Archivé – Vérification du programme de planification de la continuité des opérations


Informations archivées

La Norme sur la facilité d'emploi des sites Web remplace ce contenu. Cette page Web a été archivée parce que les Normes sur la normalisation des sites Internet 2.0 ont étés annulées.

Les informations archivées sont fournies aux fins de référence, de recherche ou de tenue de documents. Elles ne sont pas assujetties aux normes Web du gouvernement du Canada et n'ont pas été modifiées ou mises à jour depuis leur archivage. Pour obtenir ces informations dans un autre format, veuillez communiquer avec nous.

Numéro de projet 6B207
Rapport final de vérification
17 décembre 2010

Table des matières

Acronymes

PCO
Planification de la continuité des opérations
MPO
Ministère des Pêches et des Océans
GI-TI
Gestion de l’information et de la technologie de l’information
SCT
Secrétariat du Conseil du Trésor

Haut de la page

1.0    Résumé

1.1    Introduction

Planification de la continuité des opérations

Conformément à la Loi sur la gestion des urgences et à la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor (SCT), chaque ministère fédéral doit disposer d’un programme de planification de la continuité des opérations (PCO) détaillé et efficace afin de maintenir la continuité des services essentiels fédéraux et des biens afférents pendant les situations d’urgence ou les situations qui pourraient nuire aux opérations normales (p. ex. inondation, manifestation, pandémie, panne d’électricité).
 
La Norme de sécurité opérationnelle – Programme de planification de la continuité des opérations du SCT (ci-après appelée la Norme de PCO du SCT) établit les exigences applicables au Programme de PCO qui repose sur les quatre éléments clés suivants :

  • L’établissement d’une structure de régie pour le Programme de PCO
  • La tenue d’une analyse des répercussions sur les opérations
  • L’élaboration de plans et de préparatifs pour la continuité des opérations
  • La mise à jour de l’état de préparation du Programme de PCO

La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information du SCT définit un service essentiel  comme « un service dont la compromission au chapitre de la disponibilité ou de l'intégrité causerait un préjudice élevé à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement du Canada », tandis que le préjudice élevé est défini comme un «dommage grave lié à la fourniture de biens de subsistance (par exemple, nourriture, eau, abris, énergie), au maintien de l'ordre public, à la prestation de soins et d'interventions d'urgence, d'un environnement essentiel au maintien de la vie, de modes essentiels de communication et de transport ainsi que de services économiques de base; et au maintien des opérations du gouvernement et de l'intégrité et de la souveraineté des territoires ».

Le ministère des Pêches et des Océans (MPO) a élaboré plus de 200 plans de continuité des opérations englobant 90 services essentiels que les intervenants appellent les « fonctions essentielles à la mission » et couvrant l’ensemble des régions. Au MPO, les plans de continuité des opérations sont élaborés par site. Ainsi, ils comprennent souvent plus d’un service essentiel du fait que de nombreux services différents sont fournis à chaque site. Ainsi, un même service essentiel peut être inclus dans de nombreux plans si ce service est fourni à différents endroits.

Cadre de contrôle

La PCO est l’élément fondamental de l’ensemble des programmes de sécurité et de santé du Ministère (sécurité, mesures d’urgence, continuité des opérations et santé et sécurité au travail) qui sont gérés par la Direction générale des biens immobiliers, protection et sécurité. Récemment, des changements importants ont été apportés au cadre réglementaire en matière de santé et de sécurité, et la mise en œuvre de ces changements pose un véritable défi, ce qui a des répercussions directes sur les opérations de PCO.

En 2008, les responsables de la Direction générale des biens immobiliers, protection et sécurité ont élaboré un profil des risques pour la santé et sécurité qui faisait état d’un risque élevé associé à ses capacités, tant du point de vue des ressources humaines que financières. Des stratégies d’atténuation ont été déterminées. Toutefois, peu d’entre elles ont été mises en œuvre et quelques-unes n’ont pas encore été prises en compte aux échelons supérieurs du Ministère.

En 2005, la Direction générale des biens immobiliers, protection et sécurité a élaboré un cadre de responsabilisation et une politique en matière de sûreté et de sécurité et des normes opérationnelles pour la planification de la continuité des opérations du MPO (ci-après appelée la Norme de PCO du MPO) qui fournissent un cadre de contrôle et une orientation pour le Programme de PCO. Ces deux documents sont actuellement en cours de révision. De plus, la Direction générale a aussi élaboré un modèle de plan de continuité des opérations du Ministère et un guide pour la préparation des plans de continuité des opérations du MPO; ces outils sont mis à la disposition des équipes des sites pour l’élaboration de leurs plans. Il n’existe pas de politique ministérielle dédiée au Programme de PCO.

1.2    Objectifs et portée

La présente vérification a comme objectif de fournir une assurance que le Ministère a mis en place un programme de PCO afin de maintenir la continuité des services essentiels et des biens afférents.

D’après l’évaluation préliminaire des risques effectuée par l’équipe de vérification, il existe des éléments de risque élevé dans les processus d’analyse des répercussions sur les opérations ainsi que dans les processus d’élaboration et d’examen des plans de continuité des opérations et des arrangements connexes. La vérification a porté principalement sur ces deux domaines. Des risques faibles et modérés ont été constatés dans la gouvernance du Programme de PCO et dans l’état de préparation du Programme. Par conséquent, ces points n’ont pas été pris en compte dans la présente vérification afin d’affecter les ressources de vérification aux principaux éléments à valeur ajoutée. De plus, l’équipe de vérification a examiné un échantillon de 20 plans couvrant toutes les régions, sélectionné au hasard du répertoire national en date de juin 2010.

1.3    Énoncé d’assurance

À notre avis, les vérificateurs ont examiné assez d’éléments de preuve pertinents et recueilli suffisamment d’informations et d’explications pour donner un niveau d’assurance élevé aux avis ou aux conclusions du rapport.

1.4    Sommaire des observations et des recommandations

Dans l’ensemble, même si la direction du Programme a déployé des efforts pour mettre en place de bonnes fondations sur lesquelles appuyer le Programme de PCO, le Programme a besoin d’être consolidé encore. Actuellement, le Programme n’offre qu’une assurance partielle que l’organisation pourra gérer ses services essentiels en cas d’urgence ou d’interruption importante étant donné qu’une sélection adéquate des services essentiels et leur priorisation de même que l’identification et l’évaluation des stratégies de rétablissement ne sont pas encore terminés ni reflétés comme il se doit dans les plans et les arrangements développés incluant la pleine intégration de la planification de la continuité de la gestion de l’information et de la technologie de l’information (GI-TI). Il est crucial de rationaliser les services essentiels pour assurer l’efficacité et l’efficience. Ceci requiert un engagement renouvelé de la part de la haute direction et leurs secteurs respectifs.

Un défi clé demeure d’établir les priorités pour la fonction de sécurité et de santé dans l’ensemble du Ministère, compte tenu des pressions croissantes dues aux changements apportés au cadre réglementaire, aux ressources limitées et au taux de roulement élevé au sein du Programme de PCO.

La section ci-après contient les observations et les recommandations de l’équipe de vérification, basées sur les éléments probants recueillis et l’analyse effectuée. Elles sont présentées par sujet et elles sont liées aux trois processus clés qui sont essentiels à l’efficience et à l’efficacité du Programme de PCO.

Analyse des répercussions sur les opérations (importance élevée)

La direction du Programme de PCO a dressé une liste des services essentiels classés par ordre de priorité. Cependant, la liste comprend également des dépendances et des services non essentiels. L’exercice n’était pas fondé sur un solide processus d’analyse des répercussions sur les opérations. Malgré les efforts déployés par la direction du Programme de PCO pour mettre à jour cette liste, celle-ci est encore largement critiquée par les intervenants; elle contient de nombreux services essentiels et elle est désuète. Cette situation est attribuable notamment aux priorités changeantes et au manque d’engagement dans certains secteurs. Il n’existe aucun élément de preuve de l’approbation, par la haute direction, des résultats initiaux de l’analyse des répercussions sur les opérations ni de ses mises à jour subséquentes.

1. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait s’assurer qu’un processus d’analyse des répercussions sur les opérations est réalisé avec les secteurs concernés sous l’autorité et la coordination de l’Agent de  sécurité du ministère. L’Agent de sécurité du ministère devrait coordonner l’approbation des résultats de l’analyse des répercussions sur les opérations par la haute direction. 

Stratégies de rétablissement (importance élevée)

Certains plans de continuité des opérations font état de stratégies de rétablissement comme des ententes concernant des sites de remplacement, mais aucun élément probant ne démontre que des options de rétablissement ont été officiellement élaborées et évaluées pour chaque service essentiel. Le processus des stratégies de rétablissement n’est pas défini. Les décisions de la haute direction à l’appui des stratégies de rétablissement définitives ne sont pas documentées.

2. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

i) Définir et mettre en œuvre un processus officiel pour la détermination des options de rétablissement pour chaque service essentiel et pour le choix des stratégies de rétablissement définitives avec l’engagement des secteurs concernés, sous la direction et la coordination de l’Agent de sécurité du ministère.

ii) Veiller à ce que l’Agent de sécurité du ministère coordonne l’approbation des stratégies de rétablissement par les membres de la haute direction afin d’assurer leur soutien et le financement des stratégies choisies. 

 iii) Veiller à ce que  les décisions de la haute direction concernant les stratégies de rétablissement définitives soient documentées et reflétées  dans les plans de continuité des opérations.  

Intégration de la planification de la continuité de la gestion de l’information et de la technologie de l’information (importance moyenne)

Le plan de continuité de la GI-TI est partiellement terminé et il n’est pas pleinement intégré au Programme de PCO. Les rôles et les responsabilités ne sont pas définis ni communiqués aux joueurs clés participant à l’élaboration, à la maintenance et à l’évaluation du plan de continuité de la GI-TI; toutefois, la direction et le personnel de la technologie de l’information s’engagent à poursuivre le travail entrepris avec les intervenants clés.

3. Le sous-ministre adjoint, Secteur des ressources humaines et des services intégrés, devrait définir une stratégie pour la consolidation de l’intégration de la planification de la continuité de la GI-TI aux opérations de planification de la continuité des opérations du Ministère sous la direction de l’Agent de sécurité du ministère et du dirigeant principal de l’information.

Plans et préparatifs (importance moyenne)

Certains éléments clés sont absents du nouveau modèle et du guide fournis par la direction du Programme dans le but d’aider les équipes des sites à préparer leurs plans de continuité des opérations; de plus, ces outils ne sont pas utilisés de manière uniforme dans les différentes régions. En conséquence, certains éléments clés nécessaires au rétablissement efficient des services essentiels sont également absents des plans de continuité des opérations examinés.

4. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait veiller à ce que les outils utilisés dans le cadre du processus d’élaboration des plans soient renforcés de manière à combler les lacunes et à assurer une meilleure utilisation de ceux-ci.

Les processus d’examen et d’approbation des plans sont définis dans la Norme de PCO du MPO; cependant, les responsabilités pour la mise à jour des plans ne sont pas clairement attribuées et les opérations d’examen par le coordonnateur national et les coordonnateurs régionaux ne sont pas clairement définies. Les chefs des équipes des sites n’effectuent pas toujours les mises à jour des plans aux six mois dans les grandes installations et annuellement dans les installations plus petites. Les plans ne sont pas toujours revus par le coordonnateur national et les coordonnateurs régionaux, comme l’exige la Norme de PCO du MPO. Un véritable examen indépendant des plans de continuité des opérations des secteurs est nécessaire afin de les améliorer. Un tel examen devrait être fait pour répondre aux  risques qui changent rapidement. Les faiblesses dans les opérations de supervision aux niveaux national et régional sont attribuables en partie au manque de capacités et aux changements de priorités. Le manque de supervision et de surveillance ne permet pas d’assurer la résolution des problèmes et leur soumission aux échelons supérieurs, le cas échéant. Le contrôle des approbations pour la maintenance des plans est un processus lourd. 

5. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

i) S’assurer que la  maintenance de tous les plans est effectuée par les secteurs concernés sous la direction et la coordination de l’Agent de sécurité du ministère, selon un calendrier adéquat permettant de refléter les circonstances et les risques changeants;

ii) S’assurer que les rôles et les responsabilités liés au processus de maintenance des plans sont clairement définis et communiqués afin de renforcer la responsabilisation;

iii) S’assurer que les mesures de contrôle afférents aux examens et aux approbations sont revues en tenant compte des ressources disponibles, des circonstances et des risques qui évoluent rapidement ainsi que de l’importance des changements justifiant les ré-approbations. Il faudrait définir clairement les opérations d’examen assignées aux coordonnateurs national et régionaux;

iv) Renforcer la fonction de surveillance et de rapports des opérations de PCO pour s’assurer que les problèmes identifiés soient traités au niveau approprié, y compris les problèmes d’absence d’approbation des plans et d’absence de plans.

Top of page

2.0     Introduction

2.1   Contexte

Planification de la continuité des opérations

Conformément à la Loi sur la gestion des urgences et à la Politique du gouvernement sur la sécurité du Secrétariat du Conseil du Trésor (SCT), chaque ministère fédéral doit disposer d’un programme de planification de la continuité des opérations (PCO) détaillé et efficace afin de maintenir la continuité des services essentiels fédéraux et des biens afférents pendant les situations d’urgence ou les situations qui pourraient nuire aux opérations normales (p. ex. inondations, manifestations, pandémies, pannes d’électricité).
 
La Norme de sécurité opérationnelle – Programme de planification de la continuité des opérations du SCT (ci-après appelée la Norme de PCO du SCT) établit les exigences applicables au Programme de PCO qui repose sur les quatre éléments clés suivants :

  • L’établissement d’une structure de régie pour le Programme de PCO
  • La tenue d’une analyse des répercussions sur les opérations
  • L’élaboration de plans et de préparatifs pour la continuité des opérations
  • La mise à jour de l’état de préparation du Programme de PCO

La Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l'information du SCT définit un service essentiel comme « un service dont la compromission au chapitre de la disponibilité ou de l'intégrité causerait un préjudice élevé à la santé, à la sûreté, à la sécurité et au bien-être économique des Canadiens et des Canadiennes ainsi qu'à l'efficacité du gouvernement du Canada » tandis que le préjudice élevé est défini comme étant un «dommage grave lié à la fourniture de biens de subsistance (par exemple, nourriture, eau, abris, énergie), au maintien de l'ordre public, à la prestation de soins et d'interventions d'urgence; d'un environnement essentiel au maintien de la vie, de modes essentiels de communication et de transport ainsi que de services économiques de base; et au maintien des opérations du gouvernement et de l'intégrité et de la souveraineté des territoires ».

Le ministère des Pêches et des Océans (MPO) a élaboré plus de 200 plans de continuité des opérations concernant 90 services essentiels que les intervenants appellent les « fonctions essentielles à la mission » et couvrant l’ensemble des régions. Au MPO, les plans de continuité des opérations sont élaborés par site. Ainsi, ils comprennent souvent plus d’un service essentiel du fait que de nombreux services différents sont fournis à chaque site. Ainsi, un même service essentiel peut être inclus dans de nombreux plans si ce service est fourni à différents endroits.

Cadre de contrôle

La PCO est l’élément fondamental de l’ensemble des programmes de sécurité et de santé du Ministère (sécurité, mesures d’urgence, continuité des opérations et santé et sécurité au travail) qui sont gérés par la Direction générale des biens immobiliers, de la santé et de la sécurité, qui relève de la sous-ministre adjointe, Secteur des ressources humaines et des services intégrés. Le coordonnateur national et ceux régionaux de la PCO jouent de multiples rôles dans le cadre des programmes de santé et sécurité par conséquent, seule une partie de leur temps est consacrée au Programme de PCO. Cette multitude de rôles des coordonnateurs, à laquelle s’ajoute un roulement élevé du personnel observé récemment et le fait qu’un seul ETP soutient le coordonnateur national, ont conduit la direction à identifier un risque important de surcharge de travail chez le personnel à l’administration centrale. Cette situation a été reflétée également dans le profil de risque de santé et sécurité.

Récemment, des changements importants ont été apportés au cadre réglementaire en matière de santé et de sécurité, y compris la Loi sur la gestion des urgences et la préparation des urgences, le Plan fédéral d’intervention d’urgence, les normes de l’Association canadienne de normalisation, la Stratégie nationale sur les infrastructures essentielles, la Politique sur la sécurité du gouvernement, le Programme de prévention des risques et la santé et la sécurité au travail ainsi que les exigences des normes de Gestion de la sécurité des technologies de l’information. L’interprétation, l’adaptation et l’élaboration de politiques et de procédures pour tenir compte de ces changements représentent un défi dont l’impact se fait directement sentir sur les opérations de PCO.

Depuis l’évaluation faite par le SCT en 2008, la direction du Programme de PCO a  réalisé quelques progrès au chapitre de l’amélioration et du renforcement du Programme de PCO. Ces progrès ont été limités en partie à cause du niveau de priorité plus élevé accordé à d’autres programmes comme ceux liés à la sécurité et à l’intervention d’urgence. En 2008, les responsables de la Direction générale des biens immobiliers, protection et sécurité ont élaboré un profil des risques pour la santé et sécurité qui faisait état d’un risque élevé en matière de capacité, du point de vue des ressources humaines et financières. Des stratégies d’atténuation ont été définies; toutefois, peu d’entre elles ont été mises en œuvre et quelques-unes n’ont pas encore été adressées par les échelons supérieurs du Ministère.  

En 2005, la Direction générale des biens immobiliers, protection et sécurité a élaboré un cadre de responsabilisation et une politique en matière de sûreté et de sécurité et des normes opérationnelles pour la planification de la continuité des opérations du MPO (ci-après appelée la Norme de PCO du MPO) qui fournissent un cadre de contrôle et une orientation pour le Programme de PCO. Ces deux documents sont actuellement en cours de révision. De plus, la Direction générale a aussi élaboré un modèle de plan de continuité des opérations du Ministère et un guide pour la préparation des plans de continuité des opérations du MPO; ces outils sont mis à la disposition des équipes des sites pour l’élaboration de leurs plans. Il n’existe pas de politique ministérielle dédiée au Programme de PCO.

2.2   Objectif et portée de la vérification

La présente vérification a comme objectif de fournir une assurance que le Ministère a mis en place un programme de PCO afin de maintenir la continuité des services essentiels et des biens afférents.

D’après l’évaluation préliminaire des risques effectuée par l’équipe de vérification, des éléments de risque élevé ont été décelés dans les processus d’analyse des répercussions sur les opérations de même que dans les processus d’élaboration et d’examen des plans de continuité des opérations et des mesures connexes. La vérification a porté principalement sur ces deux processus. Des risques de niveau faible et modéré ont été constatés dans la gouvernance du Programme de PCO et l’état de préparation du Programme. Par conséquent, ces points n’ont pas été pris en compte dans la présente vérification afin d’affecter les ressources de la vérification aux principaux éléments à valeur ajoutée. De plus, l’équipe de vérification a examiné un échantillon de 20 plans de toutes les régions pris au hasard dans le répertoire national en date de juin 2010.

2.3   Critères de vérification

Les critères de vérification suivants ont été établis à la suite d’une évaluation préliminaire des risques reliés au Programme effectuée durant l’étape de planification de la vérification.

  • L’Agent de sécurité du ministère se charge de l’élaboration, de l’administration et de la surveillance efficaces des processus de continuité des opérations appropriés.
  • La liste des fonctions essentielles à la mission est basée sur les résultats de l’analyse des répercussions sur les opérations et elle est approuvée par la haute direction.
  • Les stratégies de rétablissement définitives sont réalisables et elles ont été avalisées par les intervenants et approuvées. Des options de rétablissement ont été déterminées et évaluées par rapport à la capacité de rétablissement actuelle, et une stratégie définitive a été choisie et approuvée par la haute direction.
  • Tous les sites délivrant des fonctions essentielles à la mission ont des plans de continuité des opérations, et les plans contiennent tous les éléments requis, y compris l’intégration des plans de continuité de la Gestion de l’information et de la technologie de l’information (GI-TI) et les mesures connexes.
  • Le Ministère tient compte des changements (p. ex. changements dans les services essentiels, les opérations, les relations de dépendance, la personne à contacter en cas d’urgence) pour tenir à jour les plans de continuité des opérations et les mesures connexes.

2.4    Méthode

L’équipe de vérification s’est acquittée de son mandat en conformité avec les normes de vérification interne du gouvernement du Canada, telles que définies par la Politique sur la vérification interne du SCT. Les opérations suivantes ont été incluses dans la démarche :

  • L’examen des politiques et des normes clés du SCT ainsi que des lignes directrices et des outils de Sécurité publique Canada en matière de PCO.
  • L’examen de la documentation ministérielle (p.ex. la politique en matière de sûreté et de sécurité et le cadre de responsabilisation, la Norme de PCO, les guides et le modèle du plan de continuité des opérations, le rapport sur l’état du PCO, les rapports sur les incidents, etc.).
  • Des entrevues avec des membres clés de la direction, du personnel et des intervenants du Programme à l’administration centrale et dans les bureaux régionaux.
  • L’examen d’un échantillon aléatoire de 20 plans de continuité des opérations.

Top of page

3.0     Observations et recommandations

3.1    Déclaration de certification

À notre avis, les vérificateurs ont examiné suffisamment d’éléments de preuve pertinents et recueilli suffisamment d’informations et d’explications pour donner une assurance de haut niveau aux avis ou aux conclusions du rapport.

3.2    Observations et recommandations

Dans l’ensemble, la direction du Programme a déployé des efforts pour mettre en place de bonnes fondations sur lesquelles appuyer le Programme de PCO cependant le Programme a encore besoin d’être consolidé. Actuellement, le Programme ne peut offrir une assurance complète que l’organisation pourra gérer ses services essentiels en cas d’urgence ou d’interruption importante vu que le choix adéquat des services essentiels et leur priorisation de même que l’identification et l’évaluation des stratégies de rétablissement ne sont pas encore terminés ni reflétés comme il se doit dans les plans et les arrangements développés incluant la pleine intégration de la planification de la continuité de la gestion de l’information et de la technologie de l’information (GI-TI). Il est crucial de rationaliser les services essentiels pour assurer l’efficacité et l’efficience. Ceci requiert un engagement renouvelé de la part de la haute direction et leurs secteurs respectifs.

Un défi clé demeure d’établir les priorités pour la fonction de sécurité et de santé dans l’ensemble du Ministère, compte tenu des pressions croissantes dues aux changements apportés au cadre réglementaire, aux ressources limitées et au taux de roulement élevé au sein du Programme de PCO.

La section ci-après contient les observations et les recommandations de l’équipe de vérification, basées sur les éléments probants recueillis et l’analyse effectuée. Elles sont présentées par sujet et elles sont liées aux trois processus clés qui sont essentiels à l’efficience et à l’efficacité du Programme de PCO.

Afin d’aider la direction à préparer son plan d’action, les recommandations formulées ont été catégorisées  selon leur niveau d’importance :

  • Importance élevée – faiblesses majeures du contrôle ou niveau de risque inacceptable, ou les deux;
  • Importance moyenne – faiblesse du contrôle nuisant à l’efficacité opérationnelle ou à la crédibilité, ou aux deux;
  • Importance faible – faiblesse du contrôle ou du processus entraînant une inefficacité.

3.2.1    Analyse des répercussions sur les opérations

L’analyse des répercussions sur les opérations est un élément important du Programme de PCO du fait qu’elle est conçue pour permettre aux ministères de déterminer et de classer par ordre de priorité selon leur criticité. Conformément à la Norme de PCO du SCT, le ministère doit effectuer une analyse des répercussions sur les opérations pour évaluer les impacts en cas d’interruption et classer par ordre de priorité ses services essentiels et les biens afférents. Il faut que la haute direction approuve les résultats de l’analyse des répercussions sur les opérations  avant de passer à l’étape de l’élaboration des plans de continuité des opérations et des mesures connexes.

En 1998, pour des motifs autres que la PCO, le MPO a établi l’ordre de priorité de ses fonctions essentielles et il a défini celles-ci par rapport aux systèmes et aux biens vulnérables au moment du passage à l’an 2000. Les résultats de cet exercice sont devenus le fondement de la liste des fonctions essentielles à la mission, qui est considérée par les intervenants de la PCO comme la liste des services essentiels. À l’origine, l’exercice de préparation à l’an 2000 ne devait pas être un exercice d’analyse des répercussions sur les opérations, comme l’entendent les personnes intéressées par la PCO. L’analyse effectuée par l’équipe de vérification a aussi permis de confirmer que les objectifs, les processus et les résultats de cet exercice ne répondent pas aux exigences de l’analyse des répercussions sur les opérations figurant dans la Norme de PCO du SCT.

Depuis 2005, la direction du Programme de PCO a tenté à trois reprises de rationaliser la liste originelle des fonctions essentielles à la mission et les fiches descriptives connexes. Les résultats obtenus n’ont pas été jugés satisfaisants par la direction. La direction du Programme de PCO a expliqué avoir fait face à quelques problèmes liés au manque de ressources au niveau national attribuable aux priorités changeantes, au manque d’engagement de la part de certains intervenants et à la difficulté, pour les secteurs, d’identifier les services dont l’interruption est susceptible de causer un préjudice élevé aux Canadiens et au gouvernement. D’après les entrevues, cette situation est principalement attribuable à une interprétation différente de la définition du SCT des « services essentiels » et au fait que certains secteurs voulaient que leurs fonctions se trouvent sur la liste sans égard à leur criticité. Dans l’ensemble, peu de documents à l’appui de ces tentatives de révision ont été fournis. En conséquence, l’équipe de vérification n’a trouvé aucune preuve quant à l’évolution de la liste des fonctions essentielles à la mission depuis l’exercice initial, ni aucune preuve de l’approbation, par la haute direction, de ses différentes modifications.

La liste actuelle des fonctions essentielles à la mission suscite encore des critiques de la part du coordonnateur national et des coordonnateurs régionaux de la PCO, selon lesquels elle est désuète, elle ne reflète pas les réalités régionales et elle contient un trop grand nombre de services considérés comme essentiels bien que les fonctions essentielles à la mission de catégorie C ont été retirées de la liste dernièrement1 puisque jugées non essentielles. L’équipe de vérification a examiné le contenu de la liste actuelle des fonctions essentielles à la mission et a constaté qu’elle contenait encore des services non essentiels et des dépendances figurant comme services essentiels.

Il est nécessaire de préciser et d’assurer d’une compréhension commune de ce qui constitue un service essentiel pour le MPO ainsi que d’assurer la cohérence avec les définitions et l’esprit de la Norme de PCO du SCT. En 2009,  Sécurité publique Canada a produit de nouvelles définitions qui seront utiles pour régler cette question. La direction du Programme et quelques coordonnateurs régionaux de la PCO ont reconnu la nécessité d’effectuer un nouvel exercice d’analyse des répercussions sur les opérations en fonction de la nouvelle architecture des opérations de programme du MPO. Toutefois, ils ont des préoccupations au sujet de leur capacité actuelle et de l’engagement des secteurs. Il est proposé que la direction du Programme tienne compte des pratiques exemplaires de Sécurité publique Canada pendant son analyse des répercussions sur les opérations.

Recommandation (importance élevée)

1. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait s’assurer qu’un processus d’analyse des répercussions sur les opérations est réalisé dans les secteurs concernés sous l’autorité et la coordination de l’Agent de sécurité du ministère. L’Agent de  sécurité du ministère devrait coordonner l’approbation des résultats de l’analyse des répercussions sur les opérations par la haute direction. 

3.2.2    Stratégies de rétablissement

Le processus des stratégies de rétablissement a pour but l’élaboration et l’évaluation des options de rétablissement associées à chaque service essentiel identifié par l’analyse des répercussions sur les opérations. L’évaluation de chaque option porte sur l’interruption possible, les répercussions sur le Ministère, les avantages, les risques, la faisabilité et le coût afin de choisir la stratégie la plus appropriée. Par exemple, les stratégies de rétablissement peuvent comprendre le recours aux services de consultants, des marchés avec des fournisseurs, l’utilisation d’un centre de secours immédiat ou une autre installation de PCO, des sites en miroir de même que des ententes réciproques avec des vendeurs de matériel et des fournisseurs à l’interne et à l’externe. Les stratégies de rétablissement définitives sont choisies parmi les différentes options de rétablissement élaborées et elles doivent respecter les exigences en matière de continuité de la gestion de l’information et de la technologie de l’information; de plus, elles doivent être approuvées par la haute direction pour le soutien et le financement.

L’équipe de vérification n’a trouvé aucun élément probant de la détermination et de l’évaluation des options de rétablissement pour chaque service essentiel. Toutefois, il est important de noter que la Norme de PCO du MPO ne fait aucune référence aux options de rétablissement ni aux stratégies de rétablissement définitives et qu’il n’existe aucun processus officiel pour la détermination et l’évaluation des options de rétablissement. En outre, l’équipe de vérification n’a trouvé aucun élément probant selon lequel des options de rétablissement ou les stratégies de rétablissement définitives ont été communiquées à la haute direction; de ce fait, ces stratégies n’auraient aucun appui financier ou opérationnel. En conséquence, les stratégies de rétablissement définitives ne seraient pas identifiées ou, lorsqu’elles le sont, elles ne seraient ni efficaces, ni efficientes ni même réalisables et des ressources (humaines et financières) seraient gaspillées.

L’évaluation de l’option de rétablissement se fait de façon ponctuelle. Dans deux régions, on se dit préoccupé par les opérations de rétablissement liées aux Services de communication et de trafic maritimes en raison du coût prohibitif des options. Dans l’une de ces régions, on a déterminé une option de rétablissement et on en a évalué les coûts. L’option et l’évaluation ont été communiquées à la direction du secteur mais aucune décision n’a été prise. En conséquence, le plan de continuité des opérations pour ce site n’a pas été mis en place. Les décisions doivent être documentées pour consolider la responsabilisation et déterminer les risques acceptés ou atténués par la gestion.

En réponse aux questions sur les stratégies de rétablissement, le personnel de PCO nous a référé à la section sur les étapes initiales des fiches descriptives des fonctions essentielles à la mission. Cette section a pour but d’identifier de cinq à dix étapes de niveau élevé pour le rétablissement de la fonction essentielle. Cependant, il n’existe aucun élément probant concernant l’évaluation des étapes initiales en termes d’interruption possible, des répercussions sur le Ministère, des avantages, des risques, de la faisabilité et du coût. Selon certains intervenants, dans l’ensemble, ces étapes initiales ne font pas le poids en tant que stratégies de rétablissement définitives et ne tiennent pas compte de la réalité des sites. Selon l’analyse de l’équipe de vérification, ces étapes initiales ne permettent pas d’atteindre le but d’une stratégie de rétablissement.
 
Recommandations (importance élevée)

2. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

i) Définir et mettre en œuvre un processus officiel pour la détermination des options de rétablissement pour chaque service essentiel et pour le choix des stratégies de rétablissement définitives avec l’engagement des secteurs concernés, sous la direction et la coordination de l’Agent de sécurité du ministère.

ii) Veiller à ce que l’Agent de sécurité du ministère coordonne l’approbation des stratégies de rétablissement par les membres de la haute direction afin d’assurer leur soutien et le financement des stratégies choisies. 

 iii) Veiller à ce que  les décisions de la haute direction concernant les stratégies de rétablissement définitives soient documentées et reflétées dans les plans de continuité des opérations. 

3.2.3    Intégration de la planification de la continuité de la gestion de l’information et de la technologie de l’information (GI-TI)

La fourniture normale, efficace et fiable de bon nombre des services considérés comme des facteurs essentiels et des services essentiels de l’organisme figurant dans les plans de continuité des opérations dépend des services et des systèmes de technologie de l’information. Ces relations de dépendance doivent être identifiées et des plans pour le rétablissement et la continuité des services de technologie de l’information doivent être élaborés, maintenus et évalués de concert avec les services et les opérations connexes de l’organisme.

D’après la Norme de PCO du SCT, les ministères doivent élaborer des plans de continuité de la GI-TI dans le cadre de leur PCO et opérations de rétablissement. La Norme de PCO du SCT exige que les ministères intègrent la planification de la continuité de la GI-TI au Programme de PCO. Cette intégration vise à permettre aux ministères de rétablir les capacités essentielles en matière de technologie de l’information en conformité avec les échéanciers et les exigences en matière de disponibilité précisés dans les plans de continuité des opérations ministériels.  

Des progrès ont été réalisés au cours des deux dernières années avec l’élaboration d’un plan de continuité de la GI-TI à l’appui du Programme de PCO. Grâce à la collaboration entre le personnel de la Direction générale de la gestion de l’information et des services de la technologie (GI-ST), la direction du Programme de PCO et les secteurs au niveau national, il a été possible de définir les systèmes de technologie de l’information et les applications connexes pour les services essentiels de la catégorie A. La Direction générale de la GI-ST travaille actuellement à l’élaboration des options de rétablissement et les coûts associés pour les dépendances technologies figurant dans le plan. On pourra ainsi combler les écarts entre le temps de rétablissement prévu demandé par les secteurs et la capacité de l’infrastructure disponible.

Actuellement, les rôles et les responsabilités des joueurs chargés de l’élaboration, de la maintenance et de l’évaluation du plan de continuité de la GI-TI ne sont pas définis; cependant, la direction travaille actuellement à l’ébauche d’une directive à ce sujet.  

Le plan de continuité de la GI-TI est terminé en partie. La gestion et le personnel de la technologie de l’information se sont engagés à poursuivre le travail avec la participation des secteurs afin d’assurer la couverture complète des services essentiels et d’examiner la faisabilité des options par rapport au temps de rétablissement établi par les secteurs.

Étant donné que le plan de continuité de la GI-TI ne traite pas encore des services essentiels de la catégorie B (actuellement en cours de développement) et que ses relations de dépendance ne sont pas encore intégrées aux fiches descriptives des fonctions essentielles à la mission ni au modèle de plans ou aux plans de continuité des opérations, et que les intervenants ne sont pas au courant de son contenu ni de leurs rôles, il reste du travail à faire pour compléter l’intégration de la GI-TI au Programme de PCO.  La Norme de PCO du MPO ne définit pas clairement l’intégration de la planification de la continuité de la GI-TI dans la PCO. La direction doit également régler la question du comment le plan de continuité de la GI-TI et les procédures connexes seront liées aux plans de continuité des opérations.

Recommandation (importance moyenne)

3. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait définir une stratégie pour la consolidation de l’intégration de la planification de la continuité de la GI-TI aux opérations de planification de la continuité des opérations du Ministère sous la direction de l’Agent de sécurité du ministère et du dirigeant principal de l’information.

3.2.4    Plans et préparatifs

Les processus d’élaboration, de maintenance, d’examen et d’approbation des plans de continuité des opérations sont définis dans la Norme de PCO du MPO. Toutefois, il convient de renforcer et de mieux soutenir certaines mesures de contrôle.

Élaboration des plans

Les plans de continuité des opérations devraient se fonder sur l’information tirée de l’analyse des répercussions sur les opérations et des stratégies de rétablissement. Les plans et les préparatifs devraient contenir plusieurs éléments largement décrits dans la Norme de PCO du SCT et davantage précisés dans le guide d’évaluation des programmes de PCO de Sécurité publique Canada et dans les documents (techniques) pertinents pour la Norme PCO. L’équipe de vérification a tenu compte de ces éléments dans le cadre de l’examen des plans. Il était hors de la portée de cette vérification d’examiner l’exactitude des données contenues dans les plans et de l’information qui les soutient (p. ex. marchés ou ententes concernant des sites de remplacement). Conformément à la Norme de PCO du MPO, les sites devraient utiliser le modèle de PCO du MPO et le guide connexe pour la préparation des plans de continuité des opérations.

Le modèle de PCO du MPO n’est pas utilisé uniformément dans toutes les régions. Parmi les 20 plans examinés, dix étaient basés sur l’ancienne version du modèle de Sécurité publique Canada, neuf étaient basés sur le modèle du MPO et un n’était basé sur aucun modèle. De plus, certains éléments clés sont absents du modèle du MPO.

Tous les plans examinés contenaient la liste des membres (nom et titre du poste) des équipes d’intervention et de rétablissement; toutefois, très peu contenaient un énoncé clair des rôles et des responsabilités et les coordonnées des membres. La plupart des plans contenaient une liste des exigences minimales en matière de service, des biens essentiels et des infrastructures essentielles ainsi que des mesures de remplacement comme les lieux de réunion de l’équipe de PCO et les sites de relocalisation.

La plupart des plans ne contenaient pas de procédures de rétablissement exposant en détail les étapes  pour le rétablissement des services essentiels et les procédures pour l’activation et la relocalisation, les opérations dans des installations de remplacement et la restauration (p. ex. cessation et retour aux opérations normales). L’équipe de vérification a remarqué que la plupart des plans n’utilisent pas la liste courante des fonctions essentielles à la mission, ne contiennent pas de stratégies de communication et ne sont pas alignés avec le plan de continuité de la GI-TI.

Tous les plans de continuité des opérations du MPO examinés demeurent incomplets, ce qui engendre le risque que l’intervention du MPO en cas d’événement perturbateur ne permettra pas d’assurer la continuité des services essentiels de manière organisée, efficace ou efficiente.

Un « guide des opérations clés » a été présenté par la direction du Programme en tant qu’outil complémentaire aux plans. L’idée vient d’un autre ministère et, comme la direction du Programme l’a expliqué, ce document demeure très générique étant donné qu’il n’a jamais été pleinement adapté au contexte du MPO. Il traite de certains des éléments manquants (p. ex. procédures d’activation et de mise en œuvre du plan de continuité des opérations et processus de communication ou autre). Selon la direction du Programme, en 2009, les régions ont été invitées à mettre à jour leurs plans suivant le nouveau modèle du MPO et elles ont été informées que le « guide des opérations clés » ne devrait plus être utilisé. Pourtant, la Norme de PCO du MPO fait encore référence à ce document. De plus, quelques coordonnateurs régionaux de la PCO et certains chefs d’équipes sur les lieux continuent de s’en servir puisque aucune autre option n’a été offerte pour leur fournir une orientation en matière d’intervention et de rétablissement.

Les plans élaborés suivant le modèle actuel du MPO ne contiennent pas tous les éléments requis, et l’utilisation du « guide des opérations clés » ne permet pas de combler les lacunes. En conséquence, il existe un risque que l’activation des plans échoue ou qu’elle soit effectuée d’une manière qui ne permettrait pas d’assurer la disponibilité continue des services essentiels en cas d’interruption. Cette situation est attribuable en partie au manque de connaissance des pratiques exemplaires préconisées par Sécurité publique Canada et des exigences de la Norme de PCO du SCT.

Recommandation (importance moyenne)

4. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait veiller à ce que les outils utilisés dans le cadre du processus d’élaboration des plans soient renforcés de manière à combler les lacunes et à assurer une meilleure utilisation de ceux-ci.

Maintenance, examen et approbation des plans

Les opérations de maintenance des plans constituent un élément important du Programme de PCO permettant aux ministères de les aligner sur les changements organisationnels et sur les changements apportés aux services essentiels. Ces changements pourraient toucher le mandat du ministère, les lois ou les conventions obligatoires, la haute direction, le contexte de la menace, les opérations, les services essentiels, les relations de dépendance internes ou externes, les intervenants, les fournisseurs ou l’organisation des équipes. Les responsables des plans ont comme rôle clé de veiller à ce que les changements se reflètent dans les plans et à assurer que les équipes sont tenues au courant des changements.

Les processus d’examen et d’approbation des plans sont définis dans la Norme de PCO du MPO; toutefois, les responsabilités relatives à la mise à jour des plans ne sont pas clairement attribuées et les opérations d’examen par le coordonnateur national et ceux régionaux ne sont pas clairement définies. Les mesures de contrôle concernant la mise à jour des plans comprennent de multiples niveaux d’examen et d’approbation. Ceux-ci comprennent la maintenance du plan par le site et un examen par le coordonnateur régional de la PCO, un examen et l’approbation technique par le coordonnateur national de la PCO et l’approbation finale par le directeur général régional ou par le commissaire adjoint de la Garde côtière canadienne. Une fois approuvés, les plans doivent être conservés dans le dépôt national et les dépôts régionaux.

Dans la pratique, les plans ne sont pas examinés par les coordonnateurs régionaux comme l’exige la Norme de PCO du MPO. Le cycle d’examen des plans varie grandement. Ainsi, certains coordonnateurs régionaux suivent un cycle d’examen des plans de trois ans tandis que d’autres n’ont pas examiné leurs plans depuis 2005. Il a été expliqué aux vérificateurs que les chefs d’équipes ne sont pas toujours engagés dans la mise à jour continuelle des plans parce qu’ils ne sont pas tenus de rendre compte à cet égard. Le coordonnateur national de la PCO ne procède pas toujours à l’examen et à l’approbation technique des plans de continuité des opérations. La direction du Programme a expliqué que l’approbation technique n’était pas bien définie et que les plans étaient examinés de façon ponctuelle et en fonction des ressources disponibles. Le cycle d’examen de 2009 n’a pas été complété parce que le personnel de PCO s’est occupé d’opérations spéciales comme les Jeux Olympiques et la possible pandémie de grippe H1N1. Une véritable remise en question indépendante des plans de continuité des opérations des secteurs est nécessaire afin de les améliorer. Un tel examen devrait être fait pour répondre aux  risques qui changent rapidement.
 
L’équipe de vérification a noté que certains plans n’avaient pas été mis à jour depuis 2005. On a également constaté que le dépôt national ne contenait pas toujours la version la plus récente des plans.

Conformément à la Norme de PCO du MPO, un plan de continuité des opérations devrait être produit pour chaque site terrestre. Selon le rapport sur l’état du PCO de 2008, 90 % des sites qui fournissent des services essentiels ont des plans et seulement 45 % de tous les plans ont été approuvés. Ainsi, nous avons constaté que seulement deux des 20 plans échantillonnés avaient été approuvés. Du fait que les plans ne sont pas approuvés, il y a un risque que les plans ne reçoivent aucun appui financier ou opérationnel. L’approbation ouvre la voie à l’engagement et à la responsabilisation.

Le processus d’approbation annuel relatif à la maintenance des plans décrit dans la Norme de PCO du MPO n’est pas toujours suivi. C’est un processus lourd qui exige de la haute direction d’approuver tous les plans de continuité des opérations sans égard à l’importance des changements. Or, la Norme de PCO du SCT n’impose pas une telle exigence.

Le personnel de PCO au niveau national a produit des outils de surveillance comme les rapports sur l’état de la PCO. Le dernier rapport fait état de quelques problèmes, notamment l’absence d’approbation des plans ou l’approbation des plans faite à des niveaux inappropriés, l’absence de plans dans certains sites et des mises à jour remontant à 2007 ou à une date antérieure dans la plupart des régions. Des mesures correctives n’ont pas été prises pour donner suite aux résultats de la surveillance. Ainsi, on constate des faiblesses dans les opérations de supervision et dans la surveillance de l’approbation des plans au niveau national. Ce manque de supervision et de surveillance ne permet pas d’assurer la résolution des problèmes et leur soumission aux échelons supérieurs, le cas échéant.

Recommandation (importance moyenne)

5. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

i) S’assurer que la maintenance de tous les plans est effectuée par les secteurs concernés sous la direction et la coordination de l’Agent de sécurité du ministère,  selon un calendrier adéquat permettant de refléter les circonstances et les risques changeants.

ii) S’assurer que les rôles et les responsabilités liés au processus de maintenance des plans sont clairement définis et communiqués afin de renforcer la responsabilisation;

iii) S’assurer que les mesures de contrôle afférents aux examens et aux approbations sont revues en tenant compte des ressources disponibles, des circonstances et des risques qui évoluent rapidement ainsi que de l’importance des changements justifiant les ré-approbations. Il faudrait définir clairement les opérations d’examen assignées aux coordonnateurs national et régionaux;

iv) Renforcer la fonction de surveillance et de rapports des opérations de PCO pour s’assurer que les problèmes identifiés soient traités au niveau approprié, y compris les problèmes d’absence d’approbation des plans et d’absence de plans.

Top of page

4.0     Plan d'action de gestion

Recommandations

Plan d’action de gestion

Mise à jour du rapport d’étape

Mesures prises

Mesures à prendre

Date cible

1. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait s’assurer qu’un processus d’analyse des répercussions sur les opérations est réalisé avec les secteurs concernés sous l’autorité et la coordination de l’Agent de sécurité du ministère. L’Agent de sécurité du ministère devrait coordonner l’approbation des résultats de l’analyse des répercussions sur les opérations par la haute direction.(Importance élevée) Une réorganisation du Secteur de la continuité des opérations et des services d’urgence afin d’augmenter la capacité dans ce domaine sera prise en considération.     Décembre 2010
L’Agent de sécurité du ministère engagera un consultant qui aidera à la conduite de l’analyse des répercussions sur les opérations. Mai 2011

La SMA, DRHSI, enverra une note aux Sous Ministres Adjoints de tous les secteurs, à la Garde côtière canadienne et aux directeurs généraux régionaux pour les informer de la nécessité de leur collaboration pour la conduite de l’analyse des répercussions sur les opérations qui évaluera les répercussions des perturbations sur le Ministère et permettra de déterminer les services essentiels et les biens afférents, ainsi que d’en établir l’ordre de priorité.

Juin 2011

Conduite de l’analyse des répercussions sur les opérations :

L’Agent de sécurité du ministère coordonnera les opérations et aidera les secteurs à effectuer une analyse des répercussions sur les opérations conformément à la nouvelle architecture des opérations de programme. La responsabilité à l’égard de ces opérations et la participation à celles-ci incombent toutefois aux secteurs concernés.

Début de l’analyse des répercussions sur les opérations en juin 2011  
Le Comité consultatif sur la sécurité et la gestion des urgences (CCSGU) offrira un soutien à l’Agent de sécurité du ministère et examinera en détail les résultats de l’analyse des répercussions sur les opérations. Octobre 2011
La SMA, DRHSI, présentera les résultats de l’analyse des répercussions sur les opérations au Comité de gestion du Ministère pour approbation. Décembre 2011
2. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

i) Définir et mettre en œuvre un processus officiel pour la détermination des options de rétablissement pour chaque service essentiel et pour le choix des stratégies de rétablissement définitives avec l’engagement des secteurs concernés, sous la direction et la coordination de l’Agent de sécurité du ministère.

L’Agent de sécurité du ministère élaborera le processus officiel lié aux stratégies de rétablissement (notamment l’identification et l’évaluation des dépendances aux technologies de l’information) et rédigera les documents connexes.      
 

Processus de planification de la continuité des technologies de l’information (TI) :

L’Agent de sécurité du ministère travaillera en collaboration avec le secteur de la gestion de l’information/de la technologie de l’information (GI/TI) pour finaliser la Directive sur le développement, la maintenance et la mise à l’essai des plans de continuité des TI, qui est en cours d’élaboration et qui définira les responsabilités et les rôles de tous les intervenants afin d’assurer l’identification et la maintenance de toutes les options de rétablissement (dépendances aux TI) pour chaque service essentiel. Elle garantira aussi la préparation, l’examen et la mise à l’essai des plans de continuité de façon régulière.

Les Directives sont en cours d’élaboration (étape de la rédaction)

Le secteur de la GI/TI a terminé l’identification des dépendances aux TI pour tous les services essentiels de catégorie A et détermine actuellement les options de rétablissement et les coûts qui y sont associés pour combler l’écart entre le temps de rétablissement attendu et la capacité de rétablissement existante.

Avril 2011
  L’Agent de sécurité du ministère coordonnera les opérations liées à l’identification des stratégies de rétablissement pour s’assurer qu’elles sont harmonisées avec les services essentiels. Toutefois, la responsabilité et la participation relatives à l’identification et à l’évaluation des options, y compris les exigences de financement et l’approbation des stratégies de rétablissement, incombent aux secteurs concernés.   Début : Octobre 2011
Fin : Février 2012
ii) Veiller à ce que l’Agent de sécurité du ministère coordonne l’approbation des stratégies de rétablissement par les membres de la haute direction afin d’assurer leur soutien et le financement des stratégies choisies. L’Agent de sécurité du ministère fera une présentation pour obtenir le soutien du CCSGU et pour que celui-ci effectue un examen détaillé des stratégies de rétablissement. Les membres du Comité sont, notamment, des représentants des secteurs clés, de la Garde côtière canadienne et des régions, le dirigeant principal de l’information, l’Agent de sécurité du ministère et la SMA, DRHSI.   Mars 2012
  La SMA, DRHSI, fera une présentation au Comité de gestion du Ministère pour faire approuver les stratégies de rétablissement.   Mars 2012
 iii) Veiller à ce que les décisions de la haute direction concernant les stratégies de rétablissement définitives soient documentées et reflétées  dans les plans de continuité des opérations.  L’Agent de sécurité du ministère s’assurera que les stratégies de rétablissement définitives sont ajoutées au modèle de planification de la continuité des opérations du MPO. L’approbation et les décisions de la haute direction seront ensuite documentées et disponibles sur le site Web.   Début : Octobre 2011
Fin : Décembre 2011
  L’Agent de sécurité du ministère surveillera cette composante de façon régulière pendant les six premiers mois, puis sur une base ponctuelle.   Septembre 2012
3. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait définir une stratégie pour la consolidation de l’intégration de la planification de la continuité de la GI-TI aux opérations de planification de la continuité des opérations du Ministère sous la direction de l’Agent de sécurité du ministère et du dirigeant principal de l’information. L’Agent de sécurité du ministère et le dirigeant principal de l’information travailleront en étroite collaboration pour élaborer une stratégie visant à faciliter l’intégration de la planification de la continuité de la GI/TI aux opérations de planification de la continuité des opérations. Le plan de continuité de la GI/TI est en cours d’élaboration. La version préliminaire a récemment été approuvée par le Comité directeur de l’informatique et par le Conseil de la gestion de l’information, puis a été transmise aux régions.   Juin 2011
L’Agent de sécurité du ministère et le dirigeant principal de l’information finaliseront les plans de continuité de la GI/TI et les Directives relatives aux TI et s’assureront que les documents sont transmis à tous les intervenants. Ils intégreront aussi tous les éléments essentiels du plan de continuité des TI aux plans de continuité des opérations.   Décembre  2011
4. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait veiller à ce que les outils utilisés dans le cadre du processus d’élaboration des plans soient renforcés de manière à combler les lacunes et à assurer une meilleure utilisation de ceux-ci. (Importance moyenne) L’Agent de sécurité du ministère formera un Groupe de travail sur la continuité des opérations (et en établira le mandat). Un des objectifs du groupe sera d’examiner et de mettre à jour les outils existants pour s’assurer qu’ils comprennent dorénavant les éléments manquants pour être en conformité avec la Norme de planification de la continuité des opérations (PCO) du Secrétariat du Conseil du Trésor (SCT) et avec les pratiques exemplaires de Sécurité publique Canada (guide pour l’évaluation des programmes de planification de la continuité des opérations et documents [techniques] à l’appui de la Norme de PCO.)     Septembre 2011
Une fois que les outils seront mis à jour et examinés par le Groupe de travail sur la continuité des opérations (présidé par l’Agent de sécurité du ministère), ils seront transmis à tous les intervenants clés pour en assurer une utilisation plus fréquente. Février 2012

5. La sous-ministre adjointe, Secteur des ressources humaines et des services intégrés, devrait :

 

 

 

 

 

 

 

 

 

 

 

i) S’assurer que la  maintenance de tous les plans est effectuée par les secteurs concernés sous la direction et la coordination de l’Agent de sécurité du ministère, selon un calendrier adéquat permettant de refléter les circonstances et les risques changeants. L’Agent de sécurité du ministère s’assurera qu’un modèle de rapport est établi qui devra comprendre une section sur l’évaluation des risques et devra être évalué par le CCSGU chaque année pour cerner les difficultés. Le rapport sera rédigé par les coordonnateurs régionaux. Un calendrier sera déterminé par le secteur de la GI/TI, les secteurs et les coordonnateurs régionaux. Février 2012
  Afin de renforcer la mobilisation des secteurs, le Groupe de travail sur la continuité des opérations établira une nouvelle Politique de planification de la continuité des opérations. Cette politique soulignera les rôles et les responsabilités relatifs à la tenue à jour et à la surveillance des plans, à tous les niveaux. Début : Septembre 2011
  La Politique de PCO sera présentée au CCSGU par l’Agent de sécurité du ministère. Mai 2012
  La Politique de PCO sera présentée au Comité de gestion du Ministère par la SMA, DRHSI, pour approbation. Mai 2012
  Un avis sera envoyé par la SMA, DRHSI pour encourager la participation à la mise à jour des plans et au processus lié à la stratégie de rétablissement.   Octobre 2011
ii) S’assurer que les rôles et les responsabilités liés au processus de maintenance des plans sont clairement définis et communiqués afin de renforcer la responsabilisation; Le Groupe de travail sur la continuité des opérations mettra la Norme de PCO du MPO à jour pour identifier clairement à qui revient la responsabilité de mettre les plans à jour. Décembre 2011
  La Politique de PCO définira de façon précise les rôles et les responsabilités liés à la gouvernance du programme et visera à les faire appliquer. Les rôles et les responsabilités seront communiqués à tous les intervenants. Mai 2012
iii) S’assurer que les mesures de contrôle afférents aux examens et aux approbations sont revues en tenant compte des ressources disponibles, des circonstances et des risques qui évoluent rapidement ainsi que de l’importance des changements justifiant les ré- approbations. Il faudrait définir clairement les opérations d’examen assignées aux coordonnateurs national et régionaux; Le Groupe de travail sur la continuité des opérations reverra les mécanismes d’examen et d’approbation des plans (y compris les rôles et les responsabilités) afin qu’ils reflètent les changements au niveau des risques et qu’ils tiennent compte des ressources disponibles. Les modifications seront transmises de façon officielle à tous les intervenants clés. Février 2012
  Le Groupe de travail sur la continuité des opérations mettra la Norme de PCO du MPO à jour pour qu’elle définisse et examine les opérations du coordonnateur national et ceux régionaux, afin que les plans de continuité des opérations des secteurs fassent l’objet d’un examen critique indépendant. Début : Septembre 2011
Fin : Février 2012
iv) Renforcer la fonction de surveillance et de rapports des opérations de PCO pour s’assurer que les problèmes identifiés soient traités au niveau approprié, y compris les problèmes d’absence d’approbation des plans et d’absence de plans. Les écarts, l’absence de plans et les approbations seront portés à l’attention des directeurs généraux régionaux et des SMA des secteurs, membres du CCSGU, par l’Agent de sécurité du ministère. Février 2012
  L’Agent de sécurité du ministère s’assurera que l’examen critique des plans de continuité des opérations des secteurs est renforcé. La surveillance sera fondée sur les risques. En 2012, un suivi sera effectué chaque trimestre.

1 Le MPO a classé ses services essentiels à la mission en trois catégories en fonction du temps de la remise en état : la catégorie A exige une remise en état immédiate; la catégorie B exige la remise en état des fonctions dans un délai de 2 à 14 jours et la catégorie C prévoit la remise en état après que toutes les fonctions de la catégorie B ont été remises en état ou après 14 jours, selon la première éventualité. Tous les services appartenant à la catégorie C ont été retirés de la liste récemment. La liste contient maintenant 90 services essentiels. Le site Intranet du Ministère n’a pas été mis à jour pour refléter ce changement et il contient toujours 106 services essentiels. D’après les entrevues, les intervenants ont été informés du changement, mais les dernières modifications n’ont pas été communiquées à la haute direction pour approbation.