Audit de la planification de la continuité des activités d'Environnement et Changement climatique Canada : Constatations, recommandations et réponses de la direction
Cadre de gouvernance ministériel pour la PCA
La Politique sur la sécurité du gouvernement du Conseil du Trésor (CT) indique que les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficaces de la sécurité au sein de leur ministère. Ils assument aussi conjointement la responsabilité d’assurer la sécurité du gouvernement dans son ensemble.
L’audit visait à déterminer si ECCC a assumé ses responsabilités liées à la gouvernance, conformément à la Politique sur la sécurité du gouvernement, à la Directive sur la gestion de la sécurité ministérielle et à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) (NSO-Programme de PCA du CT).
L’audit a porté sur les aspects suivants de la gouvernance ministérielle pour la PCA : comités de gouvernance, rôles et responsabilités, détermination des services ministériels essentiels et établissement de l’ordre de priorité connexe, mises à l’essai, surveillance et rapports.
Comités de gouvernance
Comme il est mentionné dans la Politique sur la sécurité du gouvernement, « la sécurité est assurée lorsqu’elle est appuyée par la haute direction, une dimension qui fait partie intégrante de la planification stratégique et opérationnelle, et qu’elle est intégrée aux cadres, à la culture et aux activités courantes des ministères ainsi qu’aux comportements des employés. [1]» La Directive sur la gestion de la sécurité ministérielle exige des ministères qu’ils prévoient des mécanismes de gouvernance de la sécurité, comme des comités et des groupes de travail, afin d’assurer la coordination et l’intégration des activités liées à la sécurité et de faciliter la prise de décisions. La gouvernance a également été identifiée comme un élément clé des programmes ministériels de PCA, en vertu de la NSO-Programme de PCA du CT. Par conséquent, on s’attend à ce que les ministères aient des comités de gouvernance qui participent activement à la surveillance et à l’intégration des activités de PCA.
L’audit a permis de déterminer qu’ECCC a mis en place des comités officiels de la haute direction qui supervisent et soutiennent la coordination des activités de PCA. Il a porté plus particulièrement sur les deux principaux organes de gouvernance au sein de la structure de PCA.
Le Comité des directeurs généraux (DG) sur la gestion des urgences est coprésidé par l’agent de sécurité du Ministère (ASM) et le DG, Politique de l’entreprise, Service météorologique du Canada. Il assure le leadership, la coordination et l’orientation en ce qui a trait à la gestion des urgences, y compris le programme de PCA. Le groupe de travail sur le programme de PCA est présidé par l’agent de sécurité du Ministère (ASM). Il coordonne le développement, la mise en œuvre et la surveillance du programme de PCA et agit comme principal comité de coordination, d’échange de l’information et de consultation pour ce programme.
Les examens de la documentation (comme les ordres du jour, les comptes rendus des décisions prises lors des réunions des comités et les mandats des comités) effectués dans le cadre de l’audit ont permis de démontrer que les deux comités soutenaient les activités de PCA.
Rôles et responsabilités
La NSO-Programme de PCA du CT stipule que l’élaboration d’une politique ministérielle sur le programme de PCA approuvée par la haute direction est un élément essentiel de la gouvernance. Il permet de définir et de communiquer officiellement les attentes au sein de la structure de gouvernance actuelle du Ministère.
Selon la Directive sur la gestion de la sécurité ministérielle, les ministères ont l’obligation d’assurer que des responsabilités internes plus spécifiques, les délégations, les rapports hiérarchiques et les rôles et responsabilités des employés du Ministère à l’égard des responsabilités de sécurité sont définis, documentés et communiqués aux personnes concernées par la PCA. Par conséquent, l’équipe d’audit s’attendait à ce que le Ministère se conforme aux exigences relatives aux rôles et responsabilités du personnel participant au processus ministériel de PCA (par exemple, l’agent de sécurité du Ministère, le coordonnateur du plan de continuité des activités et les gestionnaires fonctionnels).
Une politique approuvée sur la PCA était en place, mais elle n’a pas fait l’objet d’une mise à jour depuis plusieurs années. Au moment de l’audit, la politique de juin 2010 était à l’étude.
La politique sur la PCA et les plans de continuité des activités du Ministère et des installations décrivent la plupart des rôles et responsabilités relatifs à la PCA. Les intervenants internes clés peuvent obtenir les renseignements en ligne ou auprès des gestionnaires de programme appropriés. Les procédures opérationnelles normalisées et les plans de continuité des activités des directions générales ou des installations fournissent également de plus amples renseignements sur les rôles et responsabilités du personnel clé affecté aux services essentiels de gestion des urgences. Le rôle du coordonnateur du PCA n’a toutefois pas été clairement défini et documenté dans la politique sur la PCA. De plus, le lien hiérarchique entre l’ASM et le SM (ou le CEG) n’a pas été formellement documenté et communiqué aux deux parties concernées dans la politique sur la PCA.
L’ASM et le coordonnateur du PCA ont été officiellement nommés, conformément aux exigences du gouvernement. L’audit a mis en évidence que ces intervenants étaient tenus de rendre compte de leur rendement dans l’exercice de leurs fonctions liées à la PCA (par exemple, dans le cadre de leur entente de gestion du rendement annuelle).
Les rôles et responsabilités d’intervenants externes ont été examinés dans le cadre de l’examen des plans de continuité des activités, au la section 3.2 du présent rapport.
Recommandation 1
La sous-ministre adjointe, Direction générale des services ministériels et des finances, devrait veiller à la mise en place d’une politique actualisée relative au programme de planification de la continuité des activités, et s’assurer qu’elle s’harmonise avec le cadre stratégique en matière de sécurité du gouvernement.
Réponse de la direction
La direction souscrit à la recommandation.
La Division de la sécurité ministérielle procédera à l’examen et à la mise à jour de la politique sur le programme de planification de la continuité des activités d’Environnement Canada, élaboré en 2010 (et, au besoin, d’autres documents politiques connexes, comme les documents relatifs aux ARA et le mandat du groupe de travail sur la PCA). La Division de la sécurité ministérielle veillera à ce que la version révisée de ces documents s’harmonise avec le cadre stratégique en matière de sécurité du gouvernement. Elle définira clairement les rôles, les responsabilités et les liens hiérarchiques, au moyen d’une structure de gouvernance claire. La version révisée de la politique sera approuvée par le Comité exécutif de gestion, communiquée aux employés et affichée sur le site intranet d’ECCC. Elle fera l’objet d’une révision tous les trois ans.
Recommandation 2
La sous-ministre adjointe, Direction générale des services ministériels et des finances, devrait s’assurer que les rôles, les responsabilités et les liens hiérarchiques pour la planification de la continuité des activités sont officiellement communiqués aux personnes qui participent au processus de PCA du Ministère.
Réponse de la direction
La direction souscrit à la recommandation.
La Division de la sécurité ministérielle veillera à ce que les rôles, les responsabilités et les liens hiérarchiques soient communiqués à tous les niveaux de direction, aux principaux intervenants en matière de continuité des activités au sein d’ECCC et aux employés. Cela comprend le lien hiérarchique fonctionnel entre l’ASM et le SM. La Division de la sécurité ministérielle aura recours à des présentations aux membres de la direction, à des communiqués aux employés, ainsi qu’à de la formation et des exercices de simulation sur table.
Détermination et classement des services essentiels du Ministère
La détermination, la mise à jour et le classement (par ordre de priorité) systématiques des services essentiels du Ministère, et ce, afin de faciliter le rétablissement et la prestation continue des services ministériels, sont des exigences du gouvernement. Si les services essentiels et les priorités du PCA ne font pas l’objet d’une évaluation et que les résultats ne sont pas communiqués au personnel en temps opportun, la coordination des interventions visant à assurer le rétablissement des activités pourrait être compromise et freiner l’atteinte des objectifs du PCA.
L’audit a permis de constater qu’ECCC avait mis en place une approche systématique visant à déterminer les services essentiels et à les classer par ordre de priorité. Cela est effectué au moyen d’une évaluation stratégique des risques liés à la gestion des urgences, laquelle se conforme aux lignes directrices fournies par Sécurité publique Canada.
Mise à l’essai, surveillance et préparation de rapports
En vertu du cadre stratégique en matière de sécurité du gouvernement, les ministères doivent mettre en place des cadres de surveillance et de préparation de rapports afin d’évaluer périodiquement l’efficacité et la conformité de leurs programmes de PCA. La NSO-Programme de PCA du CT exige également des ministères qu’ils procèdent à des mises à l’essai et à des validations régulières des plans de continuité des activités. Le Guide de planification de la continuité des activités de Sécurité publique Canada recommande à tous les ministères de procéder à des examens internes une ou deux fois l’an pour assurer l’exactitude, la pertinence et l’efficacité de leur plan de continuité des activités.
Le Ministère ne se conforme pas pleinement aux exigences et aux pratiques recommandées. ECCC n’a pas démontré qu’il a mis en place des cadres de surveillance et de préparation de rapports sur la PCA visant à assurer sa conformité au cadre stratégique en matière de sécurité du gouvernement et à assurer l’efficacité globale de son programme de PCA. La surveillance et la préparation de rapports sont limitées aux présentations effectuées auprès du CEG de rapports d’étape annuels sur la situation de la PCA et d’un aperçu général de ce qui fonctionne bien et des domaines qui pourraient être améliorés.
En ce qui a trait aux mises à l’essai des plans de continuité des activités, l’audit a permis de démontrer que le Ministère ne procédait pas à des essais en grandeur réelle[2]. Par ailleurs, la mise à l’essai des plans était limitée à des exercices de simulation sur table[3].
Le plus récent exercice de simulation sur table a été mené en février 2016. Le Ministère n’a pas mobilisé un grand nombre d’employés, ce qui aurait maximisé la préparation de scénarios d’urgence (outre les employés déjà engagés dans les interventions d’urgence). Par conséquent, ECCC n’a pas démontré qu’il avait adopté des programmes officiels englobant des mises à l’essai et des validations régulières de tous les plans de continuité des activités, conformément aux exigences des politiques du gouvernement et aux pratiques recommandées.
La surveillance et la préparation régulières de rapports sur la conformité et l’efficacité du programme ministériel de PCA permettraient à ECCC d’identifier et d’aborder de manière proactive toute lacune existante et d’améliorer ainsi la résilience du Ministère face aux événements qui pourraient perturber le cours normal de ses activités. En tant que volet clé d’un tel cadre de surveillance et de préparation de rapports, l’essai périodique de plans de continuité des activités permettrait à ECCC d’avoir l’assurance qu’ils fonctionneront en cas d’interruption.
Recommandation 3
La sous-ministre adjointe, Direction générale des services ministériels et des finances, devrait établir des cadres officiels de surveillance et de préparation de rapports pour la planification de la continuité des activités (PCA), y compris des mises à l’essai du programme de PCA, afin d’assurer la conformité au cadre stratégique en matière de sécurité du gouvernement et l’efficacité globale du programme de PCA.
Réponse de la direction
La direction souscrit à la recommandation.
La Division de la sécurité ministérielle établira un cadre de surveillance et de préparation de rapports qui fera partie intégrante du programme de planification de la continuité des activités d’ECCC. Ce cadre de surveillance et de préparation de rapports comprendra un volet de mises à l’essai/d’exercices, ainsi qu’un volet de préparation de rapports, et ce, afin de saisir le nombre de plans complétés, approuvés, mis à l’essai/testés, et leur conformité aux instruments politiques et aux orientations techniques d’ECCC, du SCT et de Sécurité publique Canada. Le but d’ECCC est de procéder à l’essai annuel des PCA des directions générales, lesquels comprennent les stratégies de rétablissement des services essentiels et des fonctions de soutien essentielles. Le volet concernant la préparation de rapports permettra de tenir la haute direction au fait des progrès et de l’efficacité du programme de planification de la continuité des activités.
Le plan de continuité des activités des directions générales sera examiné et révisé annuellement si nécessaire, comme indiqué dans la version actuelle du plan de continuité des activités de la direction générale.
Processus ministériels de continuité des activités
En vertu des exigences de base en matière de sécurité, tous les ministères doivent avoir mis en place des plans de continuité des activités afin d’assurer la poursuite des opérations du gouvernement. Mener une analyse des répercussions sur les activités (ARA) est le point de départ essentiel de l’élaboration d’un plan. Les exigences du gouvernement en ce qui a trait à ces processus sont présentées dans la NSO-Programme de PCA du CT.
L’audit a évalué un échantillonnage d’ARA et de plans ministériels de continuité des activités fondés sur le risque (voir le tableau 1) afin de déterminer dans quelle mesure le Ministère respecte ces exigences.
Les analyses des répercussions sur les activités
Les ARA fournissent les informations de base dont les ministères ont besoin pour orienter stratégiquement leurs efforts et leurs ressources limitées vers les secteurs qui comptent le plus pour la continuité de leurs activités. L’audit a permis de déterminer que les ARA examinées avaient été menées bon à terme et que le Ministère se conformait aux exigences prescrites pour les ARA dans la NSO-Programme de PCA du CT. Les ARA examinées comprenaient :
- une évaluation des services visant à déterminer ceux qui sont le plus susceptibles de causer un préjudice grave aux Canadiens et Canadiennes ou au gouvernement;
- l’établissement d’un ordre de priorité selon le temps d’arrêt maximal admissible[4] et le niveau de service minimal requis[5];
- l’approbation des ARA par la haute direction;
- la détermination des dépendances internes et externes (par exemple, à d’autres fonctions ou ressources) visant à assurer la prestation des services.
Plans de continuité des activités
Les plans de continuité des activités sont les principaux résultats du processus de PCA. Ils fournissent un modèle permettant de déterminer les mesures devant être prises dans l’éventualité d’une interruption du cours normal des activités. Ils comprennent notamment les procédures préétablies convenues, y compris toute l’information pertinente pour assurer la continuité et le rétablissement subséquent des activités ministérielles touchées par des interruptions.
L’audit a permis de conclure, après examen, que les plans de continuité des activités d’ECCC :
- couvraient tous les services ayant fait l’objet de l’échantillonnage;
- comprenaient la plupart des informations exigées en vertu de la NSO-Programme de PCA du CT;
- se conformaient, de manière générale, aux processus de PCA décrits dans la NSO-Programme de PCA du CT.
Les plans de continuité des activités comportaient :
- une description des services essentiels;
- les ressources nécessaires (personnel, information et biens);
- les dépendances internes et externes;
- les stratégies de rétablissement approuvées;
- les mesures visant à atténuer l’impact et l’effet des interruptions sur le Ministère;
- la détermination des rôles et responsabilités des équipes d’intervention et de rétablissement;
- la détermination des rôles et responsabilités des intervenants internes et externes;
- la coordination des mécanismes et des procédures pour assurer la collaboration avec les fonctions de soutien du Ministère;
- les stratégies de communication.
Le domaine qui requiert la plus grande amélioration est la détermination des dépendances externes (par exemple, le fournisseur de TI) sur lesquelles s’appuie le Ministère. Plus particulièrement, deux des trois services essentiels ayant fait l’objet d’un examen sont assortis d’un accord sur les niveaux de service. L’objectif d’un tel accord est de décrire, de manière générale, la relation d’affaires continue entre l’intervenant externe et l’organisation partenaire. Il vise à assurer :
- la clarté des responsabilités liées à la prestation continue des services;
- la clarté et la compréhension adéquate des attentes et des engagements du fournisseur de services et de l’organisation partenaire.
Sans accord sur les niveaux de service ou autre entente officielle visant à définir et à clarifier les niveaux de service attendus, les propriétaires fonctionnels n’ont aucune assurance que leurs services essentiels seraient rétablis conformément au temps d’arrêt maximal établi, si une interruption ou une catastrophe se produisait. Pour les propriétaires fonctionnels, une certaine part d’incertitude subsiste quant à leur capacité à assurer la prestation des services essentiels.
Recommandation 4
La sous-ministre adjointe, Direction générale des services ministériels et des finances, en collaboration avec les propriétaires fonctionnels, devrait s’assurer que des plans de continuité des activités sont en place et qu’ils ont été élaborés en fonction des exigences de base. Les PCA devraient comprendre un accord sur les niveaux de service ou une autre entente officielle avec les fournisseurs de services externes décrivant les niveaux de service requis pour permettre le rétablissement des services essentiels.
Réponse de la direction
La direction souscrit à la recommandation.
Les directeurs généraux, les DGR et les agents principaux de l’immeuble responsables examineront leurs plans de continuité des activités et les mettront à jour afin d’assurer qu’ils répondent aux exigences de base et qu’ils s’harmonisent avec les modèles de plans de continuité des activités révisés. La Division de la sécurité ministérielle apportera également son soutien à l’examen et à la mise à jour des plans de continuité des activités d’ECCC et examinera et mettra à jour les analyses des répercussions sur les activités qui leur sont associées. Le volet sur la surveillance et la préparation de rapports figurant à la recommandation 3 permettra de veiller à ce que des plans actualisés soient en place et de surveiller les progrès.
Le volet sur la surveillance et la préparation de rapports comprendra également un questionnaire (article 3.4 de la Norme du SCT) pour s’assurer qu’on a tenu compte de tous les éléments essentiels, dont les accords sur les niveaux de service conclus avec les fournisseurs de services externes, pendant le processus d’élaboration du PCA de la direction générale.
Formation et sensibilisation
Les ministères sont responsables d’élaborer des plans de formation et de sensibilisation en matière de PCA, un volet essentiel du cadre de préparation ministériel.
La politique sur la PCA d’ECCC et son plan ministériel de continuité des activités indiquent que la formation et la sensibilisation en matière de PCA sont assurées, au plan individuel et collectif. Ce volet comprend un éventail d’activités, comme des cours techniques, des séminaires, des ateliers, des exercices de simulation sur table et des exercices plus élaborés, dont la prestation se fait de préférence en partenariat avec d’autres ministères du gouvernement. La formation et la sensibilisation touchent tous les gestionnaires et employés. La priorité porte sur les services essentiels, les biens associés et les fonctions de soutien essentielles, lesquels ont été établis en fonction des évaluations des menaces et des risques et des ARA.
Bien que la politique et le plan du Ministère prévoient des activités de formation et de sensibilisation, l’audit a permis de déterminer que les activités d’ECCC dans ce domaine se limitent à l’offre d’outils pertinents sur la PCA et les activités de rétablissement, comme des manuels opérationnels à l’intention des responsables des centres des secours d’urgence, des procédures opérationnelles normalisées et des manuels pour les agents principaux de l’immeuble. De même, des outils ont été prévus pour les membres de la haute direction (par exemple, un aide-mémoire sur le PCA). Le personnel du Ministère devrait toutefois manifester un engagement plus important afin de maximiser le niveau de préparation pendant un événement.
Le rapport d’étape annuel sur la situation de la PCA de 2015, dont il est fait mention plus haut, a souligné la nécessité de préparer un plan ministériel de formation et de sensibilisation en matière de PCA et a établi certains aspects qui requièrent des améliorations. On y suggère, par exemple, la mise au point d’un plan ciblé de sensibilisation, de formation et de mise à l’essai, qui serait axé sur la coordination et la communication des responsabilités à celles et ceux qui sont chargés d’intervenir en cas d’incidents ou qui ont des responsabilités en matière de continuité des activités, y compris les gestionnaires ministériels, les directeurs généraux régionaux, les membres de la haute direction et le cabinet de la ministre.
Un manque de formation et d’outils adéquats pourrait entraîner l’inefficacité et l’inefficience de la mise en œuvre des plans de continuité des activités.
Recommandation 5
La sous-ministre adjointe, Direction générale des services ministériels et des finances, devrait élaborer et mettre en œuvre un plan de sensibilisation et de formation en matière de PCA.
Réponse de la direction
La direction souscrit à la recommandation.
La Division de la sécurité ministérielle établira un plan de sensibilisation et de formation en matière de PCA ayant pour but d’offrir une formation ciblée aux coordonnateurs du PCA de direction générale et de sensibiliser les employés au programme de PCA et à leurs rôles et responsabilités.
Détails de la page
- Date de modification :