Audit du processus de gestion de la continuite operationnelle de RNCan
Présenté au Comité ministériel d’audit (CMA)
19 octobre 2021
Table des matières
- Sommaire
- Introduction
- Constatations et recommandations
- Annexe A – Critères d’audit
- Annexe B – Acronymes et sigles
Sommaire
Introduction
Le processus de gestion de la continuité opérationnelle (GCO) consiste à déterminer et à planifier les éventuelles interruptions de service majeures afin de réduire au minimum leur incidence sur la capacité d’une organisation à exécuter ses fonctions essentielles. Une GCO efficace est essentielle à la stabilité et à la réussite continues d’une organisation, puisqu’elle permet de préparer des interventions efficientes en cas d’interruption et vise à traiter de façon proactive les menaces internes et externes. La pandémie de COVID-19 a montré l’importance de l’adoption de pratiques de GCO efficaces par toutes les organisations.
En tant que composante clé de la sécurité organisationnelle, les exigences ministérielles du gouvernement du Canada (GC) en matière de création et de mise en œuvre de processus de GCO sont énoncées dans deux instruments de politique du Conseil du Trésor (CT); la Politique sur la sécurité du gouvernement (PSG), et la Directive sur la gestion de la sécurité. La Politique sur les services et le numérique du CT complète également ces instruments de politique. Ensemble, les instruments visent à s’assurer que les ministères ont établi de bonnes mesures de contrôle de sécurité pour appuyer la prestation rapide et efficace des produits et services aux Canadiens.
La Loi sur la gestion des urgences (LGU) définit les responsabilités et les obligations de rapports des ministres fédéraux quant à la gestion des urgences au Canada. Par conséquent, la gestion de la continuité opérationnelle (GCO) se rapporte à la mission fondamentale de chaque ministère en cherchant à préparer les fonctions jugées essentielles à la réussite de son mandat en cas d’interruption majeure des services. Grâce à la GCO, les fonctions essentielles peuvent continuer d’être exécutées et d’assurer les activités liées à la LGU dont Ressources naturelles Canada (RNCan) est responsable.
La Division de la gestion de la sécurité et des mesures d'urgence (DGSU) de Ressources naturelles Canada (RNCan), qui relève du Secteur de la gestion et des services intégrés (SGSI), est responsable du programme de GCO du ministère; toutefois, les responsables opérationnels se chargent de la gestion et de l’exécution des fonctions et des systèmes essentiels à la mission du ministère. RNCan a activé son plan de continuité opérationnelle (PCO) en réponse à la déclaration de la pandémie de COVID-19 le 15 mars 2020, et les employés ont reçu la directive de travailler depuis leur domicile jusqu’à ce que d’autres lignes directrices soient fournies. La stratégie ministérielle de poursuite des activités pendant la période d’activation du PCO intègre un autre site qui peut être utilisé dans le cadre du Système de rétablissement des bureaux communs (SRCB); toutefois, ce site n’a pas été utilisé en raison de la nature de la pandémie.
L’audit visait à évaluer l’efficacité de la structure de gouvernance de la sécurité et des activités de gestion des risques de RNCan, ainsi que des processus qui aident le ministère à s’acquitter de ses obligations en matière de GCO et qui lui permettent d’être continuellement prêt à exécuter son mandat en cas d’interruption de service. L’audit a également permis de relever les leçons tirées de l’activation du PCO en mars 2020 en raison de la pandémie.
Points forts
Le ministère a fait preuve de souplesse et de flexibilité pour atteindre les objectifs de la GCO poursuivis en réponse à l’activation du PCO dans le cadre de la pandémie de COVID-19. On a récemment procédé au renouvellement d’un comité de gouvernance géré par le dirigeant principal de la sécurité (DPS) qui assure une fonction de surveillance de la GCO. Par ailleurs, certains outils d’analyse des répercussions sur les activités (ARA) et de PCO ont récemment été actualisés en consultation avec Sécurité publique (SP). Bien qu’il n’y ait pas de PCO ministériel exhaustif en place, RNCan a commencé à préparer une ébauche de PCO et a l’intention de la finaliser.
Domaines à améliorer
Le Ministère est exposé à un certain nombre de risques en raison des processus de GCO qui nécessitent des améliorations importantes. D’éventuelles solutions ont été cernées pour améliorer la structure de gouvernance et les processus de gestion visant à superviser et coordonner la GCO ministérielle. Il s’agit notamment de définir et communiquer les rôles et les responsabilités, d’élaborer un programme de formation et de sensibilisation à la GCO et de renforcer les processus internes de suivi et de communication. Il est également possible de renforcer les activités ministérielles liées à l’ARA et au PCO pour veiller à ce qu’elles soient documentées en détail, approuvées régulièrement par la haute direction et appuyées par des évaluations régulières des risques ainsi que par un programme de mise à l’essai officiel. De plus, on a relevé des occasions de documenter les plans, les définitions et les exigences relatives aux composantes de TI des services essentiels. Il est également possible de veiller à ce que les efforts d’amélioration continue de la GCO soient renforcés, notamment pour ce qui est du suivi régulier des activités de GCO, ainsi que du caractère opportun des activités relatives au suivi et aux leçons apprises.
Conclusion de l’audit interne et opinion
À mon avis, bien que certains éléments d’un programme de GCO soient en place à RNCan, plusieurs d’entre eux ne fonctionnent pas de manière efficace et doivent faire l’objet d’améliorations importantes. Il existe notamment des occasions de renforcer l’efficacité de la structure de gouvernance de la sécurité, des activités de gestion des risques, et des processus qui aident le ministère à s’acquitter de ses obligations en matière de GCO et qui lui permettent d’être continuellement prêt à exécuter son mandat en cas d’interruption de service. L’importance des activités ministérielles de GCO nécessitera que la direction accorde une attention en temps opportun aux domaines identifiés dans le présent audit, afin de veiller à ce que le ministère soit prêt à atteindre ses objectifs en cas d’activation du PCO.
Énoncé de conformité
Mon opinion professionnelle, en tant que dirigeant principal de l’audit et de l’évaluation, est que l’audit est conforme aux normes internationales pour la pratique professionnelle des audits internes de l’Institute of Internal Auditors et à la Politique sur l’audit interne du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.
Michel Gould, MBA, CPA, AIC
Dirigeant principal de l’audit et de l’évaluation
19 octobre 2021
Remerciements
L’équipe d’audit souhaiterait remercier les personnes qui ont participé à ce projet, en particulier les employés qui ont fait part de leurs points de vue et leurs commentaires dans le cadre de cet audit.
Introduction
Le processus de gestion de la continuité opérationnelle (GCO) consiste à déterminer et à planifier les éventuelles interruptions de service majeures afin de réduire au minimum leur incidence sur la capacité d’une organisation à exécuter ses fonctions essentielles. Une GCO efficace est essentielle à la stabilité et à la réussite continues d’une organisation, puisqu’elle permet de réduire les répercussions des interruptions de service et vise à traiter de façon proactive les menaces internes et externes. La pandémie de COVID-19 a montré l’importance de l’adoption de pratiques de GCO efficaces par toutes les organisations.
En tant que composante clé de la sécurité organisationnelle, les exigences ministérielles du gouvernement du Canada (GC) en matière de création et de mise en œuvre de processus de GCO sont énoncées dans deux instruments de politique du Conseil du Trésor (CT); la Politique sur la sécurité du gouvernement, et la Directive sur la gestion de la sécurité. La Politique sur les services et le numérique du CT complète également ces instruments de politique. Ensemble, les instruments visent à s’assurer que les ministères ont établi de bonnes mesures de contrôle de sécurité pour appuyer la prestation rapide et efficace des produits et services aux Canadiens.
En outre, la Loi sur la gestion des urgences (LGU) définit les responsabilités et les obligations de compte rendu des ministres fédéraux quant à la gestion des urgences au Canada. Par conséquent, la gestion de la continuité opérationnelle (GCO) se rapporte à la mission fondamentale de chaque ministère en cherchant à préparer les fonctions jugées essentielles à la réussite de son mandat en cas d’interruption majeure des services. Grâce à la GCO, les fonctions essentielles peuvent continuer d’être exécutées et d’assurer les activités liées à la LGU dont Ressources naturelles Canada (RNCan) est responsable.
Transcript
La « gestion de la continuité opérationnelle » apparaît au centre de la figure, entourée de cinq encadrés reliés par des flèches formant un cycle complet. En commençant par le premier encadré en haut de la figure et en se déplaçant dans le sens des aiguilles d’une montre, les encadrés contiennent les termes suivants : Analyse des répercussions sur les activités, Plans de continuité opérationnelle, Sensibilisation et formation, Mise à l’essai, Surveillance et mesures correctives.
Le cycle de la GCO comprend cinq composantes principales (illustrées à droite). Le cycle commence par une analyse des répercussions sur les activités (ARA), dans le cadre de laquelle les principaux risques auxquels une organisation est confrontée sont cernés, et une évaluation de leur incidence sur les fonctions de service essentielles est effectuée. Un plan de continuité opérationnelle (PCO) est élaboré en fonction des résultats de l’ARA du ministère, en décrivant les activités et les procédures à mettre en œuvre en cas d’interruption majeure de service. La sensibilisation et la formation visent à préparer les employés à appliquer le PCO de manière efficace et coordonnée. La mise à l’essai régulière du PCO permet de s’assurer que l’organisation est continuellement prête à réagir. Enfin, le suivi régulier des diverses composantes de la GCO permet de veiller à ce que les futures ARA soient bien renseignées et à jour, assurant ainsi l’amélioration continue des pratiques de GCO d’une entité.
La DGSU de RNCan, qui relève du Secteur de la gestion et des services intégrés (SGSI), est responsable du programme de GCO du ministère. La DGSU a finalisé la version finale de la Norme sur la gestion de la continuité opérationnelle (la Norme) en août 2018. Ce document vise à assurer la prestation continue des fonctions opérationnelles essentielles, à limiter la perte de confiance du public, à réduire les difficultés financières et économiques des Canadiens, à restreindre l’interruption des activités gouvernementales internes, et à atténuer les répercussions négatives sur les relations internationales, fédérales, provinciales et territoriales. La Norme vise à décrire les rôles et les responsabilités de divers intervenants ministériels, notamment ceux de la DGSU, de la Direction du dirigeant principal de l’information et de la sécurité, ainsi que ceux de la direction et des responsables sectoriels de la GCO. La Norme décrit également les principales étapes de l’élaboration et de l’exécution des activités de GCO.
RNCan a activé son PCO en réponse à la déclaration de la pandémie de COVID-19 le 15 mars 2020, et les employés ont reçu la directive de travailler depuis leur domicile jusqu’à ce que d’autres lignes directrices soient fournies. Les systèmes essentiels à la mission du ministère sont gérés et exploités au niveau sectoriel par les responsables opérationnels. RNCan dispose d’un autre site qui peut être utilisé dans le cadre du Système de rétablissement des bureaux communs (SRCB); toutefois, ce site n’a pas été utilisé en raison de la nature de la pandémie.
L’annexe B fournit une liste des sigles utilisés tout au long du rapport d’audit. Le présent audit a été inclus dans le Plan intégré d’audit et d’évaluation 2020-2025 approuvé par le sous-ministre le 27 août 2020.
| Leçons tirées de la pandémie de COVID-19 |
|---|
| Les encadrés figurant dans l’ensemble du rapport d’audit mettent en évidence les leçons apprises qui pourraient être intégrées à la préparation des activations futures. Au cours de l’audit, notre équipe a cerné les principales leçons tirées de la réponse de RNCan à la pandémie de COVID-19 qui ne relevaient pas du champ d’application de ses travaux et a choisi de les inclure dans le présent rapport sous ce format. L’évaluation des leçons apprises dans le cadre de l’activation d’un PCO est un élément clé de l’amélioration continue d’un processus de gestion de la continuité opérationnelle bien établi. |
But et objectifs de l’audit
L’audit visait à évaluer l’efficacité de la structure de gouvernance de la sécurité et des activités de gestion des risques de RNCan, ainsi que des processus qui aident le ministère à s’acquitter de ses obligations en matière de GCO et qui lui permettent d’être continuellement prêt à exécuter son mandat en cas d’interruption de service. L’audit a également permis de relever les leçons tirées de l’activation du PCO en mars 2020 en raison de la pandémie.
L’audit a évalué plus particulièrement si :
- des structures de gouvernance de la sécurité adéquates ont été établies pour surveiller et coordonner les composantes de gestion de la continuité opérationnelle de RNCan aux échelles ministérielle, sectorielle et régionale;
- les activités de gestion des risques sont adéquatement conçues et mises en œuvre et régulièrement mises à jour afin d’être continuellement prêt à exécuter le mandat de RNCan en cas d’interruption de service;
- des processus adéquats ont été établis pour assurer l’efficacité des fonctions opérationnelles essentielles de RNCan en cas d’activation d’un PCO; et
- des leçons ont été tirées de l’activation du PCO de RNCan en mars 2020 en raison de la pandémie.
Facteurs pris en considération lors de l’audit
Une approche axée sur les risques a été utilisée pour définir les objectifs, la portée et la démarche de cette mission d’audit. Voici les principaux risques sous-jacents susceptibles d’avoir une incidence sur la mise en œuvre efficace de la GCO de RNCan :
- Des structures de gouvernance de la sécurité adéquates appuient la planification et les interventions ministérielles, sectorielles et régionales en cas d’événement nécessitant l’activation du PCO, notamment la détermination appropriée des rôles et responsabilités pertinents dans l’ensemble du ministère;
- Des analyses efficaces et adéquates des répercussions sur les activités existent et sont correctement mises en œuvre pour déterminer les fonctions essentielles du ministère et veiller à ce que les risques non atténués soient perçus;
- Des processus efficaces sont conçus pour appuyer la mise en œuvre adéquate du PCO en cas d’activation, notamment la mise en œuvre d’exercices de mise à l’essai du PCO, d’initiatives d’amélioration continue et d’activités de formation; et
- Des PCO ont été activés et mis en œuvre de manière efficace en réponse à la pandémie de COVID-19, et les leçons tirées de cette expérience ont été documentées par le ministère.
Portée
L’audit a porté sur les activités et initiatives actuelles et futures en matière de gestion de la continuité opérationnelle au sein du ministère. Compte tenu de la contribution de l’ensemble du ministère au programme de PCO, l’audit a intégré un examen des rôles, des responsabilités et des obligations de compte rendu des divers secteurs, y compris la DGSU, qui est le bureau de première responsabilité du SGSI. L’échéancier de l’audit a couvert la période allant du 1er juillet 2019 (date d’entrée en vigueur de la Politique sur la sécurité du gouvernement du CT) à juillet 2021.
L’audit n’a pas traité des activités de gestion des urgences, qui ont été couvertes par un audit récent. L’audit n’a pas non plus porté sur les plans ministériels de reprise après sinistre, sauf lorsqu’ils étaient directement liés à la GCO. Le présent audit n’a pas permis d’évaluer la pertinence ou l’efficacité du cadre de gestion intégrée du risque et du profil de risque du ministère, ni les processus de soutien utilisés pour les élaborer et les mettre à jour.
L’équipe d’audit a tenu compte des résultats des précédents projets consultatifs, d’audit et d’évaluation consacrés à des sujets connexes.
Approche et méthodologie
L’approche et la méthodologie adoptées pour le présent audit respectaient les normes internationales pour la pratique professionnelle des audits internes de l’Institute of Internal Auditors (normes de l’IIA) et la Politique sur l’audit interne du Conseil du Trésor. Ces normes exigent que l’audit soit planifié et exécuté de manière à donner l’assurance raisonnable que les objectifs de l’audit sont atteints. L’audit comportait divers tests jugés nécessaires pour offrir une telle assurance. Les auditeurs internes ont fait preuve d’impartialité et d’objectivité, comme l’exigent les normes de l’IIA.
L’audit comprenait les tâches clés suivantes :
- des entrevues avec des représentants clés du personnel et des comités;
- l’examen et la mise à l’essai des documents et processus ministériels ayant trait à la planification de la continuité opérationnelle;
- la détermination et l’examen des pratiques exemplaires relevées dans d’autres ministères; et
- l’examen des politiques et directives clés.
L’étape d’exécution de l’audit s’est terminée pour l’essentiel en juillet 2021.
Critères
Les critères de l’audit sont présentés en détail à l’Annexe A. Le travail d’audit sur le terrain et la conclusion globale de l’audit reposent sur ces critères.
Constatations et recommandations
Structure de gouvernance, communication, mécanismes d'établissement de rapports, formation et sensibilisation se rapportant à la GCO
Constatation générale
Dans l’ensemble, le ministère a fait preuve de souplesse et d’agilité dans les efforts et les mesures qu’il a mis en place pour atteindre les objectifs de GCO en réponse à l’activation du PCO. Bien que la Direction du dirigeant principal de l’information et de la sécurité (DDPIS) ait conçu et mis en œuvre certains processus pour orienter et superviser les composantes de la GCO du ministère, il est possible d’améliorer la structure de gouvernance et les processus de gestion visant à coordonner les composantes de la GCO du ministère à l’échelle ministérielle, sectorielle et régionale. Il existe également des occasions de s’assurer que les rôles et les responsabilités sont définis et communiqués, et que RNCan élabore des programmes de sensibilisation et de formation visant à renforcer les compétences et la capacité en matière de GCO. De plus, une occasion d’améliorer les processus de suivi et de communication internes a été cernée, ce qui pourrait permettre aux secteurs et aux régions de mieux comprendre leurs besoins et les priorités du ministère en ce qui a trait à la GCO.
Observations pertinentes
L’équipe d’audit s’attendait à ce que des structures de gouvernance adéquates ait été établies pour superviser et coordonner les composantes de la GCO de RNCan aux échelles ministérielle, sectorielle et régionale. De plus, on s’attendait à ce que les rôles, les responsabilités et les obligations de rapports soient clairement définis et communiqués aux personnes chargées de ces responsabilités. L’équipe d’audit s’attendait à ce que le ministère ait établi des mécanismes de communication adéquats entre les secteurs et la fonction centrale de coordination responsable du programme de PCP, ainsi que des mécanismes de production de rapports pour s’assurer que la DGSU et les comités de gouvernance reçoivent des renseignements exacts, complets et opportuns leur permettant d’orienter et de superviser efficacement les processus de continuité opérationnelle. Enfin, l’équipe d’audit s’attendait à ce que des programmes de formation et de sensibilisation officiels et adéquats soient établis pour acquérir les compétences et les capacités requises dans le cadre des responsabilités de GCO assignées à ces rôles, ce qui permettrait un rendement efficace en réponse à l’activation d’un PCO.
Structures de gouvernance
L’équipe d’audit a constaté qu’un comité des sous-ministres adjoints, le Comité des SMA sur la sécurité, la gestion des mesures d’urgence et les renseignements (SMA-CSGMUR), et un comité de gouvernance composé de directeurs généraux, le DG-CSGMUR, ont été mis sur pied pour soutenir les activités de GCO. Toutefois, le comité des SMA ne s’est pas réuni depuis 2019, et le comité des DG ne s’était pas retrouvé depuis 2018 avant d’être de nouveau réuni par le DPS en décembre 2020. Pendant la pandémie, le ministère a choisi de faire appel à d’autres comités pour assurer la gouvernance et la surveillance de l’intervention de l’organisation. L’équipe d’audit a constaté que le comité des DG renouvelé se réunit tous les mois depuis janvier 2021, qu’il comprend une liste pertinente de membres et qu’il s’acquitte de son mandat. Le SGSI a élaboré et mis à jour un mandat pour le DG-CSGMUR indiquant qu’il prévoit rendre compte à la haute direction de RNCan par l’entremise du Comité opérationnel. Toutefois, l’équipe d’audit a noté que, depuis janvier 2021, les renseignements découlant des réunions du DG-CSGMUR n’ont pas encore été fournis au Comité opérationnel.
L’équipe d’audit a constaté qu’un Groupe de travail sur la gestion de la continuité opérationnelle (GT GCO) avait été formé dans le but de rendre compte au DG-CSGMUR. Le mandat du groupe de travail ne précise pas la fréquence à laquelle le groupe a l’intention de se réunir. La DGSU a indiqué qu'en dépit des réunions trimestrielles du GT GCO, ses procès-verbaux de réunions ou ses comptes rendus des décisions n’ont pas été conservés. Le GT GCO se compose de responsables de la PCO de chaque secteur qui ont été affectés au groupe de travail par le SMA de leur secteur. L’équipe d’audit a noté que la liste des membres du GT GCO n’était pas tenue à jour.
| Leçon № 1 tirée de la pandémie de COVID-19 |
|---|
| L’approche de gestion adaptative appliquée à la GCO doit être appuyée par un plan clair servant de base aux décisions de gestion. Au début de la pandémie, les employés de RNCan ont reçu la directive de travailler depuis leur domicile. Le Ministère a fait preuve de flexibilité en convoquant rapidement un comité de la haute direction, qui se réunissait quotidiennement pour surveiller l’évolution de la situation et prendre des décisions rapides en fonction des renseignements disponibles. Un comité sur la COVID-19 s’est également formé et a diffusé des messages et des lignes directrices à l’ensemble du personnel de RNCan par l’entremise de la boîte aux lettres dédiée à la COVID-19, et a été utilisé pour répondre aux questions soulevées par le personnel. L’équipe d’audit a également noté que les hauts fonctionnaires chargés de surveiller les fonctions essentielles ont dû prendre des décisions en l’absence de protocoles établis. Par conséquent, une approche de gestion adaptative a été adoptée, ce qui signifiait que des décisions ont dû parfois être modifiées en fonction des nouvelles informations et lignes directrices des organismes centraux. Les résultats des entretiens de groupe menés par les auditeurs ont indiqué que, même si les gestionnaires et le personnel participants étaient généralement satisfaits du niveau des communications reçues au sujet de la réponse du ministère, beaucoup d’entre eux avaient précisé qu’il était nécessaire d’établir des plans, des lignes directrices et des protocoles plus concrets. |
Rôles et responsabilités
L’équipe d’audit a constaté que les rôles et responsabilités en matière de GCO à RNCan sont officiellement et principalement définis dans la Norme sur la gestion de la continuité opérationnelle (la Norme) de RNCan (août 2018). La Norme n’a pas été mise à jour malgré l’entrée en vigueur de la Directive sur la gestion de la sécurité du CT en juillet 2019. Par conséquent, l’équipe d’audit a constaté qu’il existait certaines divergences entre les rôles et responsabilités énoncées dans la Norme et rôles décrits dans les lignes directrices du CT en dépit de leur concordance sur le plan général. La directive du CT indique que le DPS de l’organisation exerce le pouvoir délégué de gestion de la sécurité, et notamment la GCO. Toutefois, la Norme ne définit ni ne documente les rôles et responsabilités du DPS, ni la façon dont son rôle se coordonne avec ceux des autres personnes responsables des activités de GCO à RNCan. De plus, la Directive du CT et la Norme ne convergent pas en ce qui concerne l’attribution de la responsabilité relative au rapport annuel sur la sécurité, qui intègre la GCO.
L’équipe d’audit a également noté que les SMA ont reçu la responsabilité de déterminer les fonctions essentielles au sein de leurs secteurs et que la Norme sur la GCO de RNCan exige que la liste complète des fonctions opérationnelles essentielles fasse l’objet d’un examen annuel par le Comité exécutif. L’équipe d’audit n’a pas été en mesure de trouver des preuves de l’achèvement de cet examen exigé par la Norme. L’équipe d’audit a également constaté que la Norme ne précise pas les rôles ou les responsabilités en matière de GCO des responsables principaux des immeubles (RPI) dans chaque région où RNCan exerce ses activités. En l’absence de rôles et de responsabilités définis en matière de GCO ou d’une compréhension de l’autorité dont ils disposent pour permettre la poursuite des travaux, certains RPI qui collaborent à l’échelle interrégionale ont créé leur propre documentation sur le PCO dans le but de normaliser leur réponse et leur processus de prise de décision.
La Norme était disponible sur l’intranet du ministère, et la DGSU a indiqué que les responsabilités énoncées dans la Norme ont été communiquées par l’entremise du GT GCO à la communauté des coordonnateurs et des responsables sectoriels de la GCO. Malgré cela, l’équipe d’audit a constaté que bon nombre des membres de ces groupes n’étaient pas au courant de leurs rôles et responsabilités en matière de GCO ni de l’endroit où ils pouvaient trouver leurs rôles et responsabilités documentés. En outre, le taux de roulement élevé du groupe des coordonnateurs et des responsables de la GCO a entraîné une hausse de la demande de formation de nouveaux membres.
L’équipe d’audit a également constaté que de nombreuses personnes issues de tous les échelons, de tous les secteurs et de toutes les régions du ministère à qui on avait attribué des responsabilités en matière de GCO n’étaient pas au courant de ce qu’on attendait d’elles dans le cadre de leur rôle de GCO. Par conséquent, les méthodes existantes de communication des rôles et responsabilités de la GCO se sont avérées inefficaces.
Mécanismes de communication et de production de rapports
La Directive sur la gestion de la sécurité du CT exige que le DSP rende compte au moins une fois par an à l’administrateur général des progrès et de la mise en œuvre des priorités définies dans le plan de sécurité du ministère. L’équipe d’audit a constaté qu’aucun compte rendu officiel à la haute direction sur la fonction de GCO de RNCan et ses progrès et réalisations à l’égard des priorités du ministère n’a été établi pendant la période visée par le présent audit.
L’équipe d’audit a noté que la DGSU communique avec les coordonnateurs de la GCO de chaque secteur chargés de l’exécution annuelle des ARA et des PCO. Le principal mécanisme de communication est le GT sur le GCO. Comme il a été mentionné ci-dessus, l’équipe d’audit a constaté qu’aucune documentation des réunions du GT GCO n’a été produite ni conservée; toutefois, la DGSU a créé des guides d’utilisation à l’intention des secteurs sur lesquels s’appuyer pour remplir le modèle d’ARA/de PCO, ainsi que des guides pour diriger un exercice de simulation et y participer.
L’équipe d’audit a noté que chaque immeuble du Canada occupé par du personnel de RNCan dispose d’un RPI, poste associé généralement à l’échelon des DG, qui se charge de prendre des décisions concernant l’occupation et la sécurité du personnel en vertu du plan d’évacuation d’urgence de l’immeuble (PEUI). Pendant la pandémie de COVID-19, et en raison de la nature prolongée des interruptions qu’elle cause, les RPI de RNCan prennent les décisions relatives à l’occupation des immeubles en fonction des lignes directrices des organismes de santé publique locaux. Par conséquent, ils assument des responsabilités liées à la poursuite des activités de RNCan, dont certaines ont été désignées comme essentielles. Par conséquent, en consultation avec leurs pairs dans l’ensemble du pays, ils ont pris des décisions relatives à la continuité des opérations, en se chargeant notamment d’approuver le retrait de l’équipement des immeubles de RNCan. Les RPI ont indiqué que, dans certains cas, ils ont dû modifier des décisions à la suite de la réception de lignes directrices du SGSI. Dans bien des cas, les RPI de RNCan sont responsables non seulement des employés de RNCan occupant ces immeubles détenus par le ministère, mais aussi des autres locataires de divers bureaux, qui comprennent des organisations privées et d’autres ministères. Par conséquent, il était très important que les RPI reçoivent en temps opportun des renseignements sur les priorités et les décisions du ministère relatives à l’occupation des immeubles.
| Leçon № 2 tirée de la pandémie de COVID-19 |
|---|
| Il faut tenir compte des variations des circonstances et des exigences régionales. Compte tenu de la couverture géographique de RNCan, ses plans, stratégies et protocoles devraient être adaptés aux exigences de continuité opérationnelle des différentes régions pour permettre l’adoption de stratégies d’intervention efficientes et efficaces. Certains immeubles régionaux appartiennent à RNCan, et les RPI sont responsables des locataires des secteurs privé et public, qui ont leurs propres tolérances au risque et stratégies de GCO qui peuvent ne pas concorder avec celles de RNCan. Les orientations offertes par l’entremise de la RCN en ce qui a trait à la pandémie de COVID-19 devraient tenir compte de l’importance de satisfaire les besoins et exigences des bureaux régionaux et de leurs locataires. |
Formation et sensibilisation
Les programmes de formation et les campagnes de sensibilisation constituent une composante importante du cycle de GCO. La Directive sur la gestion de la sécurité du CT précise que RNCan doit mettre en place ces processus. Cette directive indique expressément que la formation et la sensibilisation sont des aspects essentiels au succès de la fonction de GCO d’un ministère.
Dans l’ensemble, l’équipe d’audit a constaté un manque global de sensibilisation aux activités de GCO. L’équipe a notamment constaté qu’à tous les échelons du Ministère, il existe un manque de compréhension de la façon dont les processus et les plans du Ministère visant à atteindre les objectifs de GU diffèrent de ceux qui appuient la continuité opérationnelle. L’équipe d’audit a noté que la DDPIS a mené une campagne de sensibilisation à la GCO auprès des membres du Comité de la haute direction de RNCan préalablement à l’exercice de simulation de la GU réalisé en mai 2021, et que bon nombre des personnes interrogées qui ont participé à cet exercice ont indiqué qu’il avait été bien organisé et bien accueilli.
L’équipe d’audit a appris que les personnes qui agissaient au nom de fonctionnaires qui ne pouvaient pas assister aux réunions ne bénéficiaient pas toujours d’une formation ou d’une sensibilisation adéquate à la GCO pour prendre les décisions dont elles avaient la responsabilité. Cela pourrait indiquer un manque de connaissance des protocoles de GCO et de formation des personnes ayant des responsabilités déléguées.
La Norme attribue à la DGSU la responsabilité de la formation des coordonnateurs et des responsables sectoriels de la GCO, qui sont ensuite chargés d’offrir la formation requise dans leur « domaine de responsabilité ». Toutefois, l’équipe d’audit a noté que le « domaine de responsabilité » des secteurs de formation n’est pas clairement défini ni compris. Les RPO assument l’entière responsabilité de leurs fonctions essentielles et des processus nécessaires à la continuité opérationnelle, en particulier la continuité des TI, en cas d’activation d’un PCO. La formation requise pour s’assurer que le personnel est prêt à une activation devrait être spécifique à chaque fonction essentielle. Toutefois, la responsabilité de cette formation et sensibilisation du personnel des fonctions essentielles n’est pas clairement attribuée dans la Norme. L’équipe d’audit a également constaté qu’outre le manque de clarté des lignes directrices ministérielles, et peut-être en raison de celui-ci, les fonctions essentielles n’avaient pas conçu ni mis en œuvre de programmes officiels de formation et de sensibilisation à l’appui de la continuité opérationnelle.
Le rôle de responsable du PCO est habituellement assumé par un directeur ou un gestionnaire et, à la suite de diverses entrevues dans tous les secteurs, l’équipe d’audit a constaté que le rôle de responsable de la GCO est souvent attribué à une personne n’ayant aucune compétence ou expérience préalable dans ce domaine. Cette attribution dépend plutôt de la capacité à assumer un rôle administratif, soit la complétion annuelle des modèles d’ARA et de PCO. L’équipe d’audit a constaté qu’il n’existait aucun programme de formation adéquat pour appuyer et renforcer les compétences et les capacités de la communauté des responsables sectoriels de la GCO qui leur permettraient de remplir le rôle et les responsabilités qui leur ont été assignés relativement à la prestation de la formation sectorielle sur la GCO, à l’établissement et à la direction du groupe de travail sur la GCO de leur secteur et à la coordination des exercices de PCO.
L’équipe d’audit a constaté que, bien que la DGSU ait créé et partagé un guide pour compléter les gabarits d’ARA/de PCO destiné aux utilisateurs et des guides de participation à un exercice de simulation du PCO, la division n’a pas fourni une formation adéquate aux coordonnateurs et responsables sectoriels de la GCO. De plus, rien n’indique qu’un programme ministériel de formation officielle ait été mis sur pied aux fins d’acquisition des compétences et de la capacité nécessaires au Ministère pour atteindre ses objectifs en matière de GCO.
Risques et incidences
En l’absence de comités de gouvernance se réunissant régulièrement et fondant leurs activités et leurs décisions sur des comptes rendus adéquats et opportuns, et d’une structure de réponse claire, la surveillance risque de ne pas être exercée adéquatement, ce qui pourrait faire en sorte que le ministère ne soit pas prêt à réagir à une interruption de service.
En l’absence de processus de GCO, notamment en ce qui a trait à la communication des rôles et responsabilités, et à l’intégration du rôle du RPI dans les processus de GCO; ainsi que d’un programme de formation et de sensibilisation visant à renforcer les capacités et à perfectionner les compétences, il se peut que les personnes de tout échelon hiérarchique ne disposent pas de l’information nécessaire pour s’acquitter des fonctions nécessaires à la poursuite des objectifs ministériels en matière de GCO à l’appui du mandat de RNCan.
Recommandations
Recommandation № 1 : Il est recommandé que le DPS s’assure :
- qu’il y ait des comités de gouvernance qui fonctionnent adéquatement et qu’il y ait des comptes rendus suffisants, opportuns et constants du Groupe de travail (GT) sur la GCO auprès du DG-CSGMUR et du DG-CSGMUR auprès de la haute direction de RNCan, permettant une surveillance adéquate du programme et des activités de GCO;
- que les rôles, les responsabilités et les pouvoirs décisionnels, y compris la délégation de ces pouvoirs, soient examinés et communiqués pour veiller à leur conformité avec les plans du Ministère pour s’acquitter de ses responsabilités en matière de GCO en cas d’interruption majeure des services; et
- qu’un solide programme de formation et de sensibilisation à la GCO soit mis en œuvre pour acquérir, exercer et conserver les compétences et les capacités nécessaires pour s’assurer que le ministère soit prêt à remplir son mandat en ce qui a trait à la GCO.
Réponse de la direction et plan d'action
La direction est d’accord avec la recommandation no 1a.
La DDPIS veillera à ce qu’une copie ou un compte rendu des travaux du GT GCO soit remis au DG-CSGMUR en temps opportun. De plus, tous les documents traitant de la GCO sont examinés et approuvés par le GT GCO et le DG-CSGMUR et présentés à la haute direction de RNCan.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 31 mars 2022
La direction est d’accord avec la recommandation no 1b.
La DDPIS veillera à ce que les rôles, les responsabilités et les rapports hiérarchiques ayant trait à la GCO soient communiqués à tous les échelons de la direction, aux principaux intervenants de la continuité opérationnelle au sein de RNCan et à tous les employés. Les rôles et responsabilités seront également inclus dans la norme révisée. Cela comprend la description du rapport hiérarchique fonctionnel du DPS au SM. La DDPIS aura recours à des présentations destinées à la direction, des communiqués aux employés ainsi que de la formation et des exercices de simulation.
De plus, la direction accepte d’organiser chaque année un exercice de simulation pour la haute direction, afin que la haute direction soit tenue au courant de ses rôles et responsabilités et soit bien préparée à tout type d'événement.
La première simulation est prévue en novembre 2021.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 31 mars 2022
La direction est d’accord avec la recommandation no 1c.
La DDPIS établira un cadre de suivi et de production de rapports qui fera partie intégrante du programme de gestion de la continuité opérationnelle de RNCan. Le cadre de suivi et de production de rapports comprendra un volet de mise à l’essai et d’exécution ainsi qu’un volet de production de rapports pour documenter le nombre de plans achevés, approuvés, exercés ou mis à l’essai, ainsi que la conformité aux instruments de politique et aux lignes directrices techniques de RNCan, du SCT et de Sécurité publique Canada.
RNCan élaborera également un programme de formation et de sensibilisation à l’intention des coordonnateurs de la GCO, de la haute direction et des employés. Les rôles et responsabilités de chaque groupe seront également communiqués dans le cadre de la formation.
L’objectif de RNCan est de mettre à l’essai chaque année les activités de GCO de Direction, qui comprennent les services essentiels et les stratégies de rétablissement des fonctions de soutien essentielles. Le volet de production de rapports servira à tenir la haute direction au courant de l’efficacité et des progrès des programmes de planification de la continuité opérationnelle. Le Plan sectoriel de gestion de la continuité opérationnelle sera examiné et révisé au besoin chaque année, tel que décrit dans la version actuelle du Plan de continuité opérationnelle de la Direction.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 septembre 2022
Activités et processus de gestion des risques
Constatation générale
Dans l’ensemble, l’équipe d’audit a constaté que RNCan a établi un processus annuel d’analyse des répercussions sur les activités pour chaque fonction opérationnelle du ministère; la DGSU coordonne et examine les résultats de cet exercice. Les ARA existantes étant désuètes, n’étant pas approuvées par la haute direction (comme l’exigent les lignes directrices de Sécurité publique) et n’étant pas éclairées par une évaluation approfondie des risques, la DGSU met actuellement à jour les modèles d’ARA et son guide d’utilisation connexe en consultation avec SP. L’équipe d’audit a également constaté qu’aucune ARA ne porte sur RNCan dans son ensemble, et qu’il n’existe aucun processus visant à déterminer systématiquement les fonctions essentielles du ministère et leurs objectifs de rétablissement comme l’exige la Politique du CT. Les processus d’ARA existants n’offrent pas un tableau complet des vulnérabilités du ministère et des répercussions des éventuelles interruptions de service qui permettraient d’éclairer les stratégies de continuité opérationnelle en cours.
Bien que la DGSU ait commencé à rédiger un PCO ministériel global, l’équipe d’audit a constaté que le Ministère peut améliorer certains domaines en vue d’élaborer des procédures supplémentaires visant à orienter les mesures prises par les utilisateurs en cas d’interruption de service, quel que soit son type. Les facteurs déclenchant l’activation ou la désactivation du plan n’ont pas été définis et il n’existe aucun processus officiel pour surveiller les environnements internes et externes du ministère aux fins de détection des menaces potentielles.
RNCan avait l’habitude de mener chaque année des exercices de simulation du PCO à l’échelle du ministère et une mise à l’essai du SRCB. Aucun de ces exercices n’a eu lieu au cours des deux dernières années, mais un exercice de simulation du PCO est prévu pour l’automne 2021. Les fonctions essentielles ont été soumises à des exercices de simulation de pandémie en mars 2020 en prévision de la pandémie de COVID-19. Toutefois, RNCan n’a pas établi de programme de mise à l’essai du PCO détaillant la fréquence, le contenu et les objectifs des essais. De plus, les procédures officielles de documentation des leçons tirées des mises à l’essai du PCO et de suivi de leur mise en œuvre n’ont pas été documentées.
Alors même que RNCan a tiré les principales leçons de l’activation du PCO, il existe des possibilités de réaliser cet exercice en temps opportun, de documenter les plans d’action et d’assurer leur mise en œuvre.
Observations pertinentes
L’équipe d’audit s’attendait à ce que des activités de gestion des risques adéquates ait été conçues et mises en œuvre et soient régulièrement mises à jour dans l’ensemble du ministère pour être continuellement prêt à exécuter le mandat de RNCan en cas d’interruption de service; On s’attendait à ce que les activités d’ARA soient menées régulièrement pour déterminer les fonctions essentielles et les exigences en matière de continuité, et qu’elles soient éclairées par des évaluations approfondies des risques visant à offrir une perspective claire des vulnérabilités de RNCan. L’équipe d’audit s’attendait également à observer des processus de PCO établis qui pourraient être utilisés efficacement en cas d’interruption de service et aider le ministère à gérer les risques existants et non atténués. Enfin, l’équipe d’audit s’attendait à voir des processus mis en place pour surveiller et mettre à l’essai régulièrement les activités de GCO de RNCan, en veillant à ce que des mesures correctives soient mises en œuvre au besoin.
L’équipe s’attendait aussi à ce que le ministère ait établi des processus adéquats pour déterminer les leçons apprises dans le cadre de l’activation du PCO de mars 2020, que les pratiques exemplaires soient documentées et mises en œuvre et que des activités de suivi soient menées.
Évaluations des risques
Des processus adéquats d’évaluation des risques permettent à une entité de cerner ses éventuelles vulnérabilités et interruptions de service, de comprendre les conséquences d’événements potentiels et d’établir des mesures d’atténuation efficaces en cas d’existence de lacunes. Les évaluations des risques peuvent éclairer les initiatives préventives visant à réduire au minimum les répercussions des interruptions de service et à améliorer l’efficacité globale du programme de GCO.
L’équipe d’audit n’a pu établir qu’une évaluation tenant compte des risques internes et externes a été effectuée pour appuyer les activités de GCO du ministère. Les entrevues avec les RPO, les responsables/coordonnateurs du PCO et des membres du SGSI ont confirmé que les évaluations des risques courantes n’ont pas lieu aux fins de GCO. Ce type d’exercice, lorsqu’il est correctement exécuté, permettrait de s’assurer que les éventuelles répercussions et conséquences des différents événements sont systématiquement prises en compte, éclairant ainsi les évaluations de la criticité et la hiérarchisation des fonctions ministérielles. Rien n’indique que des mesures d’atténuation sont mises en œuvre à la suite des évaluations des risques de la GCO à RNCan.
Activités d’analyse des répercussions sur les activités
La réalisation et la tenue à jour d’une analyse précise des répercussions sur les activités (ARA) constituent une étape fondamentale des efforts de GCO d’une entité. Cette étape aide l’organisation à déterminer les répercussions des éventuelles interruptions de service internes et externes et à déterminer ses fonctions essentielles. Ces fonctions jugées essentielles dans le cadre d’une ARA deviendraient alors prioritaires en cas d’interruption afin de s’assurer que le mandat et les objectifs généraux de l’organisation sont continuellement atteints.
Plusieurs paramètres clés sont généralement utilisés pour comparer les niveaux de criticité des fonctions d’une organisation et pour mieux comprendre leurs exigences et leurs objectifs. Sécurité publique (SP), qui a un rôle à jouer dans l’offre d’expertise en matière de GCO aux ministères et organismes du GC, a établi des lignes directrices qui utilisent les définitions suivantes pour ces éléments normalisés :
- Temps d'arrêt maximal admissible (TAMA) : Période la plus longue pendant laquelle un service ou une activité peut être indisponible ou dégradé avant qu’un préjudice élevé ou très élevé ne soit causé.
- Niveau de service minimal (NSM) : Niveau minimal que doit atteindre la prestation de services nécessaire si l’on veut éviter un préjudice élevé ou très élevé, et qui est maintenu jusqu'au rétablissement complet des services, activités et fonctions d’aide à la conduite des affaires (FACA) essentiels. Niveau généralement exprimé en pourcentage.
- Objectif de temps de reprise (OTR) : Période de temps établie dans laquelle les services, les activités, les FACA, les ressources et les actifs connexes doivent être récupérés après une interruption, afin de respecter le NSM et d’éviter de dépasser le TAMA.
- Objectif de point de rétablissement (OPR) : Moment jusqu'auquel les données doivent être récupérables à la suite d’une interruption ou d’une perturbation dans les systèmes de technologies de l’information d’une organisation.
L’équipe d’audit a constaté que RNCan n’a pas mis en place d’ARA globale de niveau stratégique à l’échelle du ministère pour consolider les exigences ministérielles en matière de GCO et appuyer une approche coordonnée à l’égard de la poursuite des objectifs de continuité. Il a plutôt établi un exercice annuel au cours duquel chaque fonction ministérielle mène sa propre ARA, à l’aide d’un modèle élaboré par la DGSU. Ce modèle contient traditionnellement quatre grandes sections. Les RPO y fournissent une description de leur service, évaluent leur niveau de criticité et documentent leurs interdépendances et leurs besoins en ressources. Chaque année, les RPO font appel à leur jugement pour remplir leurs modèles respectifs. La DGSU coordonne cet exercice en rappelant aux secteurs d’effectuer leurs ARA et en effectuant un suivi au besoin.
Elle examine également les gabarits une fois qu’ils ont été soumis afin de s’assurer qu’ils ont tous été mis à jour et que tous les champs sont remplis. Dans le cadre de cet examen, la DGSU a également l’intention d’assurer une fonction de remise en question qui permet d’évaluer la pertinence de certains renseignements, ce qui peut comprendre la remise en question des niveaux de criticité auto-évalués ou des TAMA/NSM saisis. Toutefois, les résultats de cette fonction de remise en question peuvent parfois être limités en raison de la grande quantité et de l’ampleur des renseignements saisis dans l’ARA, ainsi que de l’absence de définition claire du rôle joué par la DGSU dans l’exercice de la fonction de remise en question.
L’équipe d’audit a noté que le modèle actuel d’ARA n'implique pas de devoir établir et évaluer les OTR et les OPR, deux mesures clés qui appuient les initiatives de GCO. Toutefois, il convient de noter que le modèle d’ARA est en cours de mise à jour par l’équipe de la DGSU. Une version provisoire de gabarit a été communiquée à l’équipe d’audit, mais n’a pas encore été mise en œuvre à l’échelle du ministère. Le nouveau modèle est conforme aux lignes directrices de SP, puisqu’il intègre désormais les quatre mesures clés et qu’il a élargi ses critères de définition de la criticité. La DGSU collabore avec SP pour mettre à jour le contenu de son modèle.
Dans l’ensemble, l’équipe d’audit a constaté qu’une certaine confusion règne autour des niveaux de criticité auto-évalués et de la détermination du TAMA/NSM, en raison de l’absence de définitions adéquates des termes et de formation sur la GCO. Un guide d’accompagnement de l’utilisation de l’ARA/du PCO a été élaboré par la DGSU pour aider les RPO à s’acquitter de leurs tâches; toutefois, le guide veille principalement au remplissage de chaque champ plutôt qu’à l’éclaircissement de certains des champs de saisie obligatoire dans le but de garantir l’exactitude du contenu.
Les mises à jour annuelles de l’ARA n’exigent pas officiellement d’approbations ou de signatures de la direction, à moins que la fonction ne soit classée comme essentielle, ce qui déclencherait une exigence de mise en œuvre complète d’un PCO fonctionnel. Toutefois, avec l’adoption du nouveau modèle d’ARA, l’approbation de la haute direction sera requise pour toutes les ARA, peu importe leur niveau de criticité.
Le dernier exercice ministériel d’ARA a été mené au cours de l’exercice 2019-2020. La version de l’année en cours a été retardée en raison de la pandémie de COVID-19 et des efforts récents visant à mettre à jour les modèles et les guides à l’appui. Par conséquent, le contenu des ARA disponibles est dépassé. L’ARA se caractérise principalement par la fourniture des coordonnées des responsables opérationnels et de leurs substituts. Ces renseignements peuvent être mis à profit par les fonctions ministérielles centrales pour coordonner les efforts de continuité. Étant donné que les ARA n’ont pas été passées en revue depuis 2019-2020, les listes de personnes-ressources sont désuètes et d’autres données clés, notamment les niveaux de criticité, le TAMA, le NSM, les interdépendances et les besoins en ressources, peuvent être moins fiables.
Les résultats de l’exercice annuel sont consignés et résumés par la DGSU dans une liste maîtresse. Ce document identifie chaque fonction opérationnelle et les classe selon leur niveau de criticité. La liste maîtresse répertorie actuellement 133 fonctions ministérielles, chacune d’entre elles ayant effectué une ARA en 2019-2020. Parmi ces 133 fonctions, 5 ont été classées comme un « service essentiel », 4 comme une « dépendance essentielle » et 24 comme un « soutien essentiel », qui englobait tous les bureaux des sous-ministres adjoints (BSMA).
Définition de la criticité
Grâce à des entrevues avec les RPO, les responsables/coordonnateurs sectoriels du PCO et divers membres du SGSI, l’équipe d’audit a constaté qu’une certaine confusion règne autour de la définition d’une fonction essentielle parmi les personnes exerçant des responsabilités en matière de GCO. Bien que Sécurité publique Canada ait élaboré des lignes directrices à cet effet, les personnes interrogées n’en avaient pas toujours connaissance. De plus, les critères de criticité n’ont pas été officiellement établis ni documentés au sein de RNCan pour permettre une application uniforme entre les fonctions.
La pratique normalisée de la GCO exige que des critères fondés sur les conséquences soient définis et mis en œuvre dans l’ensemble d’une organisation. Il s’agit de déterminer les conséquences clés qui pourraient résulter de différents types d’événements et d’interruptions de service. Celles-ci peuvent aller des menaces à la sécurité humaine, de la perte d’accès aux principales installations, à la perte de disponibilité du réseau. Une fois les critères établis, les responsables des processus opérationnels classeront l’incidence de leur fonction sur chaque conséquence éventuelle en fonction d’une échelle type (p. ex., une échelle de 4 points allant de l’incidence la plus faible à la plus élevée). Ces évaluations démontrent l’incidence de divers types d’interruptions de service sur chaque fonction, ce qui aide une organisation à hiérarchiser ses efforts de GCO et lui permet d’atteindre ses objectifs de continuité pour une liste bien définie de fonctions ou de services essentiels. En planifiant les conséquences éventuelles des interruptions de service, les organisations peuvent se préparer à faire face aux interruptions sans avoir besoin de plans individuels pour chaque type d’événement nécessitant une activation.
Ce type de processus n’est pas inclus dans les activités de GCO de RNCan. Le ministère s’est plutôt appuyé sur des autoévaluations sectorielles indépendantes, sans procédures normalisées ni définitions officielles approuvées par la haute direction, pour déterminer la criticité. Il en a résulté des interprétations et des perceptions inconciliables de la criticité parmi les membres de RNCan.
Les lignes directrices de SP définissent cinq critères fondés sur les conséquences qui peuvent être utilisés pour évaluer la criticité au sein des ministères fédéraux. Les voici : (1) la santé des Canadiens; (2) la sûreté des Canadiens; (3) la sécurité des Canadiens; (4) le bien-être économique des Canadiens; et (5) le fonctionnement efficace du gouvernement. Les organisations doivent évaluer leur incidence sur une échelle de quatre points pour chaque critère afin de déterminer leur niveau global de criticité. La DGSU a intégré ce système au nouveau modèle d’ARA, qui n’a pas encore été mis en œuvre. Bien qu’aucune ligne directrice ministérielle sur l’interprétation et la pleine compréhension de ces critères et l’application uniforme de l’échelle à quatre points ne soit en place à l’heure actuelle, la direction a indiqué qu’un nouveau guide sur l’utilisation de l’ARA et du PCO est en cours de rédaction et qu’il servirait à cette fin.
L’équipe d’audit a également noté que le ministère n’a pas dressé de liste exhaustive et consolidée de ses fonctions essentielles et de leurs objectifs de rétablissement connexes approuvée par la haute direction. Une telle liste permettrait de s’assurer que les priorités ministérielles sont claires et bien comprises, et ainsi de mieux organiser l’établissement des priorités en matière de ressources et d’efforts en cas d’interruptions majeures de service. L’équipe d’audit a identifié deux listes consolidées de fonctions essentielles, dont l’une se trouve dans la liste maîtresse dont il a été question précédemment et l’autre dans l’ébauche du PCO ministériel, dont la dernière mise à jour remonte à 2016. Ces deux listes sont incompatibles et n’ont pas reçu l’approbation de la haute direction.
Activités de planification de la continuité opérationnelle (PCO)
Les processus de PCO de RNCan sont étroitement liés à ceux de l’ARA et sont généralement menés à l’unisson. Un PCO peut être établi une fois que le RPO a terminé son ARA à l’aide du modèle et les auto-évaluations des fonctions essentielles. Ce PCO est rempli à l’aide du même modèle, qui s’étoffe pour intégrer les exigences du PCO lorsqu’une fonction est jugée essentielle. Les constatations mentionnées précédemment concernant la mise en œuvre retardée de la mise à jour de cette année et l’absence de processus d’évaluation des risques connexe s’appliquent également au PCO. À l’époque de l’audit, la DGSU a apporté des modifications mineures aux sections du PCO du nouveau modèle provisoire d’ARA/de PCO en cours d’élaboration.
Contrairement à l’ARA, le PCO vise à décrire comment une organisation réagira aux interruptions pour maintenir des niveaux de service acceptables pour les fonctions essentielles. Des PCO efficaces devraient offrir aux utilisateurs des lignes directrices concrètes et pertinentes sur les conséquences des interruptions de service, qui peuvent être communes à différents types d’événements. Par exemple, le PCO d’une entité pourrait décrire des procédures permettant de faire face à la perte prolongée d’accès aux installations, qui pourrait être causée par divers incidents, notamment des pandémies ou des catastrophes naturelles. RNCan a produit des PCO pour 41 fonctions du ministère, dont 5 pour les services essentiels, 3 pour les dépendances essentielles, 21 pour les fonctions de soutien essentielles et 12 pour les fonctions modérément essentielles. RNCan ne dispose actuellement d’aucun processus de PCO au niveau stratégique pour documenter les priorités et les objectifs de GCO à l’échelle ministérielle dans le but de s’assurer que les fonctions essentielles de RNCan partagent une stratégie coordonnée qui coïncide également avec la stratégie globale du GC. L’élaboration de ce type de processus est recommandée par les lignes directrices de SP.
Les processus de PCO documentés de RNCan sont consignés dans trois sources principales : le modèle de PCO, l’ébauche de PCO ministériel et la Norme. En règle générale, les procédures définies dans ces documents sont vastes et présentées de manière générale. La section 3.1 du modèle de PCO porte sur les procédures d’activation; elle s’intéresse principalement à la communication et veille à ce que les personnes appropriées soient contactées. Les lignes directrices de PCO de SP et les modèles suggérés recommandent d’offrir des orientations concrètes et substantielles aux utilisateurs à titre de référence pendant une activation; toutefois, cela ne figure pas dans le modèle de RNCan, qui comprend principalement les étapes de communication en vue d’évoquer et de signaler l’activation éventuelle du PCO.
Les procédures d’activation sont également décrites à la section 2.3.1 de l’ébauche du PCO ministériel. Cette section du plan indique que le ministère devrait affecter des employés à la maintenance des services essentiels, diriger du personnel de soutien vers le SRCB, s’assurer que les fichiers clés sont disponibles, limiter l’utilisation des réseaux dans la mesure du possible, etc. L’orientation offerte dans l’ébauche du plan est très générale, ce qui peut être utile étant donné la grande variété d’événements potentiels. La Norme de RNCan fournit une vue d’ensemble des processus qui doivent être suivis en cas d’urgence. Cependant, il n’existe pas de procédures officielles ni de processus documentés pour traiter les conséquences des différents types d’interruptions de service. Étant donné que le plan est encore à l’étape de l’ébauche et qu’il n’a pas été approuvé ou largement distribué, le ministère n’a pas mis en œuvre les lignes directrices qui y figurent.
En règle générale, les procédures documentées offertes dans le cadre des lignes directrices ministérielles sont principalement axées sur le lancement du PCO, mais elles offrent très peu d’orientation aux utilisateurs quant aux mesures concrètes à prendre une fois l’activation effectuée. Par conséquent, les entrevues avec les représentants sectoriels ont révélé que les PCO n’étaient pas fortement mis en œuvre dans le contexte de la pandémie actuelle, compte tenu de leur manque d’orientation claire et d’utilité perçue.
Un examen des lignes directrices ministérielles sur la PCO a révélé d’autres points d’amélioration dans les processus de PCO établis de RNCan, notamment :
- L’ébauche de plan actuelle ne prévoit pas de procédures exhaustives visant à déterminer à quel moment une interruption de service ou une menace prend fin, et comment désactiver le plan une fois que cela est confirmé;
- Les PCO actuels ne dressent pas de liste des protocoles d’entente (PE) ou des accords sur les niveaux de service (ANS) auxquels le ministère participe pour appuyer ses activités de PCO et ses efforts d’intervention; et
- La gouvernance des incidents de GCO, les listes de distribution et les activités de formation ou de sensibilisation suggérées ne sont pas non plus intégrées, alors qu’elles constituent toutes des suggestions d’ajout aux PCO conformément aux lignes directrices de SP.
| Leçon № 3 tirée de la pandémie de COVID-19 |
|---|
| Les plans de continuité opérationnelle doivent préparer une organisation à un événement, peu importe le caractère soudain. En raison de la nature de la pandémie, l’éventualité d’une activation du PCO a été envisagée plusieurs semaines avant l’activation réelle du PCO de RNCan. La réponse agile de RNCan à la pandémie est peut-être attribuable à cette mise en garde, qui a permis d’établir des plans et de se préparer à une pandémie. Toutefois, si un événement plus soudain se produisait (p. ex., un incendie, des dangers géologiques majeurs ou une panne de réseau en raison d’une cyberattaque), le ministère pourrait avoir du mal à réagir adéquatement à ces événements en l’absence de plans établis à l’avance. |
Couverture du PCO
Conformément aux pratiques exemplaires reconnues et aux lignes directrices de SP, un PCO efficace devrait traiter une grande variété d’interruptions de service, en proposant des mesures qui tiennent compte des différents types de conséquences qui en découlent. Ces conséquences et incidences sont normalement déterminées à l’aide d’évaluations des risques et d’exercices d’ARA. Avec une couverture adéquate du PCO, une entité pourrait réagir efficacement à un large éventail d’interruptions de service, évaluer rapidement ses besoins, mobiliser les ressources appropriées et mettre en œuvre des programmes de rétablissement préétablis.
L’équipe d’audit a constaté que les documents de PCO de RNCan sont fortement axés sur la Stratégie de rétablissement des bureaux communs (SRCB). La SRCB a été élaborée à titre de stratégie de rétablissement dans le cadre de laquelle les hauts dirigeants et le personnel clé se rassemblent dans un autre site à Ottawa. Le lieu de travail temporaire serait équipé de postes de travail fonctionnant à l’aide d’une infrastructure minimale pour s’assurer que les fonctions essentielles peuvent reprendre leurs activités. La SRCB pourrait ne pas tenir compte des circonstances entourant les fonctions essentielles de RNCan qui sont situées dans les bureaux régionaux. Bien que la SRCB puisse constituer une stratégie d’intervention efficace pour certains types d’interruptions de service, elle ne s’applique pas à une grande variété de cas, notamment aux pandémies et à l’indisponibilité généralisée du réseau.
| Leçon № 4 tirée de la pandémie de COVID-19 |
|---|
| Lors de la préparation à d’éventuels incidents, toutes les conséquences doivent être prises en compte. Avant la pandémie, le ministère s’appuyait sur la SRCB en tant qu’élément clé de sa stratégie de PCO, qui n’a pas été utilisée en raison de la nature de la pandémie et de l’obligation de travailler à distance. Sachant que certains événements (p. ex., cyberattaques ou pannes de réseau) peuvent avoir une incidence sur la capacité de la main-d’œuvre à travailler à distance, les plans et la préparation devraient tenir compte de cette possibilité et éviter de trop compter sur le télétravail comme réponse aux interruptions de service futures nécessitant l’activation d’un PCO. |
Éléments déclencheurs de l’activation
Bien que les procédures d’activation soient fournies dans la documentation du PCO de RNCan, il existe peu de lignes directrices concernant le moment auquel le PCO devrait être activé en premier lieu. Aucun élément déclencheur du PCO n’a été clairement défini par le ministère. Rien n’indiquait non plus que des procédures et mécanismes de détection étaient établis pour alerter le ministère d’éventuels événements qui pourraient entraîner des interruptions de service, que ce soit sous forme de communications avec des parties externes ou au moyen d’analyses régulières de l’environnement. Aucun processus d’évaluation des alertes et de détermination de la gravité des menaces détectées n’a été établi. Une bonne pratique de l’industrie consiste à harmoniser les éléments déclencheurs de l’activation avec d’autres procédures de gestion de crise, notamment les plans de gestion des urgences et d’évacuation des immeubles, et à élaborer une liste approuvée de critères d’alerte que les utilisateurs du PCO peuvent utiliser pour évaluer une éventuelle interruption et déterminer le type de la réponse justifiée. Cependant, aucun critère d’alerte n’a été défini, et il existe peu de lignes directrices concernant l’alignement du type d’intervention du PCO sur les niveaux d’incidence pertinents.
Selon la Norme, en cas de survenue d’une urgence, on s’attend à ce qu’une téléconférence ait lieu entre les hauts fonctionnaires de la GCO pour déterminer si le plan devrait être activé. Toutefois, il est peu probable que ce processus soit activé, sauf en cas d’urgence extrême. Ce niveau de coordination ne s’appliquerait pas aux petits événements ou aux quasi-incidents, qui peuvent encore nécessiter une certaine forme d’intervention du PCO. RNCan n’a pas établi différentes stratégies d’intervention tenant compte des divers niveaux et catégories d’interruptions de service.
Essais et exercices de GCO
Selon les lignes directrices de Sécurité publique, les entités devraient élaborer et mettre en œuvre un programme d’essai visant à valider continuellement leurs plans et leur état de préparation et à renforcer les pratiques ministérielles de GCO. Les mises à l’essai régulières des PCO permettent de promouvoir un état de préparation acceptable, conformément aux pratiques ministérielles. Ces essais donnent l’occasion de valider les plans, de cerner les lacunes et de former les équipes de GCO. Les programmes de mise à l’essai s’étendent généralement sur plusieurs années et décrivent en détail les divers tests et exercices à effectuer chaque année. Ces programmes doivent être approuvés par des hauts fonctionnaires et poursuivre des objectifs d’essai clairs et documentés.
Les lignes directrices de Sécurité publique suggèrent l’harmonisation des initiatives d’essai prévues avec les objectifs de l’entité et la maturité globale de ses pratiques de GCO. Il est possible d’appliquer différents niveaux d’essai, qui varient en matière de complexité relative et de participation. Les essais de GCO peuvent aller de simples exercices et d’exercices de simulation à des simulations complètes. Idéalement, un programme d’essai suivrait une « approche de base », dans le cadre de laquelle des exercices annuels à la complexité croissante seraient menés à mesure que l’entité consoliderait ses connaissances et sa capacité en matière de GCO. Le temps et les ressources consacrés aux essais devraient refléter la maturité de la GCO.
L’équipe d’audit a constaté que deux types de mises à l’essai de PCO étaient effectués chaque année à l’échelle ministérielle. Le premier consistait en un exercice de simulation à l’échelle du ministère. Cela impliquait de coordonner et réunir des représentants de RNCan issus de multiples secteurs afin de passer en revue divers ensembles de circonstances et de discuter des mécanismes et des stratégies d’intervention du ministère. Le second était la mise à l’essai annuelle de la SRCB, dans le cadre de laquelle des membres clés du ministère se réunissaient au site central et s’entraînaient à utiliser les autres infrastructures et systèmes. Aucun de ces exercices n’a été effectué au cours des deux dernières années, le dernier exercice de simulation de la GCP à l’échelle du ministère ayant eu lieu en 2017 et le dernier exercice de simulation de la SRCB en 2018. Toutefois, la direction a indiqué qu’elle prévoit mener à nouveau un exercice récurrent de simulation du PCO à l’échelle du ministère chaque année à compter de l’automne 2021, ainsi qu’une séance annuelle de gestion des urgences (GU) chaque printemps. Le Comité de la haute direction de RNCan a effectué le premier de ces exercices récurrents de simulation de GU en mai 2021. Cet exercice a compris une séance de sensibilisation à la GCO pour les hauts dirigeants participants, conformément à ce qui a été mentionné précédemment en matière de formation et de sensibilisation.
En mars 2020, le ministère a mené sept exercices de simulation avec les secteurs dotés de fonctions essentielles en prévision de la pandémie de COVID-19. Cet exercice visait à déterminer si les services essentiels pouvaient être fournis à partir de n’importe quel endroit, si les ressources étaient équipées en conséquence et si les employés désignés dans le plan connaissaient bien son contenu. L’exercice consistait à réunir les responsables opérationnels, le personnel essentiel et leurs remplaçants de l’ensemble des secteurs et à leur présenter des scénarios fictifs associés à une pandémie (p. ex., s’ils étaient en mesure d’effectuer une transition complète vers le travail à distance, s’ils pouvaient remplacer les employés essentiels qui tombaient malades et qui n’étaient pas en mesure d’exercer leurs fonctions, etc.). Pour chaque scénario, les représentants sectoriels se sont demandé s’il était possible de s’adapter à ces situations dans les conditions actuelles. Les exercices de simulation pandémique ont permis de préparer efficacement les employés essentiels à leurs responsabilités respectives et ont été bien accueillis par les représentants sectoriels.
Bien que les exercices de simulation pandémique aient été efficaces, aucune mise à l’essai du PCO n’a été effectuée au niveau ministériel au cours de la dernière année. RNCan n’a pas établi de programme officiel de mise à l’essai de la GCO pour évaluer les procédures existantes, cerner les éventuelles lacunes dans les plans, les mesures et les accords, et appuyer l’amélioration continue des efforts ministériels de GCO. Les stratégies et les objectifs de mise à l’essai du PCO n’ont pas été approuvés par un membre de la haute direction. Comme mentionné précédemment, l’équipe d’audit a appris qu’un exercice de GCO devrait avoir lieu à l’automne 2021. Comme cet exercice n’a pas été effectué à l’époque de l’audit, l’équipe d’audit n’a pas été en mesure d’évaluer si l’exercice appuyait adéquatement les efforts d’amélioration continue.
Activités de suivi et de surveillance
La documentation des leçons tirées des exercices de GCO est nécessaire à l’amélioration continue du cadre global de GCO. Les pratiques exemplaires exigent que les leçons apprises soient officiellement documentées, communiquées aux parties concernées et traitées au besoin. Pour assurer une réponse appropriée et opportune aux éventuelles lacunes ou faiblesses mises en évidence au cours d’un exercice, il faut établir des responsabilités de mise en œuvre des leçons apprises, ainsi que des efforts de suivi régulier.
La DGSU produit des « comptes rendus après action » à la suite des exercices ministériels de mise à l’essai de la GCO. Ces comptes rendus décrivent généralement la nature des essais effectués, les principaux résultats et les leçons apprises. Par exemple, les exercices de simulation pandémique menés en 2020 ont permis de produire des comptes rendus après action pour chaque fonction essentielle. Dans ces comptes rendus après action, on a demandé aux secteurs d’indiquer les lacunes découvertes dans leurs processus existants qui pourraient nuire au bon fonctionnement en situation de pandémie. On a également demandé aux responsables opérationnels d’énumérer les mesures de suivi qu’ils devraient mettre en œuvre pour améliorer leur capacité à réagir efficacement à la pandémie.
Les résultats des exercices de simulation pandémique ont été regroupés dans un seul compte rendu après action, dans lequel sont résumés toutes les constatations et les résultats d’exercices. La DGSU a élaboré une feuille de suivi répertoriant chaque mesure de suivi, le responsable de la mise en œuvre et l’état actuel de la mise en œuvre. Grâce à cette feuille de suivi, la DGSU a pu s’assurer que les résultats des essais sont intégrés aux efforts futurs de GCO, permettant ainsi une amélioration continue. Même si les résultats des plus récents exercices de mise à l’essai de la GCO ont été documentés et suivis, aucune procédure normalisée n’est en place au sein du ministère pour veiller à ce que tous les secteurs le fassent de façon uniforme. Aucun processus ou procédure approuvé décrivant les mesures à prendre après les exercices, notamment la documentation et le suivi appropriés des mesures à prendre pour améliorer le PCO, n’est en place.
Selon les lignes directrices de Sécurité publique, pour s’assurer que les programmes de GCO continuent de répondre aux besoins d’une entité, les ARA et les PCO doivent être régulièrement examinés et mis à jour pour tenir compte des changements dans les services et les activités, des besoins en ressources et de la disponibilité de celles-ci, ainsi que des menaces environnementales. Des activités internes et externes de suivi de la GCO devraient être établies pour appuyer les efforts de continuité.
Les lignes directrices de Sécurité publique Canada indiquent que le suivi interne de la GCO peut être réalisé en examinant les répercussions des changements organisationnels majeurs, en élaborant des rapports post-incident, en examinant les comptes rendus après action suivant les exercices et en se tenant au courant des pratiques exemplaires de l’industrie. Le suivi externe peut prendre la forme d’évaluations régulières des risques et d’analyses de l’environnement pour encourager les réponses proactives aux événements majeurs et améliorer la préparation. L’équipe d’audit n’a pu obtenir d’évidence démontrant que les activités et les procédures officielles de suivi interne ou externe sont documentées pour appuyer le programme de GCO.
Leçons tirées de la COVID-19
Le 15 mars 2020, le ministère a activé ses processus de continuité opérationnelle en réponse à la pandémie de COVID-19. C’était la première fois qu’une telle activation avait lieu à RNCan. La Directive sur la gestion de la sécurité du CT exige que chaque ministère examine et tienne à jour les PCO en fonction des résultats des essais et de l’activation des plans pour s’assurer que les pratiques de GCO continuent de répondre aux besoins du ministère. De plus, même si la Directive du CT ne l’exige pas, une pratique exemplaire consiste à déterminer les leçons tirées des activations du PCO ou des événements qui se sont produits dans des organisations semblables, ainsi que les quasi-incidents qui auraient pu avoir une incidence plus grave (p. ex., cyberattaque dans un service semblable, incendie dans un bâtiment voisin).
Bien que les lignes directrices du ministère en matière de GCO n’exigent pas officiellement la détermination des leçons apprises et la résolution des problèmes en temps opportun à la suite de l’activation du PCO, la DGSU a commencé à recueillir les commentaires des secteurs et à consigner les leçons tirées de la première vague de la pandémie dans un « compte rendu après action ». Les leçons tirées de cet exercice se rapportaient à une grande variété de sujets et ne se limitaient pas au PCO. Toutefois, l’équipe d’audit a constaté que cet exercice n’avait pas été mené et terminé en temps opportun. En juin 2021, le rapport en était encore à l’étape de l’ébauche et n’avait pas été communiqué à la direction. Les leçons apprises ont été consignées, mais les prochaines étapes et les plans de résolution et de mise en œuvre n’ont pas été documentés.
Risques et incidences
En l’absence de processus adéquats d’ARA et de PCO, il existe un risque accru que les ressources et les efforts du ministère ne soient pas correctement hiérarchisés en cas d’interruption majeure de service, ce qui pourrait entraîner des interruptions de service prolongées. Les procédures d’intervention retardées ou inefficaces, notamment les éléments déclencheurs d’activation établis, augmentent la probabilité que les services essentiels de RNCan ne soient pas rétablis à un niveau approprié dans un délai acceptable et ne soient pas correctement gérés. De telles interruptions pourraient en fin de compte avoir une incidence sur la capacité du ministère à fournir les services jugés essentiels.
En l’absence de mises à l’essai du PCO, de leçons apprises et d’activités de suivi appropriées, les processus de GCO établis risquent de ne pas fonctionner comme prévu. Les lacunes des procédures existantes peuvent persister sans préavis ou correction pendant de longues périodes, ce qui nuit aux efforts d’intervention de RNCan et à l’amélioration continue des processus de GCO.
Si les exercices sur les leçons apprises ne sont pas effectués, mis en œuvre et corrigés en temps opportun, le Ministère risque de ne pas être adéquatement préparé à réagir aux interruptions de service subséquentes et/ou concomitantes, telles qu’une panne de réseau.
Recommandations
Recommandation № 2 : Il est recommandé que le DPS établisse des processus visant à assurer l’élaboration et la mise en œuvre :
- d’activités d’ARA approfondies, appuyées par des évaluations fréquentes des risques et approuvées régulièrement par la haute direction;
- d’activités du PCO à jour, y compris de procédures opérationnelles concrètes pour diverses interruptions de service, ainsi que des procédures d’activation, de désactivation et de suivi;
- d’un programme officiel de mise à l’essai de la GCO décrivant les objectifs, les types, la fréquence des essais ministériels ainsi que les mesures prises à la suite de ces exercices; et
- d’un processus de détermination des leçons apprises adéquatement conçu et mis en œuvre en temps opportun pendant et après les activations du PCO afin de s’assurer que les pratiques exemplaires sont documentées et que les problèmes sont suivis jusqu’à leur résolution.
Réponse de la direction et plan d’action
La direction est d’accord avec la recommandation no 2a.
La DDPIS a élaboré un modèle d’analyse des répercussions sur les activités (ARA) qui sera transmis aux coordonnateurs sectoriels de la GCO aux fins d’examen et d’approbation. Les secteurs auront recours à ce modèle dans le cadre de leur examen annuel. Les ARA sectorielles devront être officiellement approuvées par le chef de secteur et présentées au comité de gouvernance DG-CSGMUR. Un programme officiel d’évaluation des risques sera élaboré et mis en œuvre au cours du prochain exercice financier pour garantir la conformité aux politiques de RNCan, du SCT et de Sécurité publique.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 septembre 2022
La direction est d’accord avec la recommandation no 2b.
La DDPIS continuera d’examiner et de réviser toutes les activités de gestion de la continuité opérationnelle (GCO), incluant les procédures opérationnelles associées à diverses interruptions de service. Les procédures opérationnelles normalisées (PON) seront examinées en fonction d’une analyse des risques et à l’aide de « comptes rendus après action » rédigés à la suite d’événements majeurs (comme les feux de forêt). Une fois examinées et approuvées, les PON seront communiqués aux experts en la matière et incluses dans le programme de formation et de sensibilisation. De plus, la DDPIS fera participer les coordonnateurs sectoriels de la GCO à l’examen et à la mise en œuvre de ces procédures. La DDPIS veillera à ce que toutes les personnes jouant un rôle dans la GCO reçoivent une formation et sachent quoi faire en cas d’urgence.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 juin 2022
La direction est d’accord avec la recommandation no 2c.
La DDPIS établira un cadre de suivi et de production de rapports qui fera partie intégrante du programme de planification de la gestion de la continuité opérationnelle de RNCan. La direction continuera à réviser et examiner régulièrement ce cadre de production de rapports pour veiller à la conformité avec les instruments de politique et les lignes directrices techniques de RNCan, du SCT et de Sécurité publique Canada. L’objectif de RNCan est de mettre à l’essai chaque année les activités de GCO de Direction, qui comprennent les services essentiels et les stratégies de rétablissement des fonctions de soutien essentielles. Le volet de production de rapports servira à tenir la haute direction au courant de l’efficacité et des progrès des programmes de planification de la continuité opérationnelle.
Le plan sectoriel de continuité opérationnelle sera examiné et révisé au besoin chaque année.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 31 décembre 2022
La direction est d’accord avec la recommandation no 2d.
La DDPIS veillera à ce que les leçons tirées des événements de GCO soient documentées, régulièrement examinées et mises en œuvre lorsqu’un PCO est activé. De plus, ces leçons apprises seront présentées au DG-CSGMUR et intégrées aux produits de formation et de sensibilisation.
Échéance : 30 juin 2022 – Le processus sera défini.
Processus de gestion, conformité aux politiques et solutions de TI
Constatation générale
Dans l’ensemble, l’équipe d’audit a relevé plusieurs cas de non-conformité à la PSG et à la Directive sur la gestion de la sécurité du CT et à la Norme sur la GCO de RNCan. L’équipe d’audit a constaté que les fonctions essentielles ont conçu et mis en œuvre des solutions de TI à l’appui des objectifs de continuité des TI de leur PCO et qu’un plan de gestion des incidents majeurs (actuellement à l’état d’ébauche) établit une liste à jour des applications et des services opérationnels essentiels. Toutefois, le ministère a la possibilité d’établir des lignes directrices internes visant à améliorer le respect des objectifs stratégiques du CT et des résultats attendus grâce à la création de plans et d’ententes écrites ministériels, ainsi qu’à l’établissement d’attentes claires à l’égard des responsables des processus opérationnels (RPO) associés aux fonctions essentielles.
Observations pertinentes
L’équipe d’audit a cherché à déterminer si RNCan avait élaboré et mis en œuvre un ensemble de politiques adéquates et des plans ministériels pour se conformer aux exigences énoncées dans la PSG et la Directive sur la gestion de la sécurité du CT. L’équipe d’audit s’attendait à ce que le ministère ait conçu et mis en œuvre des solutions de TI pour appuyer et atteindre ses objectifs de continuité et ait établi des processus pour s’assurer que les ressources sont hiérarchisées et distribuées efficacement aux fonctions essentielles. En réalisant ces activités avant une activation, une organisation peut améliorer son niveau de préparation et ainsi contribuer à l’efficacité de la capacité du ministère à continuer à exercer ses fonctions essentielles en cas d’interruption de service.
Conformité à la politique du CT et élaboration de lignes directrices internes
Le Conseil du Trésor (CT) a établi un ensemble de politiques pour orienter les ministères et organismes du gouvernement du Canada (GC) dans l’établissement de leur ensemble respectif de politiques sur la GCO. Cet ensemble comprend la PSG, la Directive sur la gestion de la sécurité et la Politique sur les services et le numérique (PSN). De plus, Sécurité publique Canada offre son expertise aux ministères et organismes du GC au moyen de lignes directrices sur la GCO, qui sont publiées et disponibles sur la page Web GCPedia.
L’équipe d’audit a constaté que RNCan n’a pas de PCO de niveau ministériel finalisé ou approuvé. Un projet de plan ministériel existe, mais il a été mis à jour pour la dernière fois en 2016. Bien que des plans de continuité propres aux fonctions opérationnelles aient été obtenus et examinés, l’équipe d’audit a noté qu’il n’existe pas de document stratégique central pour orienter et informer le ministère sur les processus de GCO.
En examinant et en comparant les politiques et les plans internes du ministère à l’ensemble de politiques du CT relatives à la GCO, l’équipe d’audit a constaté que les lignes directrices élaborées à l’interne par RNCan sont généralement conformes aux politiques externes du CT et aux lignes directrices de SP. Toutefois, plusieurs points à améliorer ont été cernés. Par exemple, les politiques et les normes de RNCan ne précisent pas adéquatement les rôles et les responsabilités liés à la mise à l’essai des PCO et les exigences de formation prévues. À l’heure actuelle, la Norme sur la GCO de RNCan ne précise pas l’exigence du CT selon laquelle les hauts fonctionnaires doivent examiner le programme de formation. La documentation des rôles et responsabilités du DPS constituent un autre point d’amélioration. Dans la politique du CT, le DPS est identifié comme une personne ayant de nombreuses responsabilités liées à la surveillance de la GCO et aux activités opérationnelles. Toutefois, RNCan dispose de lignes directrices internes limitées sur les responsabilités du DPS et la coordination de ses efforts avec le reste du ministère.
La PSG indique que les hauts fonctionnaires responsables de la gouvernance de la sécurité du ministère doivent établir ou recommander l’établissement d’ententes écrites lorsque leur ministère compte sur un autre ministère ou une autre organisation, ou appuie ces derniers, pour atteindre les objectifs de sécurité du gouvernement. Par exemple, l’équipe d’audit a constaté que RNCan n’a pas conclu d’entente écrite avec Services partagés Canada (SPC) se fondant sur le fait que RNCan compte sur SPC pour atteindre les objectifs de sécurité du gouvernement liés aux processus de gestion de la continuité opérationnelle. La DGSU a noté qu’au lieu d’ententes écrites, RNCan s’appuie sur les normes de service élaborées par SPC; toutefois, les représentants des fonctions essentielles de RNCan ont noté que leurs plans de continuité des TI dépendent du soutien de SPC, et que les normes de service actuelles de SPC utilisées à la place d’ententes écrites sont insuffisantes pour atteindre les objectifs de continuité du ministère.
Solutions de TI
Dans l’ensemble, l’équipe d’audit a constaté que, bien que les fonctions essentielles examinées aient conçu et mis en œuvre des solutions de TI à l’appui de leurs objectifs de PCO, il existait plusieurs possibilités d’amélioration liées à la continuité des TI. Ces domaines comprennent la documentation des plans, des définitions et des exigences relatifs aux composantes de TI des services essentiels, l’identification et l’approbation régulière des applications et services opérationnels essentiels, et l’établissement d’ententes écrites avec des tiers fournisseurs de services.
Les mécanismes de continuité des TI sont définis dans la Norme, plus précisément dans le rôle du coordonnateur de la sécurité des technologies de l’information (CSTI). Toutefois, les orientations relatives à la mise en œuvre du programme de GCO ne comprennent pas d’exigences ou de lignes directrices précises sur la documentation de la continuité des TI. Les responsables des processus opérationnels des fonctions essentielles sont chargés d’assurer la continuité informatique de leurs activités. Bien que l’équipe d’audit ait constaté que le modèle d’ARA demande aux fonctions de répertorier leurs biens de TI essentiels, cette section n’est pas toujours remplie et, par conséquent, il n’existe pas de liste complète des biens de TI essentiels. L’équipe d’audit a également constaté que le Plan de reprise après sinistre des technologies de l’information (PRS-TI) créé pour le site du Système de rétablissement des bureaux communs (SRBC) avait été mis à jour pour la dernière fois en 2015; par conséquent, ce plan risque d’être désuet étant donné qu’il n’a pas été révisé en fonction des changements apportés au ministère au cours des six dernières années.
L’équipe d’audit a noté que les fonctions essentielles de RNCan ont établi une infrastructure visant à assurer la continuité des activités de TI en cas d’interruption majeure des services afin d’atteindre les objectifs de leur PCO. Trois des cinq fonctions essentielles ont documenté leurs plans de continuité au moyen des PRR-TI, qui décrivaient en détail les processus d’infrastructure de TI de soutien, pour maintenir la continuité des TI en cas d’interruption de service. Ces plans comprenaient un système de billetterie pour suivre et classer par ordre de priorité les incidents, y compris les interruptions de service survenant simultanément. Toutefois, l’équipe d’audit a également constaté que même si les leçons apprises liées à la continuité des TI peuvent provenir de mises à l’essai planifiées de leurs systèmes ou d’incidents imprévus, il n’existe pas de documentation ou de suivi officiels de ces leçons apprises pour s’assurer que des mesures correctives sont prises.
Elle a également constaté que la version du modèle d’ARA/de PCO utilisé au cours des dernières années ne fournit pas suffisamment d’information aux RPO sur les plans et les renseignements nécessaires pour assurer la continuité des TI. La version récemment mise à jour du modèle d’ARA/de PCO demande aux RPO d’indiquer s’ils ont besoin d’un PRS, si la fonction qui remplit l’ARA/le PCO dispose des ordinateurs nécessaires en cas de retenue de la stratégie de télétravail, et si la fonction a établi des processus de continuité opérationnelle en cas de défaillance de l’infrastructure de TI. Toutefois, aucune description ou explication n’est fournie sur le moment auquel une fonction est tenue de créer un PRS-TI. De plus, la nouvelle version du modèle demande seulement à ce que les objectifs de reprise (c.-à-d. objectif de temps de reprise et objectif de point de rétablissement) soient définis pour chaque fonction dans son ensemble, et ne demande pas à ce que des objectifs particuliers soient définis pour chaque système et/ou application qui la soutient. L’absence d’objectifs de reprise précis pour chaque système et/ou application, comme il est indiqué dans les lignes directrices de SP, peut avoir une incidence sur la capacité des fonctions essentielles à assurer l’alignement de leur capacité de TI prévue sur les besoins de continuité de la fonction opérationnelle.
Services partagés Canada (SPC) fournit des réseaux, du matériel et des logiciels aux ministères et est donc utilisé comme fournisseur de services par diverses fonctions de RNCan, notamment ses fonctions essentielles. En janvier 2021, SPC a rencontré RNCan pour lui présenter un aperçu de sa position sur la continuité de la TI et discuter des prochaines étapes de collaboration visant à combler les lacunes cernées par une évaluation de la continuité de l’environnement de TI de RNCan. De plus, SPC a mis en place un processus de détermination des applications et services opérationnels essentiels (ASOE) pour éclairer les niveaux de priorité des incidents dans le cadre de son processus de hiérarchisation de la gestion des incidents. Les normes de service de SPC relatives aux ASOE révèlent que le fait d’avoir une application ou un service figurant sur la liste des ASOE de SPC n’accorde pas en soi un soutien 24 heures sur 24, 7 jours sur 7, mais donne lieu à un niveau plus élevé de communication, de transmission hiérarchique et d’engagement de ressources de soutien de service. Le processus de demande d’ajout d’une application ou d’un service à la liste des ASOE de SPC consiste à soumettre un document Microsoft Excel par courriel. Les RPO des fonctions essentielles de RNCan qui demandent à être ajoutés à cette liste doivent remplir un questionnaire, qui est ensuite envoyé à SPC par la DDPIS. L’audit a permis de constater que la liste des applications et des services de RNCan comptant parmi les ASOE définies par SPC n’est pas régulièrement approuvée ou examinée, et que personne à RNCan n’a la responsabilité de veiller régulièrement à l’harmonisation des attentes du ministère en matière d’éléments répertoriés avec les éléments figurant sur la liste des ASOE de SPC. L’équipe d’audit a constaté que, par le passé, il y a eu des désaccords entre RNCan et SPC quant à ce qui figurait sur la liste des ASOE de SPC. L’équipe d’audit a obtenu l’assurance qu’en juin 2021, le centre de données d’une fonction essentielle du ministère a été mis hors service et que SPC a été contacté pour fournir du soutien en matière de TI. Le centre de données n’était pas répertorié comme étant un élément principal dans la liste des ASOE de RNCan établie par SPC, empêchant ainsi la fonction essentielle de recevoir le niveau de soutien auquel elle s’attendait pour une application ou un service en raison d’un décalage entre ce que RNCan croyait être les ASOE et ce qui se trouvait sur la liste susmentionnée.
Après l’achèvement de la phase d’exécution, l’équipe d’audit a obtenu l’ébauche d’un Plan de gestion des incidents majeurs (PGIM) en juillet 2021, qui a été transmis par le DPI/DPS pour commentaires au Comité de gestion de la technologie et de l’information (CGTI). L’objectif principal de ce plan provisoire est de décrire un processus détaillé de gestion des incidents de TI majeurs au sein de RNCan visant à rétablir les activités normales. L’équipe d’audit a constaté que ce plan fournit un guide complet de gestion des incidents majeurs de TI et comprend une liste mise à jour de ce que RNCan aimerait voir classé comme ASOE. Le plan provisoire a été approuvé par le DPI/DPS; toutefois, ce plan n’a pas encore été mis en œuvre et il ne fournit pas de précisions sur le processus visant à s’assurer que la liste de ce que RNCan considère comme des ASOE est approuvée, complète, exacte et harmonisée avec la liste des ASOE de RNCan établie par SPC.
Par ailleurs, l’équipe d’audit a constaté que le personnel de GCO a élaboré des mécanismes de continuité des TI qui comprennent une description des fournisseurs de services tiers (y compris SPC) et des types de soutien qu’ils assurent, notamment des listes des réseaux, des applications et du matériel nécessaires. Toutefois, il n’y a aucune entente en place entre RNCan et SPC qui précise ce dont chaque ministère est responsable en cas d’interruption de service pour soutenir et assurer la continuité des applications et des services de TI qui dépendent de SPC, même si SPC tient un site Web indiquant les services qu’il offre. Le processus d’obtention du soutien de SPC pour la continuité des applications et des services de TI figurant sur la liste des ASOE exige qu’une demande soit présentée au centre d’assistance informatique de RNCan, qui se charge de transmettre la demande à SPC. Étant donné que le centre d’assistance de RNCan n’est actuellement pas doté en personnel en dehors des heures de bureau de RNCan, la DDPIS a indiqué que les fonctions essentielles dépendent de la connaissance de personnes-ressources à SPC joignables lorsqu’un incident se produit en dehors des heures de bureau. Le PGIM provisoire reçu indique que RNCan prévoit fournir un service d'assistance disponible 24 heures sur 24, 7 jours sur 7, aux fonctions essentielles; toutefois, il s’agit seulement d’une ébauche et l’équipe d’audit n’a pas reçu la moindre preuve que ce niveau de soutien est en place. Ce plan ne précise pas si le ministère obtiendra un soutien 24 heures sur 24, 7 jours sur 7 de SPC pour les ASOE. Étant donné que le service d’assistance de RNCan joue souvent un rôle de coordination entre les fonctions essentielles et SPC, il se peut que ce service ne règle pas les problèmes mentionnés ci-dessus, à moins que le ministère n’obtienne un soutien semblable de SPC. De plus, les ententes avec des fournisseurs de services tiers, notamment SPC, amélioreraient la compréhension de RNCan de ses propres responsabilités et des attentes, ainsi que l’efficacité de la poursuite des activités ministérielles essentielles. L’équipe d’audit a constaté qu’il n’existait aucun plan, processus et accord adéquat détaillant la façon dont les fonctions essentielles de RNCan devraient interagir avec certains fournisseurs tiers pour recevoir le niveau de soutien dont leurs applications et services de TI ont besoin.
| Leçon № 5 tirée de la pandémie de COVID-19 |
|---|
| Des mesures de contrôle de la GI/TI devraient être en place pour appuyer la stratégie de PCO choisie par le ministère. Au début de la pandémie, le ministère a rapidement mis en œuvre de nouvelles solutions de GI/TI, comme Microsoft Teams, pour améliorer la collaboration à distance. RNCan a également adopté une stratégie de déploiement d’ordinateurs portables priorisant leur affectation à l’aide d’une structure à plusieurs niveaux. Les progrès de cette stratégie ont été communiqués à la haute direction et toutes les fonctions hautement prioritaires avaient reçu leurs ordinateurs portables en date du 22 avril 2020. Toutefois, un récent audit ciblé de la sécurité de la GI/TI a révélé que les ordinateurs de bureau se trouvant dans des immeubles de RNCan ont été récupérés par les employés avant d’être correctement configurés pour fonctionner à l’extérieur de ces immeubles. De même, bien que le ministère ait fait preuve de souplesse dans sa réponse à la pandémie en effectuant une transition rapide vers un environnement de travail à distance, l’audit ciblé a permis de constater que RNCan n’avait pas de processus ou de structures en place pour s’assurer que les documents sensibles et sécurisés puissent être entreposés en toute sécurité ou transférés dans un environnement de travail à distance. Par conséquent, un équilibre doit être trouvé entre cette souplesse et l’apport d’une attention adéquate aux mesures de contrôle de GI/TI pendant les événements critiques. Il convient de noter que l’audit ciblé de la sécurité de la GI/TI a permis de formuler des recommandations donnant suite à ces observations. |
Établissement des priorités et répartition des ressources
L’équipe d’audit a constaté que le processus annuel d’ARA mentionné ci-dessus est le mécanisme essentiel à l’établissement des priorités et à l’affectation des services et des ressources centralisés de RNCan, ainsi que le mécanisme clé d’identification des ressources humaines requises par une fonction essentielle. L’équipe n’a trouvé aucun élément prouvant que les fonctions essentielles du ministère ont été classées par ordre de priorité en fonction des résultats attendus si elles ne pouvaient pas poursuivre leurs activités en cas d’interruption de service.
Les hauts fonctionnaires de la structure de gouvernance de la sécurité de RNCan sont chargés de déterminer les besoins en matière de sécurité et les besoins en ressources connexes pour les programmes, les services et les activités de leur secteur de responsabilité. Les fonctions essentielles se voient assigner une approbation financière d’urgence dans le cas où le représentant désigné n’est pas disponible pour assurer la poursuite des opérations essentielles.
L’équipe d’audit n’a pas été en mesure d’obtenir des preuves de plans ou de lignes directrices formellement définis et documentés sur la redistribution des ressources de TI en réponse à une activation du PCO. Malgré l’absence de plans et de processus officiellement documentés, l’équipe d’audit a noté que la DDPIS était en mesure de distribuer efficacement du matériel et de l’infrastructure de soutien des TI aux fonctions essentielles pour leur permettre de poursuivre leurs activités pendant la pandémie de COVID-19, et que les fonctions essentielles avaient des plans en place pour déterminer les ressources dont elles ont besoin.
| Leçon № 6 tirée de la pandémie de COVID-19 |
|---|
| Une planification et une préparation claires en matière de GCO devraient constituer la principale stratégie d’intervention de RNCan en cas d’activation future. La souplesse organisationnelle de RNCan a permis l’adaptation de certains processus de RH et de communication, la rénovation d’immeubles pour protéger les employés et la mise en œuvre rapide de solutions de GI/TI pour permettre au personnel de travailler depuis leur domicile, dans un contexte où de nombreuses équipes travaillaient avec un effectif réduit. Toutefois, il a été noté que cette souplesse et la transition rapide vers un environnement de travail à distance exigeaient la poursuite d’efforts extraordinaires et entraînaient une charge de travail accrue et un niveau de stress important pour certains employés de RNCan, qui auraient pu être réduits grâce à une préparation accrue. |
Risques et incidences
Le non-respect des exigences prescrites dans les politiques du CT peut causer l’absence de processus de GCO efficaces.
RNCan peut ne pas être prêt à atteindre ses objectifs en cas d’interruption de service en l’absence d’un plan ministériel de GCO, d’ententes écrites avec des tiers, de processus efficaces visant à harmoniser la capacité de TI afin d’atteindre les objectifs de rétablissement établis, ainsi que d’identification et de communication des solutions de TI prioritaires et des fonctions essentielles.
Recommandations
Recommandation № 3 : Il est recommandé que le DPS s’assure :
- que les lignes directrices ministérielles soient alignées avec la politique du CT et soient communiquées, mises en œuvre et mises à jour régulièrement et comprennent des plans de redistribution des ressources aux fonctions prioritaires;
- que les domaines d’amélioration ou les écarts détectés par les composantes du cycle de suivi, de mise à l’essai et d’amélioration continue de RNCan soient déterminés et fassent l’objet d’un suivi en temps opportun; et
- qu’un plan ministériel visant à atteindre les objectifs de continuité opérationnelle et des TI soit conçu, mis en œuvre, et tenu à jour de façon adéquate et en temps opportun dans le but de veiller à ce que le ministère soit prêt à s’acquitter de ses responsabilités en vertu de la Loi sur la gestion des urgences.
Recommandation № 4 : Il est recommandé que le DPS s’assure :
- que les lignes directrices ministérielles fournissent des renseignements adéquats aux responsables des processus opérationnels des fonctions essentielles pour les informer de leurs rôles, responsabilités et attentes en matière de continuité des TI; et
- qu’un processus est établi pour veiller à ce que la DDPIS examine régulièrement la liste des applications de RNCan figurant sur la liste des applications et des systèmes opérationnels essentiels de SPC afin de s’assurer qu’elle est complète et exacte et que ces éléments examinés ainsi que les ajouts de RNCan à la liste sont dûment approuvés.
Recommandation № 5 : Il est recommandé que les SMA des secteurs dotés de fonctions essentielles veillent à ce que des ententes soient conclues avec les fournisseurs de services tiers (y compris les ministères) au moyen desquels leurs fonctions essentielles fournissent ou reçoivent le soutien nécessaire pour s’assurer que les rôles, les responsabilités et les normes de service sont établis en fonction des résultats de l’ARA (y compris les objectifs de rétablissement).
Réponse de la direction et plan d’action
La direction est d’accord avec la recommandation no 3a.
La DDPIS examinera et mettra à jour la Norme de 2018 sur le programme de planification de la continuité opérationnelle de RNCan (et d’autres documents de politique connexes, au besoin, comme la documentation relative à l’ARA et le mandat du Groupe de travail sur le PCO). La DDPIS veillera à ce que la version révisée de ces documents soit conforme au cadre et aux politiques du SCT.
La norme révisée décrira clairement les rôles, les responsabilités et les rapports hiérarchiques au moyen d’une structure de gouvernance claire.
La norme révisée sera approuvée par le DG-CSGMUR et la gouvernance de RNCan, sera communiquée aux employés et publiée sur l’intranet ministériel, et sera passée en revue tous les trois ans.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 juin 2022
La direction est d’accord avec la recommandation no 3b.
Les responsables opérationnels d’applications essentielles à la mission effectuent un exercice de simulation annuel pour mettre à l’essai leurs plans de reprise après sinistre (PRS) respectifs et améliorer tout domaine devant l’être. Cela demeure dans leurs domaines de responsabilité respectifs. Le processus de gestion des incidents majeurs (PGIM) a été soumis à la gouvernance et SPC est d’accord avec le processus. Le PGIM sera mis en œuvre au T3 de l’exercice 2021-2022 et identifie les points à améliorer ou les écarts après qu’un incident majeur ait été résolu au moyen d’un rapport d’incident critique. Un processus sera mis en œuvre pour documenter ces écarts ainsi que les écarts relevés dans le cadre de l’exercice de continuité des TI (voir recommandation 3c ci-dessous) et de la mise à l’essai ou de l’examen du processus de gestion de la continuité opérationnelle (recommandation 2c) dans un plan d’action. La DDPIS assurera un suivi des écarts aux côtés des responsables opérationnels et de SPC en temps opportun. L’examen et la mise en œuvre du plan d’action seront également ajoutés à la Politique ministérielle sur la sécurité pour une compréhension commune à l’échelle de RNCan.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 31 mars 2022
La direction est d’accord avec la recommandation no 3c.
Le plan ministériel visant à atteindre les objectifs de continuité opérationnelle sera mis à jour aux fins de concordance avec les objectifs de continuité des TI et le processus de gestion des incidents de SPC pour que le ministère puisse s’acquitter de ses responsabilités en vertu de la Loi sur la gestion des urgences.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 juin 2022
La direction est d’accord avec la recommandation no 4a.
Conforme au plan de GCO du Ministère et validé par les responsables opérationnels des fonctions essentielles et SPC, le Plan de gestion des incidents majeurs (PGIM) a été approuvé par le Comité de la gestion et de la technologie de l’information (CGTI) et devrait être approuvé par le Comité opérationnel en septembre 2021. Le PGIM documente les rôles, les responsabilités et les attentes lorsqu’un incident majeur est détecté et résolu. De même, la DDPIS valide le besoin de services de continuité des TI disponibles 24 h/24 et 7 j/7 auprès des responsables opérationnels des systèmes essentiels avant de signer les ententes en la matière de SPC, qui documenteront les rôles, les responsabilités et les attentes des responsables opérationnels en matière de continuité des TI. La DDPIS orientera les responsables opérationnels en ce qui a trait à leurs rôles, leurs responsabilités et leurs attentes en matière de continuité des TI.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 30 juin 2022
La direction est d’accord avec la recommandation no 4b.
SPC crée et administre la liste des applications et des systèmes opérationnels essentiels. RNCan examine et approuve cette liste chaque année dans le cadre d’un exercice dirigé par l’équipe des responsables des relations avec la clientèle de SPC. À l’heure actuelle, les prestataires de services opérationnels (PSO) de la DDPIS assurent la liaison avec les responsables opérationnels des services essentiels aux fins d’examen et d’approbation de la liste des applications et des systèmes opérationnels essentiels pour RNCan. Le processus sera mis à jour afin que le dirigeant principal de l’information (DPI) de RNCan examine et approuve cette liste pour RNCan avant de la renvoyer à SPC. Le processus mis à jour figurera dans la Politique ministérielle sur la sécurité.
Responsable : Dirigeant principal de l’information et de la sécurité, Direction du dirigeant principal de l’information et de la sécurité, Secteur de la gestion et des services intégrés
Échéance : 31 mars 2022
La direction est d’accord avec la recommandation no 5.
Le recours aux services de continuité des TI de SPC (disponibles 24 h/24 et 7 j/7) a un coût, et la DDPIS examine le besoin de services de continuité des TI 24 h/24 et 7 j/7 avec les responsables opérationnels de RNCan. RNCan utilisera subséquemment le niveau adéquat de services de continuité des TI de SPC. Cela permettra d’officialiser les plans de continuité des TI avec SPC et d’établir des services annuels de mise à l’essai de la continuité des TI de l’infrastructure existante. Les retombées de cet exercice permettraient également à RNCan d’appliquer les recommandations 3b, 3c et 4a de l’audit.
Les SMA des secteurs dotés de services essentiels devront fournir un financement et s’assurer que les ententes de continuité des TI de SPC sont signées, par l’entremise de la DDPIS, pour bénéficier des services de continuité des TI de SPC. Les ententes conclues officialiseront le soutien de la continuité des TI de SPC en décrivant les rôles, les responsabilités et les normes de service.
Responsables : SMA des secteurs dotés de services essentiels avec le soutien du dirigeant principal de l’information et de la sécurité
Échéance : 30 septembre 2022
ANNEXE A – CRITÈRES D’AUDIT
L’audit visait à évaluer l’efficacité de la structure de gouvernance de la sécurité et des activités de gestion des risques de RNCan, ainsi que des processus qui aident le ministère à s’acquitter de ses obligations en matière de GCO et qui lui permettent d’être continuellement prêt à exécuter son mandat en cas d’interruption de service. L’audit a également permis de relever les leçons tirées de l’activation du PCO en mars 2020 en raison de la pandémie.
Les critères d’audit suivants ont été utilisés pour mener cet audit :
| Sous-objectifs de l’audit | Critères d’audit |
|---|---|
| Sous-objectif № 1 : Déterminer si des structures de gouvernance de la sécurité adéquates ont été établies pour surveiller et coordonner les composantes de gestion de la continuité opérationnelle de RNCan aux échelles ministérielle, sectorielle et régionale. |
1.1 Le ministère devrait avoir établi des structures de gouvernance adéquates pour assurer la coordination et la surveillance de la GCO aux échelles ministérielle, sectorielle et régionale. |
| 1.2 Le ministère devrait avoir élaboré et mis en œuvre un ensemble adéquat de politiques, y compris un PCO ministériel, conformément aux politiques pertinentes du Conseil du Trésor. | |
| 1.3 Les rôles, les responsabilités et les obligations de compte rendu liés aux activités de GCO du ministère devraient être clairement définis et communiqués et appuyer adéquatement la poursuite des fonctions essentielles de RNCan. | |
| 1.4 Le ministère devrait avoir établi des mécanismes adéquats de communication et de production de rapports pour communiquer avec les secteurs et leur fournir des conseils afin d’assurer la mise en œuvre efficace du PCO. | |
| Sous-objectif № 2 : Déterminer si les activités de gestion des risques sont adéquatement conçues et mises en œuvre et régulièrement mises à jour afin d’être continuellement prêt à exécuter le mandat de RNCan en cas d’interruption de service. |
2.1 Le ministère devrait avoir établi des processus adéquats d’évaluation des répercussions sur les activités, y compris la détermination et la documentation des fonctions essentielles, des risques internes et externes, et la mise en œuvre de mesures d’atténuation pour atteindre les objectifs de rétablissement établis. |
| 2.2 Le ministère devrait avoir établi des processus adéquats pour s’assurer que les PCO tiennent compte des risques existants et non atténués pour chaque fonction essentielle. | |
| 2.3 Le ministère devrait avoir établi des processus efficaces pour assurer des essais, un suivi et des mesures correctives adéquats pour la GCO afin d’être continuellement prêt à exécuter son mandat en cas d’interruption de service. | |
| Sous-objectif № 3 : Déterminer si des processus adéquats ont été établis pour assurer l’efficacité des fonctions opérationnelles essentielles de RNCan en cas d’activation d’un PCO. |
3.1 Le ministère devrait avoir conçu et mis en œuvre des solutions de TI appropriées pour appuyer ses initiatives de continuité opérationnelle. |
| 3.2 Le ministère devrait avoir établi des processus adéquats pour s’assurer que les ressources ministérielles, y compris les ressources humaines, financières et de TI, sont priorisées et qu’il existe des mécanismes pour redistribuer efficacement les ressources lorsqu’une fonction essentielle l’exige. | |
| 3.3 Le ministère devrait avoir établi des processus adéquats de formation pour veiller à ce que le personnel chargé de concevoir et de mettre en œuvre les PCO ait une connaissance adéquate et une formation spécialisée (y compris le renforcement des compétences et des capacités) pour s’acquitter de ses fonctions. | |
| Sous-objectif № 4 : Déterminer si des leçons ont été tirées de l’activation du PCO de RNCan en mars 2020 en raison de la pandémie. |
4.1 Le ministère devrait avoir établi des processus adéquats pour déterminer les leçons apprises dans le cadre de l’activation du PCO de mars 2020, et s’assurer que les pratiques exemplaires sont documentées et mises en œuvre et que des activités de suivi sont menées. |
Annexe B – Acronymes et sigles
- SMA
- Sous-ministre adjoint
- BSMA
- Bureau du sous-ministre adjoint
- SMA-CSGMUR
- Comité des sous-ministres adjoints sur la sécurité, la gestion des mesures d’urgence et les renseignements
- GCO
- Gestion de la continuité opérationnelle
- GT GCO
- Groupe de travail sur la gestion de la continuité opérationnelle
- PCO
- Plan de continuité opérationnelle
- PEUI
- Plan d’évacuation d’urgence de l’immeuble
- FACA
- Fonction d’aide à la conduite des affaires
- ARA
- Analyse des répercussions sur les activités
- RPO
- Responsable de processus opérationnel
- ASOE
- Applications et services opérationnels essentiels
- DDPIS
- Direction du dirigeant principal de l’information et de la sécurité
- SGSI
- Secteur de la gestion et des services intégrés
- SRBC
- Stratégie de rétablissement des bureaux communs
- CMA
- Comité ministériel d’audit
- COUM
- Centre des opérations d’urgence du ministère
- DG
- Directeur général
- DG-CSGMUR
- Comité des directeurs généraux sur la sécurité, la gestion des mesures d’urgence et les renseignements
- GU
- Gestion des urgences
- LGU
- Loi sur la gestion des urgences
- GC
- Gouvernement du Canada
- CGTI
- Comité de gestion de la technologie et de l’information
- TI
- Technologie de l’information
- PRS-TI
- Plan de reprise après sinistre des technologies de l’information
- CSTI
- Coordonnateur de la sécurité des technologies de l’information
- TAMA
- Temps d'arrêt maximal admissible
- PGIM
- Plan de gestion des incidents majeurs
- NSM
- Niveau de service minimal
- RCN
- Région de la capitale nationale
- RNCan
- Ressources naturelles Canada
- SP
- Sécurité publique
- PSN
- Politique sur les services et le numérique
- OPR
- Objectif de point de rétablissement
- OTR
- Objectif de temps de reprise
- RPI
- Responsable principal de l’immeuble
- DGSU
- Division de la gestion de la sécurité et des mesures d'urgence
- PON
- Procédure opérationnelle normalisée
- SPC
- Services partagés Canada
- CT
- Conseil du Trésor
Détails de la page
- Date de modification :