Rapport de vérification
Vérification de la planification de la continuité des activités
Décembre 2016

Nota

[*] Un astérisque indique que des renseignements de nature délicate ont été supprimés en vertu de la Loi sur l'accès à l'information et de la Loi sur la protection des renseignements personnels.

Table des matières

1.0 IntroductionFootnote 1

La gestion des urgences représente l'une des principales fonctions du gouvernement du Canada et elle est régie par la Loi sur la gestion des urgences (la Loi).Cette fonction consiste à assurer la sûreté et la sécurité des Canadiens en gérant les situations d'urgence selon une approche tous risquesNote de bas de page 2. La planification de la continuité des activités (PCA) se veut complémentaire à la planification de la gestion des urgences, la PCA se concentrant sur les efforts internesNote de bas de page 3 afin d'assurer la disponibilité continue des services essentiels ainsi qu'un rétablissement en cas de perturbations, et la planification de la gestion des urgences se concentrant sur l'environnementNote de bas de page 4 externeNote de bas de page 5.

On entend par PCA l'élaboration et l'exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d'éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentielsNote de bas de page 6. Les services et biens essentiels sont ceux « dont la compromission, du point de vue de la disponibilité ou de l'intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada »Note de bas de page 7.

Les exigences en matière de PCA sont principalement établies par l'entremise de la Loi sur la gestion des urgences, la Politique sur la sécurité du gouvernement du Conseil du Trésor, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO–PPCA) et la Norme opérationnelle de sécurité – Gestion de la sécurité des technologies de l'information (GSTI). Le Guide de planification de la continuité des activités de Sécurité publique fournit également des lignes directrices sommaires et générales relatives à la PCA.La Loi, les politiques et les normes opérationnelles fournissent un cadre d'orientation aux ministères pour l'élaboration de processus en matière de continuité des activités à l'appui des objectifs ministériels. Elles ont également pour but de définir les rôles, les responsabilités et les obligations des ministères et des principaux organismes responsables de la sécurité. Dans le cadre de la présente vérification, on entend par principaux organismes responsables de la sécurité les ministères qui assument un rôle de conseiller et de guide en matière de PCA à l'échelle du gouvernement, dont le Bureau du Conseil privé, Sécurité publique et le Secrétariat du Conseil du Trésor.

La NSO–PPCA souligne que le programme de PCA (le programme) s'articule autour des quatre éléments suivantsNote de bas de page 8 :

  1. L'établissement d'une structure de gouvernance pour le programme de PCA;
  2. La réalisation d'une analyse des répercussions sur les opérations pour évaluer l'incidence des perturbations sur le Ministère et pour déterminer les services essentiels et les biens connexes, et les classer par ordre de priorité;
  3. L'élaboration de plans et de préparatifs pour la continuité des activités;
  4. La mise à jour de l'état de préparation du programme de PCA.

L'objectif du programme de PCA de l'Agence des services frontaliers du Canada (l'ASFC ou l'Agence) est d'assurer une coordination efficace afin de garantir la disponibilité continue des services essentiels en cas d'interruption de servicesNote de bas de page 9. Au sein de l'ASFC, la gestion du programme de PCA incombe à la Direction de la sécurité et des normes professionnelles, qui relève de la Direction générale du contrôle, alors que sa prestation est assurée par les gestionnaires de services essentiels à l'échelle de l'Agence. Les gestionnaires de services essentiels sont responsables de la détermination des services essentiels, ainsi que de l'élaboration, de l'exécution et de la mise à jour de plans et de dispositions permettant d'assurer la prestation des services essentiels. Ils sont également responsables de la mise à exécution et de la levée de leurs plans en cas d'interruption. L'équipe de gestion de la continuité des activités (GCA), de la Direction de la sécurité et des normes professionnelles, est responsable de :

Afin de soutenir l'équipe de GCA, toutes les directions générales ont nommé leur propre coordonnateur responsable de la PCA. Ces coordonnateurs travaillent de pair avec les gestionnaires de services essentiels de leur direction respective et assurent un rôle de coordination entre les gestionnaires de services essentiels et l'équipe de GCA de la Direction générale du contrôle, qui est responsable de la gestion et de l'administration du programme dans son ensemble.

L'Agence dispose d'un total de 421 plans de continuité des activités pour les services essentiels et les services de soutien essentielsNote de bas de page 10. Le coordonnateur de la PCA de la Direction générale de l'information, des sciences et de la technologie (DGIST) gère (c.-à-d. qu'il actualise, coordonne et met à l'essai) [*] plans de continuité des activités pour la direction générale. Le coordonnateur de la PCA de la Direction générale des opérations assure la gestion de [*] plans de continuité des activités, principalement pour les points d'entrée (PE). La gestion des autres [*] plans de continuité des activités relève de l'équipe de GCA de la Direction générale du contrôle.

Le coordonnateur de la PCA de la DGIST travaille au sein de la Division de la sécurité et continuité de la technologie de l'information (TI), dont les principales activités consistent notamment à assurer un rôle de leadership, d'orientation et de coordination dans le cadre de la préparation et de l'élaboration des plans de continuité des activités de la DGISTNote de bas de page 11. Si la gestion du programme de PCA relève de l'équipe de GCA de la Direction générale du contrôle, la DGIST a tout de même créé sa propre trousse d'outils pour l'élaboration de ses ARO et plans de continuité des activités, et ce, en raison des éléments uniques que commandent les services essentiels et les services de soutien en TI. La Division de la sécurité et continuité de la TI est responsable de partager ses plans de continuité des activités avec l'équipe de GCA de la Direction générale du contrôle, ainsi que d'assurer une coordination auprès de l'équipe à l'égard d'autres questions de PCA (p. ex. les essais, les mises à jour, etc.). Elle est également responsable d'assurer la liaison avec les gestionnaires de services essentiels de l'ensemble de l'Agence afin de s'assurer que l'on cerne les besoins en matière de TI et que l'on y répond dans le cadre du processus de PCA.

Le coordonnateur de la PCA de la Direction générale des opérations est responsable des plans de continuité des activités des [*] PE et des [*] plans de continuité des activités de l'Administration centrale. Le coordonnateur utilise les outils et les modèles fournis par l'équipe de GCA et collabore étroitement avec celle-ci afin d'assurer une communication et une coordination continues entre les directions générales. Le coordonnateur de la PCA de la Direction générale des opérations travaille de concert avec ses homologues régionaux dans le cadre d'examens bisannuels de tous les plans de continuité des activités, lesquels visent à valider de nouveau et mettre à jour lesdits plans. Tous les plans de continuité des activités de la Direction générale des opérations sont remis à l'équipe de GCA afin d'être inclus dans l'inventaire de PCA de la Direction générale du contrôle.

Dans le cadre de la gestion des urgences, le Centre national des opérations frontalières (CNOF) ainsi qu'une liste structurée des services de gestionnaires offerts aux échelles régionale et nationale 24 heures par jour, 7 jours semaine, jouent des rôles clés pour assurer la continuité des activités. Si le CNOF ne participe pas directement à la PCA des PE régionaux, il joue néanmoins un rôle important pour ce qui est d'assurer une PCA à l'échelle nationale et de veiller à la continuité des activités sur une base quotidienne, et ce, en raison de l'environnement de l'Agence qui demeure opérationnel en tout temps. Le CNOF est notamment responsable d'assurer le maintien de la connaissance de la situation en ce qui concerne les services frontaliers et la sécurité; de veiller à l'intégration des services frontaliers aux mesures de continuité des activités pangouvernementales; de coordonner à l'échelle nationale les interventions tactiques en cas d'urgence, de menaces et de problèmes; d'effectuer un suivi de l'état actuel des opérations; de maintenir et d'améliorer la communication d'information entre les partenaires régionaux en matière d'exécution de la loi et les responsables des opérations de l'Agence; et d'effectuer des interventions et d'assurer une gestion en cas de situations imprévuesNote de bas de page 12.

Le CNOF assure également la gestion du Programme d'exercices opérationnels, son mandat consistant à élaborer, coordonner et maintenir en place un programme d'exercices qui, dans l'ensemble, répondra mieux aux besoins et aux objectifs de formation de l'Agence. Le programme sert de plateforme pour mesurer les progrès réalisés au chapitre de l'état de préparation opérationnelle et planifier les besoins en matière d'exercices opérationnelsNote de bas de page 13. À cette fin, on met notamment à l'essai les plans de continuité des activités de la Direction générale des opérations, soit directement (si désignés comme prioritaires) ou indirectement (par l'entremise d'autres exercices opérationnels).

2.0 Importance de la vérification

La présente vérification intéresse la direction en raison de la nature opérationnelle de l'Agence et de la nécessité d'assurer la continuité des activités aux fins de l'exécution du mandat de l'Agence.

L'ASFC a par ailleurs participé au présent audit interne horizontal de la PCA effectuée par le Bureau du contrôleur général (BCG). La PCA a été jugée une priorité de vérification élevée dans le cadre du processus de planification des vérifications en fonction du risque du BCG, car elle continue de présenter un risque inhérent élevé, celle-ci jouant un rôle fondamental dans le renforcement de la capacité du gouvernement du Canada à maintenir son état de préparation et, au bout du compte, à assurer l'exécution continue de ses mandatsNote de bas de page 14.

Le BCG compte produire son propre rapport pangouvernemental sur la PCA. Il est possible que ce rapport ne fasse mention d'aucun ministère ou organisme en particulier, et les recommandations formulées se fonderont sur des observations et des thèmes communs.

Le présent rapport de vérification interne de l'ASFC vise à communiquer les résultats de la vérification et à fournir des recommandations du point de vue de l'Agence. Bien que ce rapport puisse comprendre des thèmes similaires à ceux traités dans le rapport du BCG, il vise à fournir davantage de détails sur le cadre et les processus de PCA de l'ASFC.

L'objectif de la vérification était de déterminer si :

On traite de la portée de la vérification et de ses critères à l'annexe A.

3.0 Énoncé de conformité

La présente vérification est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité. La stratégie et les méthodes de vérification adoptées sont conformes aux Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes et à la Norme relative à la vérification interne au sein du gouvernement du Canada, comme l'exige la Politique sur la vérification interne du Conseil du Trésor.

4.0 Opinion du vérificateur

L'Agence a mis en œuvre des éléments clés d'un programme de PCA complet, dont un cadre de gouvernance et des processus à l'appui de la PCA à l'échelle de l'Agence. Il existe des possibilités de renforcer le processus d'élaboration et d'approbation des plans de continuité des activités, ainsi que d'assurer un suivi du programme de PCA. Ceci permettra d'assurer la conformité aux exigences établies par les principaux organismes responsables de la sécurité et de mener un programme de PCA efficace.

5.0 Principales constatations

L'ASFC dispose d'un cadre de gouvernance en matière de PCA. Des comités de gouvernance ont été mis sur pied et se réunissent sur une base régulière. On a défini et communiqué les rôles et les responsabilités des intervenants clés et il existe une politique de PCA, laquelle s'harmonise avec le cadre stratégique en matière de PCA du gouvernement. On a mis au point une stratégie pour déterminer les services essentiels et les classer par ordre de priorité.

L'Agence dispose de processus pour élaborer et mettre à jour les ARO et les plans de continuité des activités ministériels. On met des outils et des modèles à la disposition des gestionnaires de services essentiels à des fins d'élaboration d'ARO et de plans de continuité des activités. Bien qu'aucune formation officielle n'existe, on fournit néanmoins de la formation en cours d'emploi aux coordonnateurs de la PCA. On effectue des essais en matière de PCA dans l'ensemble de l'Agence et tous les plans de continuité des activités sont mis à jour sur une base régulière. Il existe des possibilités d'amélioration en ce qui concerne la détermination de la documentation requise pour appuyer l'évaluation des options de stratégie de reprise et les essais en matière de PCA; la détermination de la formation requise pour les coordonnateurs de la PCA; et l'officialisation du processus d'approbation des ARO et des plans de continuité des activités.

Conformément à la politique de GCA de l'ASFC, la Direction de la sécurité et des normes professionnelles est responsable de la surveillance du programme de PCA. Bien qu'un processus de surveillance et de production de rapports à l'égard du programme de PCA soit déjà en place, il demeure possible de définir officiellement ledit processus, ainsi que de déterminer la portée et la fréquence des activités de surveillance se rapportant à l'efficacité de la PCA et à la conformité aux exigences du gouvernement.

6.0 Sommaire des recommandations

La vérification a donné lieu à trois recommandations se rapportant aux éléments suivants :

7.0 Réponse de la direction

La Direction générale du contrôle accepte le rapport de vérification dans son ensemble et souscrit aux recommandations qu'il renferme. Des mesures et des dispositions adéquates sont actuellement prises afin de restructurer de manière efficace les processus en place au sein du programme de PCA.

8.0 Constatations découlant de la vérification

8.1 Cadre de gouvernance

Critères de vérification :

La structure de gouvernance du programme est essentielle aux activités d'orientation et de surveillance, lesquelles guident la poursuite des objectifs du programme. La NSO–PPCA exige que l'on élabore une politique ministérielle sur le programme de PCA afin que les exigences de la Politique sur la sécurité du gouvernementNote de bas de page 15 soient appliquées aux opérations et aux programmes ministériels que l'on met en place ou qui existent déjà. À cette fin, il est possible d'avoir recours à des comités de cadres supérieurs ou à la nomination d'un coordonnateur de la PCA.

L'Agence a mis sur pied une structure de gouvernance qui soutient activement la PCA. Celle-ci s'appuie sur deux comités de gouvernance en matière de sécurité : le Comité de gestion de la sécurité et le Groupe de travail sur la sécurité des opérations de continuité. Notre examen des mandats et des comptes rendus de réunions des deux comités a confirmé que l'on avait défini les rôles et les responsabilités; que les comités soutenaient activement les mécanismes de PCA; que les membres représentaient adéquatement l'ensemble de l'Agence; et que l'on s'acquittait des responsabilités de comité énoncées dans la NSO–PPCA. La structure de gouvernance établie fait l'objet d'examens sur une base périodique, ou au besoin, dans le cadre du processus d'examen de la politique de GCA.

La politique de GCA de l'ASFC est publiée dans l'intranet de l'Agence et a été approuvée par le Comité de gestion de la sécurité. Les rôles et les responsabilités des membres de la structure de gouvernance, dont l'agent de sécurité de l'Agence et les coordonnateurs de la PCA, ont été documentés, définis et communiqués par l'entremise de la politique de GCA. La politique de GCA définit également les attentes en matière de PCA et est mise à jour périodiquement (généralement aux trois ans). Cette mise à jour commande un examen de la structure de gouvernance de la PCA en place, ainsi qu'une mise à jour des outils et des modèles de PCA fournis aux gestionnaires de services essentiels, ainsi que de l'approche de détermination des services essentiels.

On précise à la section 3.2 de la NSO–PPCA qu'il faut procéder à une ARO pour évaluer l'incidence des perturbations sur l'Agence, ainsi que pour déterminer les services essentiels et les biens connexes, et les classer par ordre de prioritéNote de bas de page 16. L'ASFC dispose d'une approche systématique pour déterminer les services essentiels et les classer par ordre de priorité. Tous les gestionnaires de services essentiels sont tenus de réaliser une ARO à l'aide des outils et des modèles normalisés de l'Agence, et ce, afin de déterminer les services essentiels. Une fois cette analyse terminée, conformément à la NSO–PPCA, les résultats devraient être approuvés par la haute direction avant que l'on élabore les plans de continuité des activités. On a réalisé les deux ARONote de bas de page 17 examinées par le vérificateur à l'aide des outils et des modèles appropriés; on a toutefois observé des lacunes quant à la documentation des approbations par la haute direction.

Suivant la détermination des services essentiels, la NSO–PPCA exige que ceux-ci soient classés par ordre de priorité. La priorité est établie selon le temps d'arrêt maximal admissible et le niveau de services minimal requis avant qu'un préjudice élevé ne soit causé. Les services qui doivent toujours être disponibles viennent au premier rangNote de bas de page 18.

Tous les services que l'Agence a classés comme étant essentiels disposent d'un temps d'arrêt maximal admissible allant de [*] heures. Comme le même temps d'arrêt maximal admissible est le même pour ces services, l'Agence a décidé qu'aucun classement par ordre de priorité officiel n'aurait lieu. L'ASFC est un organisme d'exécution de la loi et c'est pourquoi chacun de ses services jugés essentiels constitue une priorité et doit être traité avec le même degré d'urgence. Étant donné que le temps d'arrêt maximal admissible est le même pour tous les services et que ceux-ci doivent être disponibles en tout temps, l'approche de l'Agence en matière de classement par ordre de priorité est conforme aux exigences de la NSO–PPCA.

Les constatations découlant de la vérification confirment que l'on a défini un cadre de gouvernance en matière de PCA. Celui-ci soutient activement le programme et définit les rôles et les responsabilités connexes. Une approche de détermination et de classement par ordre de priorité des services essentiels est en place; toutefois, on recommande d'officialiser le processus d'approbation dans la section qui suit, à la recommandation 1.

8.2 Processus de planification de la continuité des activités

Critères de vérification :

La NSOPPCA précise que l'on doit procéder à une ARO pour évaluer l'incidence des perturbations sur l'Agence, ainsi que pour déterminer les services essentiels et les classer par ordre de priorité. Tout en s'appuyant sur les résultats des ARO, il faut assurer une PCA qui inclut les éléments suivants :

Afin de soutenir les gestionnaires de services essentiels dans l'exécution de leurs responsabilités en matière de PCA, l'équipe de PCA de la Direction générale du contrôle a mis au point un ensemble d'outils et de modèles servant à l'élaboration d'ARO et de plans de continuité des activités. Les coordonnateurs de la PCA offrent des services d'orientation et de soutien au téléphone et par courriel sur une base continue aux gestionnaires de services essentiels.

On a choisi un échantillon de quatre services essentiels aux fins de la vérification. Le BCG a mis au point un outil d'évaluation s'articulant autour des exigences de la NSO–PPCA et des recommandations énoncées dans le Guide de planification de la continuité des activités, et l'on a utilisé celui-ci pour évaluer les ARO et les plans de continuité des activités de l'échantillon.

L'Agence mène des ARO pour déterminer les services essentiels, les PE n'étant pas visés, car ces derniers assurent tous les mêmes services essentiels et sont tous jugés comme essentiels. Pour deux des services à l'examen, aucune ARO n'avait été réalisée, ces derniers étant des PE. On disposait par ailleurs d'ARO documentées pour les deux autres services à l'examen, que l'on a évaluées à l'aide de l'outil d'évaluation du BCG. Si la majorité des éléments requis en vertu de la NSO–PPCA étaient inclus dans les ARO mêmes ou dans leurs plans connexes de continuité des activités, certains des éléments recommandés dans le Guide de planification de la continuité des activités n'avaient pas fait l'objet d'un examen. On compte parmi les éléments non inclus les effets quantitatifs et qualitatifs des répercussions sur d'autres ministères du gouvernement fédéral et intervenants clés, ainsi que les dépendances aux biens et aux services organisationnels externes. Ceci tient du fait que l'Agence n'a pas tenu compte du Guide de planification de la continuité des activités lors de l'élaboration des outils d'ARO, car l'équipe de GCA avait déterminé que son cadre était trop vaste et trop vague.

Les quatre services essentiels de l'échantillon disposaient de plans de continuité des activités documentés, lesquels comprenaient la majorité des éléments de l'outil d'évaluation, y compris les considérations au chapitre de la continuité des TI. L'approbation documentée des plans de continuité des activités par la haute direction (un directeur ou une personne d'échelon supérieur) était l'un des éléments qui n'étaient pas abordés de façon systématique. Or, il s'agit d'une exigence de la NSO–PPCA, et deux des quatre plans de continuité des activités à l'examen ne comportaient aucune trace d'approbation de la haute direction.

L'analyse des options en matière de reprise est l'un des autres domaines dans lequel on a relevé des lacunes. La section 3.3 de la NSO–PPCA exige la mise au point d'options de reprise, lesquelles orientent la définition d'une stratégie de reprise. Elle prescrit la tenue d'une évaluation de chacune des options de reprise afin que l'on choisisse l'option la plus appropriée. L'analyse doit tenir compte de certains facteurs, comme les répercussions sur le Ministère, les avantages, les risques, la faisabilité et les coûtsNote de bas de page 19. Si chacun des plans de continuité des activités de l'échantillon comprenait la stratégie de reprise choisie pour le service essentiel, il y manquait des éléments probants démontrant que l'on avait réalisé une évaluation pour chacune des options de reprise. Par conséquent, il était difficile pour le vérificateur de déterminer si l'évaluation avait eu lieu et si l'on avait pris en compte d'autres options en matière de reprise.

Pour ce qui est des séances d'information et de formation à l'intention du personnel, on fait part des plans de continuité des activités aux intervenants internes lors du processus d'élaboration et de mise à jour. L'équipe de GCA de la Direction générale du contrôle tient à jour un inventaire des plans de continuité des activités qu'elle sauvegarde et consigne régulièrement. Les entrevues ont révélé que la DGIST et la Direction générale du contrôle ont fait face à certaines difficultés en matière de coordination, en ce qui concerne notamment l'obtention de plans à jour de continuité des activités de la part de toutes les directions générales; on s'efforce toutefois actuellement de remédier à ces difficultés. Les coordonnateurs de la PCA coopèrent directement avec les gestionnaires de services essentiels sur une base régulière au cours du processus de mise à jour, lequel a lieu tous les six mois. Les gestionnaires de services essentiels partagent les plans de continuité des activités à jour avec les intervenants pertinents et leurs coordonnateurs de la PCA. L'équipe responsable de la continuité de la TI communique également directement avec les gestionnaires de services essentiels afin de s'assurer que l'on tient compte des besoins en matière de TI.

Bien que l'on offre de la formation en cours d'emploi aux coordonnateurs de la PCA, aucune occasion de formation officielle n'a été fournie ou relevée par les principaux organismes responsables de la sécurité pour la PCA ou par l'équipe de GCA de l'Agence de la Direction générale du contrôle. Les entrevues avec les coordonnateurs de la PCA ont permis de confirmer que les formations officielles profiteraient à ces derniers dans l'exercice de leurs responsabilités de PCA. La tenue de formations suffisantes et appropriées contribue à faire en sorte que le programme de l'Agence est efficace et qu'il répond aux exigences des principaux organismes responsables de la sécurité. Le CNOF a aussi informé l'équipe de vérification de la nécessité d'offrir une meilleure formation à l'échelle de l'Agence sur la mise en œuvre et l'exécution des plans de continuité des activités, aussi connus sous le nom de « système de commandement en cas d'incident ».

Pour ce qui est de la mise à l'essai des plans de continuité des activités, le Cadre de responsabilisation de gestion (CRG) prévoit trois catégories d'essais : les exercices de communication, les exercices fondés sur les discussions et les exercices opérationnels. Aux fins de la présente vérification, seuls des exercices fondés sur les discussions et des exercices opérationnels ont été menés, les éléments d'essai des exercices de communication ne répondant pas aux exigences du BCG. Les exigences du BCG à l'égard des exercices de simulation reposaient sur le Guide de planification de la continuité des activités et voulaient que les exercices de simulation s'articulent autour d'objectifs, d'une portée, d'hypothèses, de limites et de critères définis qui seraient communiqués à différents intervenants, comme les équipes de reprise, les facilitateurs, les observateurs, les comptabilisateurs de temps, etc.

Les essais menés par l'Agence sont un amalgame des trois types d'exercices de PCA. On effectue les exercices de communication au cours du processus de mise à jour de tous les plans de continuité des activités, pendant lequel ont lieu des conversations téléphoniques et des discussions par courriel avec tous les gestionnaires de services essentiels. L'équipe de GCA de la Direction générale du contrôle ainsi que la Direction générale des opérations effectuent certains exercices de simulation, lesquels relèvent de la catégorie des exercices fondés sur les discussions. La Direction générale des opérations mène également des exercices opérationnels dans le cadre du Programme d'exercices opérationnels.

Le Programme d'exercices opérationnels fait la promotion d'une méthode uniformisée à l'échelle de la direction pour : améliorer les connaissances et l'état de préparation au chapitre des situations d'urgence, ainsi que des processus et des procédures nouvellement mis en place ou rarement utilisés; améliorer les plans et les procédures internes et interministériels; assurer un suivi des progrès réalisés quant à l'état de préparation; et soutenir la planification des futurs exercices. On mène des exercices à différents échelons et parfois de façon concomitante, dont des exercices nationaux du gouvernement du Canada; des exercices à l'échelle de l'Agence; des exercices de la Direction générale des opérations; et des exercices régionaux ou locaux. La mise au point des exercices est un processus collaboratif entre le CNOF et le personnel de la Section des mesures d'urgence qui vise à faire en sorte que des objectifs clairs soient définis et que les analyses après action soient réalisées dans les délais prescrits.

Le processus d'élaboration d'exercices comprend une phase de planification qui commande notamment la détermination des priorités de la Direction générale des opérations, des objectifs, des ressources, des partenaires et des participants. La phase d'essai consiste à réaliser les objectifs de l'exercice par l'entremise de discussions axées sur un scénario ou d'interventions opérationnelles. On évalue ensuite chaque exercice afin de déterminer ce qui a bien fonctionné, ce qui peut être amélioré et les lacunes possibles, ainsi qu'afin d'assurer un suivi des recommandations. On effectue cette évaluation dans le cadre de comptes rendus après action et de plans d'amélioration. Le Programme d'exercices opérationnels s'appuie sur les éléments d'essai définis par le BCG aux fins de la présente vérification.

En 2014-2015, les responsables du Programme d'exercices opérationnels ont déterminé que les essais en matière de PCA constituaient une priorité. On a effectué des exercices particuliers afin de mettre à l'essai certains plans de continuité des activités. De plus, on a également mis à l'essai des éléments de certains plans de continuité des activités aux termes d'autres priorités (c.-à-d. d'autres activités de contrôle) dans le cadre du programme. On ne sait pas exactement dans quelle mesure on a inclus les plans de continuité des activités dans d'autres activités de contrôle, ceux-ci ne faisant l'objet d'aucun suivi particulier dans le cadre de ces activités.

La DGIST a aussi mené un certain nombre d'exercices de planification axés sur un scénario dans le cadre du processus de collecte de données d'ARO, lors duquel on a tenu des réunions avec la majorité des gestionnaires de services de la direction.

Bien que l'Agence réalise un éventail d'exercices de simulation aux fins de la PCA, il demeure nécessaire de mettre au point une approche consciente en matière d'essai et de comprendre clairement l'étendue des résultats obtenus par l'entremise des différentes activités de contrôle. Il existe un manque de documentation à l'égard d'une approche uniforme à l'échelle de l'Agence aux fins des essais de PCA qui intégrerait des attentes claires en matière d'exercices de simulation (p. ex. en ce qui concerne la portée, le type d'activité de contrôle, la fréquence, l'élaboration des leçons apprises, la coordination, etc.) ainsi qu'un processus de suivi et de surveillance des activités de contrôle.

En conclusion, l'Agence dispose de processus pour l'élaboration, la mise en œuvre, la mise à l'essai et l'actualisation des plans de continuité des activités; on a cependant relevé des possibilités d'améliorer ces processus.

Recommandation 1 :

Le vice-président de la Direction générale du contrôle devrait officialiser le processus d'approbation de l'analyse des répercussions sur les opérations et des plans de continuité des activités, et déterminer la documentation nécessaire pour appuyer l'évaluation et la détermination des options en matière de stratégies de reprise.

Réponse de la direction : Date d'achèvement :
Le vice-président de la Direction générale du contrôle souscrit à la recommandation et mènera le processus d'actualisation de la suite de la gestion de la continuité des activités (GCA) (p. ex. des politiques, des modèles, etc.) afin d'y inclure un processus d'approbation officiel pour les analyses des répercussions sur les opérations et les plans de continuité des activités. Ces documents feront également état des exigences de documentation pour appuyer l'évaluation et la détermination des options en matière de stratégies de reprise. Août 2017

Recommandation 2 :

Le vice-président de la Direction générale du contrôle devrait définir les exigences de l'Agence pour ce qui est des activités de contrôle des plans de continuité des activités, y compris la portée, la fréquence ainsi que la façon dont ces activités seront communiquées, suivies et surveillées.

Réponse de la direction : Date d'achèvement :
Le vice-président de la Direction générale du contrôle souscrit à la recommandation et mettra en œuvre la suite de la GCA actualisée qui comprendra les exigences de contrôle des plans de continuité des activités, comme il est recommandé. La Direction générale du contrôle travaillera de concert avec les autres directions générales pour assurer la coordination des exercices et la transmission de données. Avril 2017 / en cours

8.3 Surveillance

Critères de vérification :

La surveillance de programme est un élément essentiel de la gouvernance et de la gestion de programme. La surveillance et la production de rapports sur l'efficacité et la conformité du programme de PCA garantissent que dans l'éventualité d'une interruption, des plans de continuité des activités seraient en place et facilement accessibles afin d'assurer une continuité. Ces mécanismes sont d'une importance critique pour l'ASFC vu la nature opérationnelle de celle-ci et du fait que son environnement demeure opérationnel 24 heures par jour, 7 jours semaine.

Les exigences en matière de surveillance de la NSO–PPCA précisent que l'on devrait établir un cycle de vérification pour le programme de PCA. Le vérificateur s'attendait à ce que la fréquence des activités de surveillance soit définie et communiquée, et à ce que l'on précise comment les résultats seraient transmis, et qui sont les responsables et les participants. La portée des activités de surveillance devrait s'étendre : à l'examen des structures de gouvernance; à la politique de l'Agence; à l'approche pour déterminer les services essentiels et les classer par ordre de priorité; à la formation; aux outils; et aux accords sur les niveaux de service.

La politique de GCA de l'ASFC attribue officiellement la responsabilité de surveiller et d'examiner l'efficacité de la PCA à l'équipe de GCA et à la Direction de la sécurité et des normes professionnelles. La politique de GCA précise que la Direction de la sécurité et des normes professionnelles doit réviser périodiquement la politique et qu'elle est responsable de définir et d'entreprendre toutes les activités de surveillance et d'évaluation visant à déterminer si les objectifs de la politique demeurent pertinents et atteignables et si les exigences sont respectées. La politique mentionne que les exigences en matière d'établissement de rapports seront bien décrites dans les recommandations formulées et communiquées chaque année au président et/ou au premier vice-président.

Au moment de la vérification, l'équipe de GCA procédait à un examen de la politique et mettait à jour les outils et modèles utilisés pour la détermination des services essentiels et l'élaboration des plans de continuité des activités. On effectue ce type de mise à jour tous les trois ans, alors que l'on actualise les plans de continuité des activités tous les six mois de sorte que ces derniers tiennent compte de l'environnement opérationnel actuel, et ce, même si la politique de GCA n'en fait aucune mention. Pour ce qui est de la production de rapports, l'équipe de GCA prépare un rapport sur le programme de PCA et le remet à l'agent de sécurité de l'Agence, qui à son tour soumet l'information à jour au vice-président de la Direction générale du contrôle. La politique de GCA ne témoigne pas de ce qui se produit dans les faits, ces rapports n'étant pas soumis aux autres vice-présidents ou au président ou au premier vice-président. On laisse à la discrétion du vice-président de la Direction générale du contrôle de présenter un rapport sur la PCA à la haute direction.

Bien qu'il soit évident que l'on assure une surveillance et effectue des mises à jour, la documentation de l'Agence ne décrit pas officiellement la portée ou la fréquence des activités de surveillance visant à assurer l'efficacité de la PCA. Les processus actuels de surveillance et de mise à jour n'incluent pas d'examen de l'ensemble des éléments requis (c.-à-d. un examen de l'approche de classement par ordre de priorité des services essentiels, de la formation et des accords sur les niveaux de service).

Le vérificateur s'attendait à ce que les ministères assurent une surveillance de leur conformité avec les exigences liées à la PCA et à ce qu'ils fassent part de toute lacune à cet égard au Secrétariat du Conseil du Trésor. On met à jour les plans de continuité des activités de l'ASFC afin de s'assurer qu'ils répondent à la norme de l'Agence, laquelle se fonde sur la NSO–PPCA. L'Agence utilise également le Cadre de responsabilisation de gestion (CRG) pour assurer une surveillance et établir des rapports en matière de conformité aux exigences. Si les éléments du CRG ne sont pas exhaustifs, ils couvrent tout de même en partie la question de la conformité aux exigences. La documentation de l'Agence ne définit pas la responsabilité en matière de surveillance de la conformité, et les entrevues ont démontré que l'on ne réalise pas d'autres examens ou évaluations en particulier pour assurer une surveillance et produire des rapports sur la conformité avec l'orientation des principaux organismes responsables de la sécurité.

En somme, l'Agence a élaboré et mis en œuvre des processus pour surveiller le programme de PCA, ainsi que pour assurer sa conformité avec les exigences du gouvernement; toutefois, son approche à cet égard n'est toujours pas clairement documentée et la politique de GCA ne reflète pas ce qui se produit dans les faits.

Recommandation 3 :

Le vice-président de la Direction générale du contrôle devrait définir la portée et la fréquence des activités de surveillance et d'établissement de rapports du programme de planification de la continuité des activités afin d'en assurer l'efficacité et la conformité. Cela devrait se refléter clairement dans la politique de GCA de l'ASFC.

Réponse de la direction : Date d'achèvement :
Le vice-président de la Direction générale du contrôle souscrit à la recommandation et mettra à jour la politique de GCA de l'ASFC (suite de la GCA) afin d'assurer l'efficacité et la conformité du programme. Avril 2017 / en cours

Annexe A – Au sujet de la vérification

Objectifs et portée de la vérification

Les objectifs de la vérification visaient à déterminer si :

La portée de la vérification comprenait les cadres de gouvernance actuels de la PCA (en date du 31 décembre 2015) que l'on utilise dans l'ensemble de l'Agence afin d'y assurer la continuité des services essentiels et des services de soutien.

Évaluation des risques

L'évaluation des risques menée par le BCG aux fins de la présente vérification a permis de dégager les risques majeurs décrits ci-après, lesquels s'appliquent à la PCA au sein des ministères et dans l'ensemble du gouvernement.

Stratégie et méthode de vérification

Le BCG a mené à bien les phases de planification et de production de rapport de la vérification à l'aide de ses ressources internes. Les fonctions de vérification interne de grands et de petits ministères (y compris l'ASFC) ont réalisé un examen de leur ministère respectif en s'appuyant sur les conseils et l'expertise technique du BCG. L'ASFC a mené à bien sa propre phase de production de rapport en vue de présenter ses constatations sous la forme d'un rapport.

Au cours de la phase d'examen, on a notamment utilisé les sources d'information suivantes : entrevues avec des intervenants clés de différents niveaux, examens de la documentation et observations des processus et évaluations clés d'un échantillon de plans de continuité des activités. L'équipe de la vérification a procédé à un examen des pratiques en matière de gouvernance, de contrôle et de gestion des risques se rapportant à la PCA en appliquant les critères de vérification décrits ci-après.

Critères de vérification

Les critères présentés ci-après ont été choisis par le BCG en fonction du travail de vérification accompli pendant la phase de planification, qui comprend une évaluation des risques, et sont applicables à l'ASFCNote de bas de page 20.

Champs d'enquête Critères de vérification
Champ d'enquête no 1
Cadre de gouvernance ministériel : Des cadres de gouvernance ministériels sont en place aux fins de la gestion ministérielle de la PCA.

1.1 Des structures de gouvernance gouvernementale soutenant activement la planification de la continuité des activités sont en place, et leurs rôles ainsi que leurs responsabilités ont été documentés, approuvés et communiqués à tous les intervenants.

1.2 Un cadre stratégique ministériel définissant les rôles, les responsabilités et les attentes en matière de PCA est en place.

1.3 Une approche systématique panministérielle pour la détermination des services essentiels du Ministère et leur classement par ordre de priorité est en place.

Champ d'enquête no 2
Processus ministériels de PCA : Des processus de PCA ministériels sont en place aux fins de l'élaboration, de la mise en œuvre, de la mise à l'essai et de l'actualisation des plans de continuité des activités ministériels.

2.1 Les ministères ont mené des analyses des répercussions sur les opérations (ARO).

2.2 Les ministères ont mis au point des stratégies de reprise pour les services essentiels relevés dans leurs ARO, lesquelles tiennent compte des interdépendances avec les autres ministères.

2.3 Les ministères ont élaboré des plans de continuité des activités afin d'assurer la continuité de leurs services essentiels et de leurs services de soutien essentiels.

2.4 Les ministères travaillent de concert avec les fournisseurs de services de soutien essentiels et d'autres intervenants internes clés à l'élaboration, à la mise à l'essai et à l'actualisation de leur PCA afin d'assurer une intégration entre toutes les parties.

2.5 Les ministères veillent à ce que l'on fournisse une formation suffisante et pertinente, ainsi que des outils permettant d'assurer la PCA et les activités de reprise.

2.6 Les ministères veillent à ce que les plans de continuité des activités fassent périodiquement l'objet d'essais et de mises à jour et à ce qu'ils reflètent les interdépendances avec les autres intervenants.

Champ d'enquête no 3
Surveillance : Des processus de surveillance ministériels sont en place à des fins de suivi de l'état de préparation en matière de PCA.

3.1 Les ministères mènent des activités de surveillance et de production de rapports sur l'efficacité de leur PCA.

3.2 Les ministères assurent une surveillance de leur conformité avec les exigences liées à la PCA de la Politique sur la sécurité du gouvernement du CT et font part de toutes lacunes relevées au Secrétariat.

Annexe B – Liste d’acronymes

PCA
Planification de la continuité des activités
GCA
Gestion de la continuité des opérations
ARO
Analyse des répercussions sur les opérations
ASFC
Agence des services frontaliers du Canada
GSE
Gestionnaires de services essentiels
ASA
Agent de sécurité de l'Agence
GE
Gestion des urgences
TI
Technologie de l'information
DGIST
Direction générale de l'information, des sciences et de la technologie
PORS
Principaux organismes responsables de la sécurité
TAMA
Temps d'arrêt maximal admissible
CRG
Cadre de responsabilisation de gestion
NSM
Niveau de service minimal
CNOF
Centre national des opérations frontalières
BCG
Bureau du contrôleur général
NSO
Norme de sécurité opérationnelle
PE
Point d'entrée
DSNP
Direction de la sécurité et des normes professionnelles
Date de modification :