pour la continuité des activités (voir Section 3.3)

L'objectif de contrôle est d'assurer l'intégralité des plans de continuité des activités en encourageant l'utilisation des évaluations des incidences sur les activités et des évaluations des menaces et des risques. Un autre objectif de contrôle est d'assurer que les options de recouvrement ont été analysées en profondeur afin de fournir des renseignements à la direction sur les choix et les priorités qui conviennent le plus.

Nous avons noté qu'à Industrie Canada, les divers plans de continuité des activités étaient élaborés de façon parallèle, sans profiter d'un effort concerté pour cerner les relations de dépendance d'une fonction à une autre. En particulier, certains plans de continuité des activités avaient mentionné des relations de dépendance envers les installations et les outils de GI/TI sans inclure des réponses correspondantes par le responsable de ces domaines. Comme résultat, les plans de continuité des activités risquent de ne pas servir en cas d'une urgence réelle. De plus, sans une bonne analyse des options de recouvrement accompagnée d'estimations des coûts, les décisions et les choix de la direction dans les situations d'urgence pourraient entraîner des recouvrements dispendieux ou suboptimaux. Nous avons également observé que les stratégies de recouvrement de la continuité des activités étaient vagues, ce qui oblige les équipes d'intervention à improviser.

Conclusion

Les programmes de PCA profiteraient d'une intégration complète aux fonctions de soutien et aux relations de dépendance (voir recommandations 2 et 3). Ils devraient inclure des options de recouvrement qui montrent en détail les étapes à suivre pour fournir des services critiques et essentiels, y compris les coûts totaux et l'analyse des risques et des menaces.

Recommandation 4 :

La planification de l'élaboration des EMR devrait être faite conjointement par l'ASM et l'API. La planification coordonnée assurera que les questions de sécurité relatives aux biens et aux TI sont entièrement couvertes et qu'il n'existe aucune lacune. De plus, toute question en matière de PCA devrait être considérée dans l'élaboration des EMR pour que les coordinateurs de PCA puissent profiter des résultats des EMR. Les résultats des données recueillies dans les EMR peuvent être partagés par l'ASM et l'API.

Recommandation 5 :

Les plans de continuité des activités devraient inclure des stratégies de recouvrement entièrement documentées pour la continuité des activités qui expliquent en détail les étapes à suivre pour fournir des services critiques et essentiels. Les coûts estimatifs sont nécessaires pour identifier une option de recouvrement viable telle que les exigences de GI/TI. Ces coûts peuvent ensuite être utilisés pour les décisions de la direction quant aux priorités et aux choix dans les plans.

Recommandation 6 :

Les plans de continuité des activités et les documents connexes profiteraient d'un système de contrôle de gestion du changement en offrant au lecteur des renseignements sur les dernières mises à jour pour un changement important (p. Ex., mandat des fonctions critiques et essentielles) au plan ainsi que la nature et l'origine des changements.

1.3.4 État de préparation au programme de PCA (voir Section 3.4 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'Industrie Canada a maintenu son programme de PCA à jour. Les plans de continuité des activités profitent d'un programme d'exercices réguliers. Tout incident, interruption et urgence offre des leçons tirées qui peuvent aboutir à un examen plus approfondi et à la mise à jour des plans.

La vérification a révélé qu'Industrie Canada ne disposait pas d'un programme d'exercices réguliers et qu'il n'avait pas élaboré un moyen de partager les leçons tirées à partir d'une base de données sur les incidents, les interruptions et les urgences.

Conclusion

Les plans de continuité des activités d'Industrie Canada sont mis à jour tous les trois mois ou tous les six mois lorsque les noms, les rôles et/ou les numéros de téléphone changent. Il n'y a aucun système de contrôle de la gestion pour les plans de continuité des activités (voir recommandation 6). Nous avons noté qu'il n'y avait aucun programme d'essai ou d'exercice régulier. Par ailleurs, il n'y a aucun modèle standard pour recueillir les leçons tirées à partir d'événements réels ou d'exercices; toute information conservée n'est pas facilement accessible aux planificateurs de la continuité des activités sauf s'ils communiquent avec la coordinatrice de PCA d'IC qui conserve un dossier.

Recommandation 7 :

Il faudrait mener un exercice annuel efficace.

Recommandation 8:

Industrie Canada devrait mettre en oeuvre une procédure pour recueillir les leçons tirées à partir d'événements réels et d'exercices. Les leçons tirées des exercices et des interruptions et incidents réels devraient être mises à la disposition des coordinateurs de la continuité des activités pour leur fournir une documentation utile au moment d'apporter des changements et améliorations non négligeables aux plans de continuité des activités, au besoin. L'information recueillie sur les incidents et les leçons tirées devrait servir à créer les documents de formation et de sensibilisation à l'intention des gestionnaires et du personnel de haut niveau.

1.3.5 Formation et sensibilisation en matière de PCA (voir Section 3.4 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'une formation et une instruction ont été élaborées, financées et utilisées à l'appui du programme de PCA. Une formation spécialisée est requise pour les spécialistes de la sécurité et pour les planificateurs de la continuité des activités. Il faut des programmes de sensibilisation générale pour sensibiliser le personnel à la planification des mesures d'urgence et pour créer un environnement dans lequel les gens sont confiants que leurs gestionnaires agiront correctement en ce qui concerne la santé et la sécurité et de la protection des biens.

La vérification a permis de constater que la coordinatrice de PCA avait reçu une formation annuelle. Toutefois, nous n'avons pas trouvé que tous les autres coordinateurs de PCA et les gestionnaires principaux avaient assisté à la formation annuelle en matière de PCA; certains n'ont pas suivi de cours de formation externes en matière de PCA.

Conclusion

Nous avons noté que la coordinatrice de PCA d'Industrie PCA et certains des coordinateurs sectoriels de PCA avaient reçu une formation et avaient maintenu leur sensibilisation par la participation à des conférences. D'autres n'ont reçu que des présentations à l'interne et ne disposent pas de l'expérience nécessaire pour composer avec les urgences. De plus, il y a lieu d'améliorer la sensibilisation générale parmi la direction et le personnel de haut niveau à l'égard de la planification de la continuité des activités et de la planification des mesures d'urgence.

Recommandation 9 :

Industrie Canada pourrait améliorer l'éducation des planificateurs de la continuité des activités et des mesures d'urgence au niveau sectoriel et régional en veillant à ce que leur plan annuel de développement de carrière comprenne des cours et des séminaires appropriés sur la planification de la continuité des activités et des mesures d'urgence selon la portée de leurs responsabilités de PCA.

Recommandation 10 :

Industrie Canada devrait assurer que sa politique de PCA est bien communiquée et comprise.

La suggestion suivante pourrait être considérée :

Industrie Canada pourrait améliorer la sensibilisation générale aux questions de planification de la continuité des activités et des mesures d'urgence en mettant à profit l'intranet, en ayant un programme durant la semaine annuelle de sensibilisation à la PCA et en faisant une promotion des présentations sur site par la coordinatrice de PCA.

Rapport final de vérification (PDF - 95 Ko - 21 pages)

Remarque : Pour lire la version PDF, vous avez besoin de télécharger le logiciel Adobe Acrobat Reader sur votre système. Si vous n'avez pas accès au site de téléchargement d'Adobe, vous pouvez télécharger le logiciel Acrobat Reader à partir d'une page accessible. Si l'accessibilité à un document PDF pose un problème, vous pouvez convertir le fichier en format texte HTML ou ASCII en utilisant l'un des services d'accès offerts par Adobe.