ARCHIVÉE - Vérification du Programme de sécurité

Renseignements archivés

Cette page a été archivée dans le Web. Les renseignements archivés sont fournis aux fins de référence, de recherche ou de tenue de documents. Ils ne sont pas assujettis aux normes Web du gouvernement du Canada et n'ont pas été modifiés ou mis à jour depuis leur archivage. Pour obtenir ces renseignements sous une autre forme, veuillez communiquer avec nous.

date : Mai 2010
Projet no 09-79

Format PDF   (225 Ko, 43 pages)

 

 

Table des matières

 

 

Sigles et abréviations

AINC
Affaires indiennes et du Nord Canada

ASM
Agent de sécurité du Ministère

ASR
Agent de sécurité régional

ASRA
Agent de sécurité régional adjoint

CGRH
Comité de gestion des ressources humaines

CGS
Cadre de gestion de la sécurité

CSS
Coordonnateur de la sécurité sectorielle

CT
Conseil du Trésor

DG
Directeur général

DGR
Directeur général régional

DGRA
Directeur général régional associé

DGSM
Directive sur la gestion de la sécurité ministérielle

DGSRHMT
Direction générale des services des ressources humaines et du milieu de travail

DSSST
Division de la sûreté et de la santé et sécurité au travail

DSTI
Division de la sécurité des TI

EMR
Évaluation des menaces et des risques

GSDC
Guide de sécurité de désignation et de classification

GCR
Gestionnaire de centre de responsabilité

LVES
Listes de vérification des exigences de sécurité

PCA
Planification de la continuité des activités

PSG
Politique sur la sécurité du gouvernement

RCN
Région de la capitale nationale

SM
Sous-ministre

SRHMT
Services des ressources humaines et du milieu de travail

 

 

Sommaire

Contexte

La plus récente vérification du programme de sécurité d'AINC a été achevée en 2005. Une mission de vérification de suivi a été ajouté au Plan de vérification axé sur le risque 2010-2011 d'AINC, mais elle a été devancé en 2009-2010 à la demande de la directrice générale de la Direction générale des services des ressources humaines et du milieu de travail (DGSRHMT) et de l'agent de sécurité du Ministère (ASM). Il a été convenu d'un commun accord que le fait de devancer le moment de la vérification était approprié après avoir appris que l'ASM se préparait à élaborer un plan pour aborder les nouvelles exigences de la Politique sur la sécurité du gouvernement( PSG) du Conseil du Trésor (CT) qui prenait effet en juillet 2009. La nouvelle PSG mettait l'accent sur la nécessité, par tous les ministères, d'adopter une méthode axée sur un système de gestion de la sécurité, plutôt qu'une méthode classique stricte fondée sur la conformité.

Au cours des deux dernières années, on a réalisé des progrès importants en ce qui a trait à la mise en œuvre d'un programme de sécurité au sein d'AINC. L'actuelle DG de la DGSRHMT a été nommée en 2007, et à cette époque elle remplissait aussi le rôle d'ASM. Peu de temps après sa nomination, elle en a conclu que le programme de sécurité d'AINC était sous-financé et a reconnu le besoin de doter un poste d'ASM à temps plein. Ainsi, le poste de directeur de la Division de la Sureté de la Santé et de la Sécurité au Travail (DSSST) a été créé et doté en juin 2008 et on lui a assigné le rôle d'ASM. Depuis lors, l'ASM travaille à accroître la sensibilisation à la sécurité dans tout le Ministère, il a établi des contacts préliminaires avec les régions et les agents de sécurité régionaux (ASR). Il a aussi reçu l'approbation du SM pour établir un cadre de sécurité ministériel, un document plus complet et compréhensible que ce que l'on retrouve habituellement dans les autres ministères sociaux et culturels.

Par contre, il reste beaucoup de travail à accomplir. Les rapports sur la sécurité élaborés par les régions pour l'ASM est incomplet, seule une surveillance minimale des programmes de sécurité régionaux est faite. Les ASR, responsables d'appliquer le PSG et les procédures de sécurité ministérielles, sont souvent entièrement occupés par leur poste régional à temps plein non relié à la sécurité. Habituellement, ils n'ont pas assez de temps pour accomplir leurs tâches liées à la sécurité et ne rendent pas suffisamment compte à l'ASM. Ainsi, la mise en œuvre régionale du programme de sécurité n'est pas uniforme et la sensibilisation des employés aux politiques et procédures de sécurité est habituellement faible.

Objectifs et portée

La vérification vise à obtenir l'assurance que : le programme de sécurité du Ministère est conforme à la PSG; des ressources appropriées et suffisantes sont déployées afin de soutenir un programme de sécurité efficace à l'échelle nationale et régionale; les recommandations provenant de la vérification du programme de sécurité de 2005 ont été entièrement abordées; et des mesures d'atténuation sont mises en œuvre.

La portée de la vérification comprenait toutes les fonctions de sécurité, autres que la Planification de la continuité des activités (PCA) et la Sécurité des TI, de quatre régions sélectionnées, d'un secteur et de l'Administration centrale. La sécurité des TI et les fonctions de PCA du Ministère ont été retirées de la portée de la vérification, car elles tombent sous la responsabilité de la Division des TI, et le travail d'assurance relatif à ces secteurs est déjà planifié (Vérification de la planification de la continuité des activités) ou a été mené récemment (Vérification de la gestion de la sécurité des technologies de l'information).

Résultats et conclusions

La vérification a montré que le programme de sécurité d'AINC avait besoin d'être amélioré afin de satisfaire aux exigences de la nouvelle Politique sur la sécurité du gouvernement (juillet 2009). Un progrès constant a été réalisé au cours des dernières années en ce qui concerne les recommandations de la vérification du programme de sécurité de 2005 et l'amélioration de la portée et de l'efficacité des activités de sécurité menées par l'AC; par contre, le programme présente toujours des lacunes importantes. Parmi les faiblesses du programme, on retrouve des responsabilités et des rôles qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation à la sécurité chez les employés régionaux, des contrôles de protection de l'information inadéquats, une sécurité inadéquate et inefficace dans les processus de passation de marché, et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM. Les faiblesses observées indiquent un manque d'attention et de ressources affectées à la sécurité par les régions et les secteurs et la nécessité pour l'ASM de recentrer les ressources sur les secteurs présentant un risque élevé afin de mieux soutenir les régions et surveiller l'efficacité du programme de sécurité.

Plus particulièrement, nous avons observé ce qui suit :

Recommandations

Notre rapport de vérification fournit un certain nombre de recommandations visant à aborder les résultats de la vérification.

  1. L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les responsabilités et les rôles existants qui incombent à l'ASM, aux SMA, aux DGR en matière de sécurité, et les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
  2. L'ASM devrait développer davantage les procédures et les directives afin de soutenir la mise en œuvre du programme de sécurité ministérielle et les diffuser dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité, et directives sur la manière d'établir et de maintenir des zones de sécurité physique).
  3. Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.
  4. AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
  5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.
  6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des ERM, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun, et effectuer des visites annuelles sur place afin de soutenir les intervenants en sécurité dans les régions et les secteurs).
  7. L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que des mesures de sécurité lors des passations de marché.
  8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences de sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel des mesures de sécurité de la fonction de passation de marché, est requis afin de s'assurer que les agents des contrats ont reçu une formation suffisante et examinent et approuvent les exigences ainsi que les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la sécurité lors des passation de marché et des rapports est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère.

 

 

 

1. Énoncé de conformité

Nous avons réalisé une vérification du programme de sécurité tel qu'il est géré par la directrice générale de la Direction générale des services des ressources humaines et du milieu de travail (DGRHMT) et l'agent de sécurité ministériel (ASM). La vérification vise à obtenir l'assurance que :

La vérification a été mené en conformité avec les exigences de la Politique sur la vérification interne du Conseil du Trésor (CT), et en respectant les Normes internationales pour la pratique professionnnelle  de l'audit  interne de l'Institut des vérificateurs internes (IVI).

La vérification a permis d'évaluer les contrôles du programme en les comparant avec les critères d'évaluation élaborés à partir des exigences soulignées dans la PSG, la Directive sur la gestion de la sécurité ministérielle (DGSM), la Norme de sécurité relative à l'organisation et l'administration, la Norme de sécurité et de gestion des marchés et la Norme opérationnelle sur la sécurité matérielle.

Selon mon jugement professionnel à titre de dirigeant principal de la vérification et de l'évaluation, des procédures de vérifications appropriées et suffisantes ont été menées et des preuves ont été recueillies pour corroborer l'exactitude des conclusions tirées, qui sont contenues dans ce rapport. Les conclusions sont fondées sur une comparaison des situations telles qu'elles existaient au moment de la vérification avec les critères de vérification. Il faut noter qu'elles s'appliquent seulement aux domaines examinés et aux régions et aux secteurs visités.

 

 

2. Introduction

La plus récente vérification du programme de sécurité d'AINC a été achevée en 2005. Une mission de vérification de suivi a été ajouté au Plan de vérification axé sur le risque d'AINC de 2010-2011, mais elle a été devancé en 2009-2010 à la demande du DG de la DGSRHMT et de l'ASM. Il a été convenu d'un commun accord que le fait de devancer le moment de la vérification était approprié, après avoir appris que l'ASM se préparait à élaborer un plan pour aborder les nouvelles exigences de la PSG, qui prenait effet en juillet 2009.

2.1 Politique sur la sécurité du gouvernement

Le programme de sécurité d'AINC est gouverné par la Politique sur la sécurité du gouvernement (PSG). Cette dernière remplace la Politique sur la sécurité du gouvernement (2002) et la Politique de gestion de l'Infrastructure à clé publique au gouvernement du Canada (2004), et elle présente une liste d'exigences de base en matière de sécurité à laquelle tous les ministères doivent se conformer afin de soutenir la protection des employés et des actifs et d'assurer la continuité des services. Particulièrement, la PSG exige que :

La PSG comprend l'obligation pour les ministères de nommer un ASM afin d'établir et de diriger un programme de sécurité; l'ASM sera aussi responsable d'assurer la mise en œuvre des exigences de la politique et la coordination de toutes les fonctions de la politique. Le passage d'une méthode de conformité de sécurité normative à une méthode par cadre de gestion est l'un des changements clés de la politique.

2.2 Historique du programme de sécurité au sein d'AINC

La vérification du programme de sécurité de 2005 a permis de découvrir des écarts importants dans le programme de sécurité d'AINC. Les politiques étaient désuètes, les rôles et les responsabilités n'étaient pas clairs, la communication entre l'AC et les régions était mauvaise et le degré de mise en œuvre du programme de sécurité variait d'une région à l'autre. En outre, il n'y avait aucun programme de sensibilisation à la sécurité en place; la sensibilisation à la sécurité des employés était déficiente, particulièrement en ce qui concerne la protection des renseignements, et le personnel affecté à la sécurité n'effectuait pas de surveillance ou de validation périodique des contrats, ni des contrôles en conformité avec la politique.

L'actuelle DG de la DGSRHMT a été nommée en 2007, et elle remplissait aussi le rôle d'ASM. Peu de temps après sa nomination, elle en a conclu que le programme de sécurité d'AINC était sous-financé et a reconnu le besoin d'avoir un ASM à temps plein. Conséquemment, le poste de directeur de la DSSST a été créé et doté en juin 2008 et on lui a assigné le rôle d'ASM.

Une fois nommé, le nouvel ASM s'est engagé à examiner les résultats de la vérification de 2005 qui n'avaient pas encore été abordés et à renforcer le programme de sécurité :

Afin de renforcer davantage le programme de sécurité ministériel, le DG de la DGSRHMT a demandé à l'ASM de préparer un plan de sécurité afin d'identifier et de prioriser les activités de sécurité pour les trois prochaines années, et d'étudier les possibilités d'améliorer davantage la formation et la sensibilisation en matière de sécurité sans avoir à ajouter d'autres ressources à l'organisation de la sécurité.

2.3 Organisation de la sécurité d'AINC

À AINC, la responsabilité des fonctions de la politique sur la sécurité relève de deux unités organisationnelles :

Le rôle d'ASM est attribué au directeur de la DSSST, et il a deux unités en charge des fonctions de sécurité : les services de sécurité du personnel, des contrats et de la sensibilisation à la sécurité et les services des opérations et de la sécurité matérielle. Une troisième unité est responsable, quant à elle, de la santé et de la sécurité du travail. L'ASM relève du sous-ministre (SM), même s'il rend compte de facon courante au DG de la DGSRHMT. Le chef de la sécurité ministérielle (DSTI) relève de l'ASM sur les questions touchant la sécurité.

Le Ministère comprend aussi d'autres ressources en matière de sécurité à temps partiel : les agents de sécurité régionaux (ASR) et les agents de sécurité régionaux adjoints (ASRA) affectés aux dix (10) bureaux régionaux du Ministère, au Secrétariat d'adjudication et au secteur du Ministère s'occupant du pétrole et du gaz des Premières nations. Les ASR et les ASRA sont responsables de l'exécution des activités liées à la sécurité dans les régions, et le financement de leurs salaires et des autres coûts est une responsabilité régionale. Les ASR sont habituellement embauchés dans des postes de services généraux dans les régions d'AINC, et ils ont d'autres rôles à temps plein. En ce qui concerne leurs responsabilités en matière de sécurité, on s'attend à ce que les ASR relèvent de l'ASM. Les secteurs d'AINC, principalement situés au sein de la région de la capitale nationale (RCN), n'ont pas à nommer ni à financer les agents de sécurité; il incombe au personnel de la DSSST de remplir ces rôles.

À la suite de la recommandation de l'ASM, cinq secteurs ont récemment nommé des coordonnateurs de la sécurité sectorielle (CSS); il s'agit d'un projet pilote visant à aider l'exécution des activités de manière sécuritaire dans leur secteur respectif. Ainsi, les CSS ont très peu participé à la mise en œuvre du programme de sécurité, ils n'ont agi qu'à titre de liaison entre le personnel de la DSSST et le secteur. Le personnel de la DSSST demeure responsable de la prestation de tous les services liés à la sécurité aux secteurs de l'AC.

L'organisation de la sécurité d'AINC est décrite dans la Figure 1. Les relations fonctionnelles sont représentées par les lignes pointillées.

Figure 1 – Organisation de la sécurité d'AINC

Figure 1 - Organisation de la sécurité d'AINC

La figure nº1 représente un organigramme qui décrit les rapports hiérarchiques de tous les postes impliqués dans le programme de sécurité du ministère. Chaque poste dans l'organigramme est représenté par une zone de texte qui inclut et donne de l'information sur le titre du poste, l'unité organisationnelle, et lorsqu'applicable, le nombre de postes reliés. Les traits pleins sont utilisés pour identifier les liens hiérarchiques directs, tandis que les traits en pointillés représentent les relations fonctionnelles.

Le sous-ministre occupe le poste le plus élevé de l'organigramme, et il est responsable en bout de ligne de la mise en place du programme de sécurité du ministère. La directrice générale des services des ressources humaines et du milieu de travail (DGSRHMT), qui supervise la division de la sureté et de la santé et sécurité au travail (DSSST), rend directement compte au sous-ministre.

Le poste suivant dans l'organigramme est tenu par le directeur de la DSSST qui est aussi nommé agent de sécurité ministériel. L'agent de sécurité ministériel (ASM) rend directement compte à la DGSRHMT, qui agit aussi à titre d'agent de sécurité ministériel adjoint. Bien que l'ASM rende compte directement à la DGSRHMT, il peut se rapporter aussi au sous-ministre le cas échéant.

Relevant du directeur de la DSST, deux unités sont responsables des fonctions de sécurité - services de sécurité du personnel, contrat et sensibilisation et services des opérations et de la sécurité matérielle – une troisième unité est responsable des services de santé et sécurité au travail. Ces trois unités fonctionnelles relèvent directement du directeur de la DSSST.

L'unité des services des opérations et de la sécurité matérielle qui est dirigée par la chef des services des opérations et de la sécurité matérielle, comprend 4 postes permanents, 5 commissionnaires d'AINC et 10 commissionnaires de Travaux Publics et Services Gouvernementaux Canada qui rendent compte d'un point de vue fonctionnel à la chef de l'unité.

L'unité des services de sécurité du personnel, contrat et sensibilisation qui est dirigée par la chef des services de sécurité du personnel, contrat et sensibilisation, comprend 8 postes, dont un est toujours vacant, et rendent compte directement à la chef de l'unité.

L'unité de santé et sécurité au travail est dirigée par la gestionnaire des services de santé et sécurité au travail. Cette unité comprend 2 postes qui rendent directement compte à la gestionnaire.

En plus des ces liens hiérarchiques directs, le directeur de la DSSST, en tant qu'ASM, reçoit également de l'information des personnes suivantes qui se rapportent à lui d'un point de vue fonctionnel : le coordonnateur de la sécurité des technologies de l'information (STI), le coordonnateur de la planification de la continuité des opérations (PCO), le coordonnateur de la gestion de l'information (GI), le coordonnateur de l'accès à l'information et protection des renseignements personnels (AIPRP); 5 coordonnateurs localisés dans différents secteurs et directions générales des administrations centrales; et quatorze agents de sécurité régionale, dont dix qui supervisent directement des agents de sécurité régional adjoint.



 

 

3. Objectifs et portée de la vérification

Les objectifs de la vérification consistaient à obtenir l'assurance que :

La vérification a permis d'examiner la pertinence (conception) et l'efficacité du programme de sécurité et des contrôles de gestion du Ministère. Cela permet de donner l'assurance qu'AINC est conforme à la PSG, et que les questions clés en matière de sécurité sont identifiées et rapportées afin de prendre des décisions appropriées et en temps opportun.

Le travail de vérification incluait l'évaluation du Programme de sécurité à livrer un programme en conformité avec les lois applicables et la structure organisationnelle de la fonction sécurité, et également conforme aux cadres de gouvernance et aux rôles et responsabilités, tant d'un point de vue régional que national.

La portée de la vérification comprenait toutes les fonctions de sécurité (sauf la PCA et la sécurité des TI), d'un certain nombre de régions déterminées et d'un secteur. La sécurité des TI et les fonctions de PCA du Ministère n'ont pas été soumises à la vérification, à l'exception de leur cadre de gouvernance et des liens avec le programme de sécurité. Ces fonctions ont été laissées de côté, car elles sont sous la responsabilité de la DSTI et le travail d'assurance dans ces domaines est planifié (vérification de la PCA) ou a été mené récemment (vérification de la GSTI).

 

 

4. Démarche et méthodologie

Notre vérification a été menée par la firme Orbis Risk Consulting en conformité avec les exigences de la Politique sur la vérification interne du CT et en respectant les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institut des vérificateurs internes (IVI). Des procédures de vérifications appropriées et suffisantes ont été menées et des preuves ont été recueillies pour corroborer l'exactitude des opinions exprimées et contenues dans ce rapport.

Des critères d'évaluation ont été élaboré à partir des exigences soulignées dans la PSG, la DGSM, la Norme de sécurité relative à l'organisation et l'administration, la Norme de sécurité et de gestion des marchés et la Norme opérationnelle sur la sécurité matérielle. Ces critères ont servi de fondements pour élaborer une méthode de vérification et un programme de vérification détaillé pour accomplir la phase d'exécution.

Au cours de l'étape de la planification, des entrevues ont été menées auprès du personnel de sécurité de l'AC d'AINC et des ASR provenant de cinq bureaux régionaux. En outre, on a examiné et analysé la documentation du programme. Ce travail a été accompli afin de soutenir le processus d'évaluation préliminaire du risque. La première étape du processus a permis de déterminer l'importance de chaque activité de contrôle (en relation avec chaque critère de vérification), tout en tenant compte à la fois du niveau de ressources affectées à l'activité et de sa contribution à un système de contrôle efficace. La deuxième étape a permis d'évaluer le risque résiduel associé à chaque activité de contrôle. Une note en matière de risque a ensuite été attribuée à chaque activité de contrôle et elle a servi à confirmer son inclusion dans la vérification et à déterminer les procédures de vérification à accomplir au cours de la phase d'exécution. Les étapes de la planification et de l'évaluation du risque ont pris fin avec la réalisation d'une évaluation détaillée du risque, d'une stratégie de vérification et d'un programme de vérification.

La phase d'exécution de la vérification comprenait la réalisation des procédures de vérification de bureaux régionaux et sectoriels, ainsi que de la DSSST. Particulièrement, les bureaux régionaux du Yukon, de l'Alberta, de l'Ontario (Toronto et Thunder Bay) et du Québec ont été visités, ainsi que les bureaux du Secteur des traités et du gouvernement autochtone de la RCN. Nous avons pris en considération la taille de l'organisation, la portée des activités et la maturité des programmes de sécurité pour choisir les quatre régions et le secteur. Notre vérification garantit uniquement la conformité et l'efficacité des contrôles pour les régions et le secteur s'inscrivant dans la portée et pour les responsabilités de la DSSST.

Les principales procédures de vérification réalisées par l'équipe de vérification comprenaient :

Le travail de vérification sur le terrain a été mené de janvier à mars 2010.

 

 

5. Conclusions

La vérification a permis de découvrir que le programme de sécurité d'AINC a besoin d'être amélioré afin de satisfaire aux exigences de la nouvelle PSG (juillet 2009). Même si l'on a observé une progression stable au cours des dernières années en ce qui concerne la mise en œuvre des recommandations de la vérification du programme de sécurité de 2005 et au niveau de l'étendue et l'efficacité des activités de sécurité menées par l'AC, des écarts importants demeurent. Parmi les faiblesses du programme, on retrouve des rôles et des responsabilités qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation relative à la sécurité chez les employés régionaux, des contrôles de protection des renseignements inadéquats à l'AC et dans les régions, une sécurité inadéquate et inefficace dans les processus de passation de marché et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM. Les faiblesses observées indiquent un manque d'attention et de ressources affectées à la sécurité par les régions et les secteurs, et le besoin pour l'ASM de recentrer les ressources au niveau des secteurs présentant un risque élevé afin de mieux soutenir les régions et surveiller l'efficacité du programme de sécurité.

 

 

6. Observations et recommandations

Ces observations tirées de notre vérification sont présentées en trois sections. La première aborde les observations de la vérification à l'échelle du programme, y compris la conception, la mise en œuvre et la surveillance du programme. La deuxième aborde les observations précises de la vérification liées à la conformité avec la PSG, y compris la sensibilisation à la sécurité, la protection des renseignements, la protection des employés et des actifs, la vérification de sécurité du personnel, la sécurité dans la passation de contrat/marché et les enquêtes administratives. La troisième aborde la conformité d'AINC aux recommandations de la vérification du programme de sécurité de 2005.

6.1 Programme de gestion de la sécurité

6.1.1 Cadre de gestion de la sécurité

Les exigences et les procédures de la politique en matière de sécurité soulignées dans le Cadre de gestion de la sécurité (CGS) d'AINC sont généralement satisfaisantes et harmonisées avec les exigences de la PSG, même s'il reste du travail à accomplir afin de s'assurer que les responsabilités et les rôles à l'échelle de la politique sont clairs et les normes opérationnelles sont suffisantes.

La PSG donne la responsabilité aux administrateurs généraux d'établir un programme de sécurité pour la coordination et la gestion des activités de sécurité ministérielles. Ce programme de sécurité doit comprendre une structure de gouvernance avec des responsabilités claires et des objectifs définis harmonisés avec les plans, les priorités et les politiques du gouvernement et du Ministère.

Observations clés de la vérification de 2005

Le CGS d'AINC a été approuvé par le SM en juin 2008; il établissait le cadre de surveillance, les responsabilités, les rôles et les objectifs de la politique de sécurité du Ministère. La vérification a montré que le CGS et les exigences de la politique qu'il contient sont généralement adéquats pour un document de sécurité de niveau élevé et bien harmonisé avec les exigences de la PSG et des plans, priorités et objectifs du Ministère. Il s'agit aussi d'un document plus complet et compréhensible que celui que l'on retrouve habituellement dans les autres ministères sociaux et culturels.

Par contre, notre vérification a montré que les rôles et responsabilités des gestionnaires, du personnel, des ASR et des CSS n'étaient pas clairement compris ou définis dans la politique de sécurité actuelle d'AINC. Généralement, les employés trouvaient que le document du CGS était un mélange confus de politiques, de normes et de procédures.

Sous la direction du nouvel ASM, le personnel et la direction de la DSSST et de certaines régions ont fait un progrès appréciable au cours des deux dernières années dans le développement et la communication des procédures de sécurité. Par contre, un effort supplémentaire est requis pour s'assurer que toutes les directives, les normes et les procédures sont complètes et diffusées dans toute l'organisation, particulièrement celles qui touche le verrouillage à la fin de la journée (politique du « bureau propre »), les directives concernant les éléments à vérifier lors d'un ratissage de sécurité, le matériel de formation pour l'exécution d'activités de sensibilisation à la sécurité et l'établissement et l'entretien des zones de sécurité physique.

Recommandations :

  1. L'ASM devrait mettre à jour la politique de sécurité ministérielle concernant les rôles et responsabilités en matière de sécurité qui incombent à l'ASM, aux SMA, aux DGR, afin de les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
  2. L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité et directives sur la manière d'établir et de maintenir des zones de sécurité physique).

6.1.2 ASM et l'organisation de la sécurité

Le poste de l'ASM est bien positionné au sein de l'organisation pour remplir toutes les responsabilités de sécurité, et des mécanismes suffisants sont en place pour s'assurer que les cadres supérieurs sont au courant des questions relativesà la sécurité. Par contre, notre vérification a révélé que les régions ne rendent pas compte à l'ASM en ce qui a trait à la mise en œuvre des programmes de sécurité, et que les secteurs n'ont pas d'agents de sécurité nommés afin de soutenir leurs obligations en matière de sécurité.

Observations clés de la vérification de 2005

La PSG prévoit que l'ASM relève de l'administrateur général ou du comité de direction ministériel pour la gestion du programme de sécurité ministériel. Notre vérification a révélé que le poste de l'ASM est bien positionné dans l'organisation pour remplir toutes les responsabilités en matière de sécurité et pour conseiller l'organisation en matière de sécurité. Le cadre supérieur est tenu au courant des questions de sécurité à l'aide de rapports fréquents présentés au Comité de gestion des ressources humaines (CGRH) par l'ASM. L'ASM relève aussi directement du SM au besoin, tandis que le DG de la DGSRHMT présente en général des rapports au SM sur les questions courantes.

Au sein d'AINC, les fonctions et les responsabilités de la politique sur la sécurité incombent à deux unités : la DSTI, responsable de la sécurité des TI et du PCA, et la DSSST, dont le directeur joue le rôle d'ASM. La DSSST comprend deux unités responsables des fonctions de sécurité (les services de sécurité du personnel, des contrats et de la sensibilisation et les services des opérations et de la sécurité matérielle), et une troisième est responsable de la santé et sécurité au travail. Le chef de la sécurité ministérielle (DSTI) relève de l'ASM pour toutes les questions liées à la sécurité. L'ASM relève directement du DG de la DGSRHMT, qui agit aussi à titre d'agent de sécurité du Ministère adjoint (ASMA).

Même si ce partage des responsabilités de sécurité est courant dans les autres ministères, il ajoute de la complexité en ce qui a trait à la gestion des programmes de sécurité, étant donné que les efforts doivent être coordonnés entre les deux groupes. Une bonne communication régulière et continue est requise entre les deux divisions afin d'assurer le succès de la mise en œuvre du programme de sécurité. Notre vérification ne comprenait pas une évaluation de la sécurité des TI et des contrôles de PCA, mais elle a examiné la gouvernance et la communication entre ces fonctions et l'ASM. La vérification a révélé que la communication est efficace notamment grâce au comité de sécurité ministériel, dont le mandat consiste à conseiller, à orienter et formuler des recommandations en ce qui a trait à la sécurité ministérielle, et à s'assurer que le comité de direction ministériel gère correctement toutes les questions relatives à la sécurité du Ministère. Le comité de sécurité ministériel est présidé par l'ASM; il se réunit tous les mois et est composé de membres qui gèrent toute l'organisation de la sécurité afin de faciliter la mise en œuvre du programme de sécurité.

Agents de sécurité régionaux (ASR)

Les ASR et les ASRA soutiennent l'ASM dans la mise en œuvre du programme de sécurité; le financement de leur poste est assuré par les régions et ils ont habituellement un poste à temps plein en dehors de l'organisation de la sécurité, le plus souvent des fonctions de services régionaux.. Bien qu'ils relèvent de l'ASM, les ASR doivent rendre compte principalement à l'équipe de gestion régionale. En conséquence, les questions de sécurité ne sont habituellement pas traitées proactivement, mais seulement lorsque la charge de travail le permet ou lorsque des questions urgentes sont soulevées. Notre vérification a révélé que l'ASM n'a pas assez d'influence sur le niveau d'effort à consacrer au programme de sécurité dans les régions. Plusieurs fonctions de sécurité clés indiquées dans le CGS ne sont pas accomplies de manière uniforme par tous les ASR et cela se traduit par une mise en œuvre régionale inégale du programme de sécurité (certaines régions ont mis en œuvre des éléments d'un programme de sécurité de haut niveau, tandis que d'autres ont fait peu de progrès). Voici quelques exemples de fonctions de sécurité effectuées de manière satisfaisante dans certaines régions, mais insatisfaisante dans d'autres : activités de sensibilisation à la sécurité, tenue de ratissages de sécurité mensuels, présentation de rapports sur la mise en œuvre du programme de sécurité à l'ASM, contrôle des clés et des combinaisons pour un rangement sécurisé et autres activités de sécurité préventive.

Mise en œuvre de la sécurité dans les secteurs

La mise en œuvre du programme de sécurité au sein des secteurs est faible. Nous croyons que cela provient du fait que les secteurs ne portent pas une grande attention à la sécurité, qu'ils n'ont pas d'agents de sécurité nommés pour accomplir les tâches semblables à celles des ASR dans les régions et que la DSSST est trop occupée par la mise en œuvre des activités de sécurité pour superviser et conseiller les ASM de manière appropriée. Même si certains secteurs ont nommé des CSS, leur rôle n'est pas défini et leur participation à la mise en œuvre du programme de sécurité est minime.

L'absence d'agent de sécurité de secteur a eu un effet néfaste sur le programme de sécurité, étant donné qu'une partie importante des ressources de la fonction de sécurité ministérielle ont été consacrées à l'accomplissement de ces tâches. Cela a laissé peu de temps à la DSSST pour élaborer et surveiller la mise en œuvre du programme de sécurité et donner du soutien aux régions et aux secteurs.

La meilleure pratique au sein des ministères fédéraux consiste à ce que toutes les unités organisationnelles nomment des agents de sécurité, en harmonie avec le principe de sécurité d'un contrôle centralisé et d'une exécution décentralisée.

Formation des intervenants en sécurité

Notre vérification a révélé que les ressources consacrées à la formation des intervenants en sécurité sont insuffisantes et que l'ASM ne dispose pas d'outil pour évaluer officiellement les besoins en formation de sécurité des ASR afin que des plans de formation individuels puissent être élaborés.

L'ASM a un budget de 5 000 $ pour satisfaire les besoins en formation de 15 employés, soit moins de 350$ en moyenne par employé. Bien que la formation sur la sécurité offerte par AINC ait été considérée insuffisante, deux tiers du personnel de l'ASM interviewé a indiqué avoir reçu une formation adéquate dans d'autres ministères avant de se joindre à AINC, et se considèrent donc suffisamment formés pour accomplir les tâches au niveau requis. Par contre, notre vérification a révélé que deux tiers des intervenants en sécurité régionaux n'étaient pas assez formés pour accomplir leurs tâches selon le niveau requis. L'ASM, au courant de ce problème, aborde la question en tenant des séances de formation annuelles d'une semaine pour les ASR à l'AC au mois de mars de chaque année, il tient des appels-conférences avec les ASR chaque mois afin d'améliorer les communications et la direction des tâches liées à la sécurité et il offre sans frais des cours de formation de la GRC.

Ressources pour l'organisation de la sécurité

La nouvelle PSG exige une planification annuelle afin d'établir les objectifs et d'affecter les ressources en se basant sur les besoins uniques de chaque ministère. Notre vérification comprend l'examen de ces ressources et de leur affectation appropriée au programme de sécurité d'AINC. Dans le cadre de cet examen, nous avons analysé les ressources et les niveaux du personnel de sécurité d'autres ministères comparables en terme d'exigences en sécurité et de programme. Notre vérification n'a pas permis de tirer une conclusion sur la pertinence des ressources en raison du manque de renseignements importants et du fait que de nombreux autres ministères ne sont pas encore en conformité avec les exigences de la PSG.

Même si nous ne sommes pas en mesure de fournir une conclusion de vérification sur la pertinence des ressources, notre examen a permis de déterminer des domaines qui devraient retenir l'attention de la direction:

Recommandations :

3. Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.

4. AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.

Observations clés de la vérification de 2005

6.1.3 Planification de la sécurité

Aucun plan de sécurité ministériel officiel n'existe, mais on en planifie un pour 2010-2011.

La nouvelle PSG exige que le SM approuve un plan de sécurité ministériel qui détaille les décisions en ce qui a trait à la gestion des risques de la sécurité et qui présente les stratégies, les objectifs, les buts, les priorités et les échéances concernant l'amélioration de la sécurité du Ministère et qui soutient sa mise en œuvre. Étant donné que cette exigence n'est entrée en vigueur qu'en juillet 2009, AINC n'a pas encore de plan ministériel officiel sur le plan de la sécurité.

L'ASM fait un rapport de toutes les questions de sécurité ministérielle au CGRH et il établit un plan trimestriel des priorités et des activités qui est présenté au DG de la DGSRHMT. Ce plan n'aborde pas suffisamment les écarts entre les programmes de sécurité régionaux. Le mandat du comité de sécurité ministériel indique que la sécurité doit être intégrée au processus de planification stratégique du Ministère. Cependant, la surveillance globale de la mise en œuvre du programme de sécurité dans les régions est minimale, avec peu d'efforts consacrés aux mesures de rendement afin d'évaluer l'efficacité du programme (abordé dans la section 6.1.4). Les risques systémiques relatifs à la sécurité ne sont pas déterminés à l'échelle du Ministère, et la planification non officielle actuelle ne prend pas en considération la totalité du programme de sécurité.

À l'échelle régionale, les risques liés à la sécurité sont abordés au cas par cas. Les ASR présentent des rapports sur les risques émergents liés à la sécurité aux comités régionaux des opérations quand les problèmes surviennent, et les gestionnaires régionaux traitent habituellement les questions   qui requièrent une attention immédiate. Cependant, en général les risques liés à la sécurité ne sont pas officiellement priorisés, ni les plans de sécurité annuels préparés par ou pour les régions.

L'ASM et le DG de la DGSRHMT se sont engagés à préparer un plan officiel de sécurité en 2010-2011 et ils souhaitent le baser sur les résultats de cette vérification.

Recommandation :

5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.

Observations clés de la vérification de 2005

6.1.4 Surveillance du programme de sécurité

L'ASM a élaboré des mesures de rendement afin de surveiller les niveaux d'activités de sécurité dans les régions. Une amélioration est requise pour surveiller l'efficacité du programme de sécurité dans les régions et les secteurs afin de soutenir son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, suivre les problèmes soulevés dans les ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité dans les régions et les secteurs).

La PSG exige que des examens périodiques soient menés afin d'évaluer si le programme de sécurité ministériel est efficace, si les buts, les objectifs stratégiques et les objectifs de contrôle détaillés dans le plan de sécurité ministériel sont atteints et si le plan de sécurité ministériel demeure approprié pour les besoins du Ministère et du gouvernement dans son ensemble.

A partir d'octobre 2009, l'ASM a surveillé la mise en œuvre du programme de sécurité en faisant le suivi de la fréquence des incidents touchant la sécurité, des activités de sensibilisation et des inspections de conformité dans les régions et les secteurs. Cela représente une première étape logique et positive dans l'établissement d'un cadre de supervision et de surveillance. Puisque les mesures de rendement actuelles sont insuffisantes et ne satisfont pas aux exigences de la PSG en ce qui a trait à la surveillance du programme, la prochaine étape consistera à raffiner ces mesures pour se concentrer sur l'évaluation de l'efficacité du programme de sécurité.

Parmi les activités de surveillance actuelles effectuées par l'ASM, on retrouve les suivantes :

L'ASM a rencontré personnellement la plupart des cadres supérieurs des régions et des secteurs et il se déplace à l'occasion dans les régions afin de discuter des questions de sécurité. Cette interaction managériale est importante. Des visites additionnelles sur le terrain du personnel de la DSSST seraient bénéfiques pour soutenir les ASR dans la détermination des risques liés à la sécurité et des écarts dans leur programme de sécurité régional.

Recommandation :

6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs afin de soutenir son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, suivre les problèmes soulevés dans les ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité dans les régions et les secteurs).

6.2 Conformité avec la Politique sur la sécurité du gouvernement

Notre vérification a aussi étudié la conformité à des sections spécifiques de la PSG, y compris la sensibilisation à la sécurité, la protection des renseignements, la protection des employés et des actifs, la vérification de sécurité du personnel, la sécurité dans la passation de contrat et les enquêtes administratives.

Observations clés de la vérification de 2005

6.2.1 Sensibilisation à la sécurité

L'ASM a élaboré du matériel de sensibilisation à la sécurité et a commencé à mettre en œuvre des activités au sein de la RCN; pourtant, la sensibilisation aux responsabilités liées à la sécurité chez les employés d'AINC demeure faible, particulièrement en ce qui a trait à la protection des renseignements. Les niveaux de sensibilisation dans les régions visitées varient de faible à satisfaisant, et ces efforts de sensibilisation résultent  principalement des activités initiées par les régions. Les régions visitées n'utilisaient pas le matériel de sensibilisation préparé par la DSSST pour offrir aux employés des séances officielles de sensibilisation à la sécurité.

L'objectif d'un programme de sensibilisation à la sécurité consiste à attirer l'attention des employés sur la confidentialité, l'intégrité et la disponibilité des informations et à encourager la conformité avec toutes les procédures, les normes et les politiques en matière de sécurité. Un programme de sensibiliation efficace est essentiel au succès de n'importe quel programme de sécurité.

L'ASM a fait quelques progrès au cours des deux dernières années dans l'amélioration des niveaux de sensibilisation à la sécurité des employés à l'AC en augmentant de manière importante la fréquence des séances officielles de sensibilisation à la sécurité dans la RCN et en soutenant d'autres aspects du programme de sécurité (p. ex. la semaine de la sensibilisation à la sécurité, des affiches et des courriels périodiques/rappels Express d'AINC). Ce qui n'est pas le cas pour le personnel régional pour lequel très peu de choses ont été faites. Même s'il s'agit d'améliorations importantes et positives, il est clairement ressorti au cours des entrevues et des revues de programme de site que la majorité des employés ne sont toujours pas au courant d'un grand nombre de leurs responsabilités reliées à la sécurité, et qu'un effort durable est nécessaire pour améliorer les niveaux de sensibilisation à la sécurité.

Au total, 56 séances de sensibilisation à la sécurité ont été offertes dans la RCN en 2009, auxquelles 1 029 employés ont participé. À l'inverse, la vérification n'a trouvé aucune preuve d'actions de sensibilisation similaires offertes aux employés des régions visitées, même si les ASR ont affirmé avoir offert des séances brèves de 5 à 10 minutes aux nouveaux employés. En novembre 2009, l'ASM a distribué du matériel de sensibilisation à la sécurité aux ASR avec la directive qu'il pouvait être personnalisé pour être présenté dans chaque région. Les ASR ont indiqué ne pas avoir suffisamment de temps pour le personnaliser et le présenter aux sessions de formation du personnel des régions. En outre, bien que les nouveaux employés reçoivent une brève introduction à la sécurité dans le cadre du programme d'orientation d'AINC, un examen de la documentation de ces sessions a révélé que seul un aperçu de la classification de documents et des procédures de catégorisation était donné. Ainsi, la formation de la sensibilisation à la sécurité des nouveaux employés est incomplète et insuffisante.

Finalement, la vérification a révélé que la participation aux séances de sensibilisation n'est pas obligatoire; ainsi, il n'y a aucun mécanisme en place pour s'assurer que les employés reçoivent une formation suffisante sur la sensibilisation à la sécurité, et ce, sur une base régulière ou continue.

Recommandation :

7. L'ASM devrait élaborer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements et de la sécurité dans les exigences de passation de marché.

6.2.2 Protection des renseignements

Les procédures et les politiques de protection des renseignements ne sont pas mises en œuvre de manière uniforme dans tout le Ministère, et la sensibilisation des employés aux exigences relatives à la protection des renseignements est habituellement faible.

Observations clés de la vérification de 2005

Un des énoncés clé de la PSG exige que la protection des renseignements, des actifs et des services ne soit pas compromise. L'ASM a formulé des mesures et des processus de sécurité dans le CGS et dans le Guide de la sécurité pour la désignation et la classication (GSDC) afin de s'assurer de bien protéger les renseignements. Cependant, ces politiques et procédures ne sont pas mises en œuvre de manière uniforme dans tout le Ministère en raison de documents  d'orientation fragmentés, incomplets et insuffisamment normatifs; d'une faible sensibilisation à la sécurité des employés et d'une supervision insuffisante de l'ASM.

Les documents d'orientation sont fragmentés et incomplets, et les procédures et politiques de protection des renseignements sont éparpillées à travers le CGS, le GSDC et une affiche sommaire de deux pages, ainsi que dans d'autres documents de procédures et de politiques sur la sécurité du gouvernement du Canada. Des portions du CGS concernant la protection des renseignements sont incomplètes et font référence à d'autres politiques et procédures, ce qui ajoute une complexité supplémentaire aux utilisateurs qui ne sont pas familiers avec leurs obligations en matière de sécurité. Par exemple, l'affiche du GSDC à laquelle les employés font le plus référence indique que les renseignements PROTÉGÉ B, dans les zones opérationnelles, doivent être conservés dans un coffre de sécurité approuvée muni d'un cadenas à combinaison. Aucune description n'est fournie pour définir en quoi consiste un coffre de sécurité approuvé ou un cadenas à combinaison. Le CGS est aussi incomplet dans ce domaine, car il comprend seulement un signet qui indique qu'une annexe sur la sécurité des renseignements sera insérée ultérieurement. La vérification a révélé que la majorité des ASR n'étaient pas au courant de la définition exacte d'un coffre de sécurité approuvé ou un cadenas à combinaison et elle a révélé que des coffres de sécurité inappropriés étaient utilisés dans toutes les régions et le secteur visités.

Une mauvaise observation des politiques de bureau propre représentait aussi un problème dans toutes les régions et le secteur visités. Des renseignements PROTÉGÉ A et PROTÉGÉ B étaient habituellement trouvés sans protection sur des bureaux vacants ou sans surveillance, dans des rangements non verrouillés ou dans des boîtes laissées sur le plancher de zones publiques et opérationnelles. Dans l'un des sites visités, des documents SECRET ont été retrouvés sur des tablettes, dans des armoires non verrouillées, temporairement stockées dans les allées, dans des zones opérationnelles et sur des bureaux sans surveillance. Dans deux régions, des dossiers de RH d'employés (PROTEGÉ A et PROTÉGÉ B) étaient rangés dans des armoires situées dans des zones ou plusieurs personnes circulent. Même si ce type d'armoires utilisées étaient appropriées, elles ont été laissées déverrouillées et sans surveillance pendant la journée, permettant à n'importe qui d'y avoir facilement accès et sans être vu. Dans les deux cas, les ASR et les gestionnaires n'étaient pas au courant que ces endroits d'entreposage étaient inappropriés.

Aucune norme n'est indiquée dans le CGS ou ailleurs sur la manière de transporter, de transmettre ou de détruire des renseignements importants, et on a observé un manque généralisé de sensibilisation chez les employés. Des déchiqueteuses, des contenants pour déchiquetage par des services externes ou des procédures d'aliénation/élimination inappropriés étaient observés dans tous les lieux visités et les ASR n'étaient pas au courant de ce problème de non-conformité.

La vérification a aussi révélé qu'il y avait habituellement une mauvaise pratique dans la gestion du contrôle des clés et des combinaisons dans les régions et le secteur visités. Aucun dossier sur les changements de clés et de combinaisons des coffres de sécurité n'était conservé dans les sites visités, et seulement un site a signalé avoir changé les clés et les combinaisons de manière appropriée tel que requis. Finalement, nous avons relevé que les personnes connaissant les combinaisons ou qui avaient des clés des coffres de sécurité avaient été correctement contrôlées et avaient été autorisées à avoir accès à ces renseignements.

Aucune recommandation précise n'est fournie pour les éléments de cette section, car ils sont abordés dans les recommandations 1 à 7.

6.2.3 Sécurité physique – protection des employés et des actifs

Les contrôles de sécurité physique sont habituellement adéquats dans toutes les régions et le secteur compris dans la portée de notre vérification.

Observations clés de la vérification de 2005

La PSG définit les exigences de base en matière de sécurité physique afin de contrer les menaces aux employés du gouvernement, aux actifs et à la prestation de services et de fournir une protection constante et uniforme au gouvernement du Canada. L'équipe de vérification a effectué des revues de programme dans chaque région et dans le secteur visités afin d'évaluer la conformité aux normes. Bien que les pratiques de sécurité physique varient d'une région à l'autre, globalement, la vérification a révélé que des contrôles de sécurité physique généralement adéquats étaient en place.

Dans tous les sites visités, les employés se sentaient en sécurité, les mesures d'urgence étaient définies et appliquées et des procédures de zonage et des contrôles d'accès adéquats étaient habituellement établis, avec quelques exceptions. Même si des pratiques ou des contrôles non conformes ont été observés dans toutes les régions visitées, aucun n'indiquait un problème systémique. Les exceptions étaient habituellement uniques et elles étaient le résultat d'employés qui contournaient les procédures et les politiques en place, comme le fait de ne pas porter les cartes d'identité de manière visibles, l'entreposage inapproprié des clés des coffres de sécurité et des portes de zones d'accès contrôlé laissées ouvertes ou déverrouillées. Ces infractions indiquaient davantage la faiblesse du programme de sensibilisation à la sécurité et un manque de supervision de la part des ASR, plutôt que des procédures ou des politiques inadéquates.

Toutes les régions visitées avaient mené des EMR récemment dans le cadre du projet de Certificat sécurisé de statut indien (CSSI), qui couvre les principaux bureaux de chaque région. Par contre, les EMR n'étaient pas effectuées pour tous les actifs et toutes les opérations des sites visités, ainsi, le personnel de l'ASM n'était pas en mesure d'évaluer la pertinence des protections de sécurité mises en œuvre. Un examen de toutes les EMR disponibles a révélé que les EMR n'étaient pas disponibles pour près de la moitié des immeubles d'AINC. Tel qu'il est indiqué dans le CGS, les EMR doivent être menées pour tous les actifs et toutes les opérations et mises à jour annuellement. Les normes de sécurité du gouvernement exigent que les ERM soient réalisées ou mises à jour pour tous les actifs et les opérations au moins une fois tous les cinq ans.

Une recommandation spécifique n'est pas donnée pour les observations identifiées dans cette section, car ces observations sont indirectement abordées dans la recommandation 5 (prioriser la réalisation des EMR) et la recommandation 7 (améliorer le programme de sensibilisation à la sécurité).

6.2.4 Vérification de sécurité du personnel

Notre vérification a révélé que la vérification de sécurité des employés est effectuée de manière uniforme avant le commencement des tâches. Par contre, les ASR ne donnent pas de séances d'information sur la sécurité aux employés une fois les autorisations de sécurité accordées ou quand leurs tâches changent.

Observations clés de la vérification de 2005

La PSG exige qu'une vérification de sécurité au niveau approprié soit effectuée pour toutes les personnes qui ont accès aux renseignements et aux actifs avant le commencement de leurs tâches. Ce processus demande habituellement la vérification des références, des qualifications, d'un éventuel dossier criminel et, le cas échéant, de crédit. À AINC, la vérification de sécurité des employés et des entrepreneurs est centralisée au niveau de la DSSST. Les ASR ont la responsabilité de soumettre les demandes de vérification de sécurité à la DSSST et la coordination de collecte de renseignements à l'échelle régionale.

L'équipe de vérification a été avisée par le personnel de sécurité que, dans le passé, certaines personnes avaient commencé leurs tâches sans avoir fait l'objet d'une vérification appropriée. En 2009, l'ASM a mis en œuvre un processus exigeant que la vérification de sécurité soit en place avant qu'une lettre d'offre soit transmise. Dans le cadre de ce processus, le service des RH a obtenu un accès au système de vérification de sécurité afin de s'assurer que les autorisations de sécurité ont été accordées avant d'émettre les lettres d'offre. La vérification a permis de réaliser que ce nouveau processus fonctionnait efficacement.

Le deuxième élément de la vérification consistait à savoir si les niveaux de sécurité des postes désignés étaient appropriés pra rapport à la nature du travail et des renseignements manipulés. Globalement, les niveaux de sécurité étaient appropriés. Par contre, à l'un des sites visités, à de multiples occasions nous avons observé que le niveau désigné de sécurité des postes était insuffisant par rapport à la nature des renseignements et des actifs exigeants une protection. Dans ces cas-là, le personnel en poste était vérifié en vertu d'un niveau de sécurité approprié plus élevé ou les gestionnaires étaient au courant du manquement et le processus d'obtention de l'autorisation appropriée pour l'employé était en cours.

Le troisième élément évalué consistait à déterminer si les ASR donnaient des séances d'information sur la sécurité aux employés au moment où ces derniers recevaient leur autorisation de sécurité. On exige que l'employé et le professionnel de la sécurité signent tous les deux les formulaires d'autorisation de sécurité afin de confirmer qu'une séance d'information a été donnée. La vérification a révélé que tous les formulaires d'information étaient correctement signés; par contre, les entrevues et les revues de programme des sites indiquent que de nombreux employés n'avaient pas reçu ces séances d'information officielles et on leur avait simplement demandé de signer le formulaire.

Une recommandation précise n'est pas faite pour les observations identifiées dans cette section, car ces observations sont indirectement abordées dans la recommandation 3 (stratégie pour assurer un investissement suffisant dans le programme de sécurité des régions) et la recommandation 7 (améliorer la sensibilisation à la sécurité).

6.2.5 Sécurité dans la passation de marché

Le processus pour déterminer les exigences en matière de sécurité des contrats à l'AC d'AINC est inadéquat et inefficace.

Observations clés de la vérification de 2005

Notre vérification a révélé que les contrôles dans les quatre régions visitées étaient efficaces pour s'assurer que les LVES étaient réalisées correctement et que les modalités de sécurité des contrats étaient appropriées. Notre vérification ne couvrait qu'un secteur de l'AC et, ainsi, nous ne pouvons pas tirer de conclusion sur la pertinence et l'efficacité des contrôles de tous les secteurs. Dans le secteur visité, nous avons conclu que les gestionnaires de centre de responsabilité (GCR) et les administrateurs du secteur des contrats n'étaient pas formés correctement à l'utilisation des LVES afin de déterminer adéquatement les exigences en matière de sécurité.

On a observé une non-conformité importante dans le secteur visité, où une grande proportion des contrats sont accordés pour des services professionnels. Notre vérification a révélé que 23 des 25 contrats examinés avaient des exigences en matière de sécurité, mais que seulement 3 des 23 contrats étaient accompagnés par des LVES dûment complétées. En outre, seulement 6 des 23 contrats exigeant des modalités de sécurité contenaient des exigences de sécurité appropriées pour le travail effectué.

À ce jour, la DSSST a consacré deux ressources à temps plein et une à temps partiel afin d'examiner les LVES et élaborer des modalités de contrat. La DSSST nous a informé qu'en 2009-2010, seulement 10 % de tous les contrats (400 sur 4 000) passaient par elle. On s'attend à ce que cette charge de travail double ou triple en 2010-2011 si un changement de processus planifié est mis en œuvre afin de s'assurer que toutes les LVES et les exigences de sécurité passent par la DSSST.

Au sein d'AINC, les GCR doivent déterminer si un contrat proposé comporte des exigences de sécurité et remplir une LVES. Les LVES remplies sont habituellement examinées par le personnel de la région et du secteur ou le personnel des contrats pour vérifier si elles sont correctement remplies et suffisamment précises. Les GCR doivent ensuite transmettre les LVES directement à la DSSST pour obtenir son approbation, avant de les envoyer au personnel des contrats. Dans le cadre de ce processus, une grande portion des contrats (principalement les contrats de faible valeur en dollars) qui devraient comporter des modalités de sécurité ne sont pas envoyées de manière proactive à la DSSST par les GCR et ils ne contiennent pas les modalités de sécurité appropriées. Si ce changement de processus planifié est mis en œuvre, les LVES doivent être envoyées directement aux agents de contrats du secteur du DPF avec les demandes de contrat et ensuite transmises à la DSSST pour être examinées et approuvées.

Quand les LVES arrivent à la DSSST, elles sont examinées par l'agent de sécurité qui élabore aussi les modalités de sécurité pour le contrat. Avant d'être renvoyées à l'agent de contrat, toutes les LVES et les modalités de sécurité de contrat sont examinées et autorisées par le chef des Services de sécurité du personnel, des contrats et de la sensibilisation à la sécurité et la DSSST

Malgré une amélioration de la conformité liée à la sécurité, nous croyons que ce nouveau processus restera toujours inadéquat et inefficace. Plus particulièrement, nous croyons que :

Afin d'améliorer l'efficacité des processus de passation de marché, d'autres ministères fédéraux ayant des volumes élevés de contrats ont élaboré des LVES normalisées préremplies accompagnées de clauses contractuelles. Un arbre décisionnel est élaboré afin d'aider les GCR à déterminer si une LVES normalisée et une clause de sécurité peuvent être utilisées et si des commentaires des intervenants en sécurité sont nécessaires. En plus d'améliorer l'efficacité, ce processus peut réduire les erreurs et améliorer la vitesse du processus de passation de marché.

Recommandation :

8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son implication directe dans l'examen des listes de vérification des exigences de sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel de la sécurité de la fonction de passation de marché est requis afin de s'assurer que des agents de contrats qui ont reçu une formation suffisante examinent et approuvent les exigences et les clauses relatives à la sécurité. En outre, une sécurité efficace et complète dans la surveillance de la conformité dans la passation de marché et dans le programme de signalement est requise afin de s'assurer que la conformité est atteinte et maintenue dans tout le Ministère.

6.2.6 Enquêtes administratives

Les enquêtes administratives sont habituellement menées en vertu des exigences de la PSG, même si nous avons noté quelques exceptions.

La tenue d'enquêtes administratives est un élément important de la supervision et de la surveillance de la sécurité et elle sert à déterminer les expositions au risque afin que les protections soient modifiées selon le cas. La vérification a révélé que les enquêtes administratives sont habituellement menées en vertu des exigences de la PSG.

Le mandat de mener des enquêtes administratives complexes à la DSSST est accordé à des enquêteurs tiers qualifiés et ces enquêtes sont menées en vertu des exigences de la PSG. Les enquêtes moins complexes et courantes sont menées par l'ASM et le personnel régional, et la vérification a révélé qu'elles n'étaient pas toujours menées en respectant les exigences de la PSG. Bien que le personnel de l'ASM soit suffisamment équipé pour mener ce genre d'enquête, ce ne sont pas tous les ASR qui sont formés adéquatement pour le faire. Ainsi, ce ne sont pas tous les ASR qui conservent les dossiers requis des enquêtes menées ou qui fournissent des rapports complets à l'ASM sur les enquêtes. En outre, nous avons observé que des incidents « mineurs » (vol d'objets personnels, visiteurs escortés sans carte de visiteur) n'étaient pas signalés à l'occasion par les employés. Une plus grande sensibilisation aux pratiques de sécurité est requise chez les employés afin de s'assurer que tous les incidents de sécurité sont signalés pour être en mesure de faire une enquête adéquate sur ces incidents.

Observations clés de la vérification de 2005

Les questions relatives aux enquêtes administratives seront abordées lors de programmes de formation améliorés pour les ASR; cela sera possible si un investissement suffisant pour la sécurité est fait dans les régions (recommandation 3).

6.3 Progrès réalisé en ce qui concerne les recommandations de la vérification de 2005

Un progrès constant a été réalisé au cours des dernières années en ce qui concerne les recommandations de la vérification du programme de sécurité de 2005 ainsi que l'amélioration, la portée et l'efficacité des activités de sécurité menées par l'AC; par contre, le programme présente toujours des lacunes importantes. Parmi les faiblesses du programme, on retrouve des rôles et des responsabilités qui ne sont pas clairs pour les intervenants en sécurité et les gestionnaires de secteur, de faibles niveaux de sensibilisation à la sécurité chez les employés régionaux, des contrôles de protection des renseignements inadéquats, une sécurité inadéquate et inefficace dans les processus de passation de marché et une surveillance et une supervision insuffisantes des programmes de sécurité régionaux par l'ASM.

Voici les détails des mesures prises pour aborder les recommandations de la vérification de 2005.

Recommandation de 2005 :

1. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, affecte/mette en œuvre les rôles et responsabilités fonctionnels et opérationnels reliés à tous les secteurs de la sécurité, notamment, mais sans s'y limiter : la sécurité physique, la sécurité des renseignements et des actifs, la sécurité du personnel, la sécurité des TI, la sécurité des communications, la sensibilisation et la formation. En outre, il doit s'assurer que tout le personnel qui joue un rôle, qui exerce une responsabilité en matière de sécurité recoive les outils et la formation requise. Pour terminer, il doit s'assurer qu'un cadre officiel soit mis en œuvre afin de renforcer les mécanismes de communication entre les partenaires régionaux et l'AC nationale.

Progrès à ce jour :

AINC a investi considérablement dans les ressources de la fonction de sécurité, en nommant un ASM à temps plein (l'ASM devait antérieurement remplir des rôles multiples en plus de ses tâches reliées à la sécurité) et en affectant des ressources à la sécurité physique, à la sécurité du personnel, à la sécurité dans la passation de marché et aux fonctions de sensibilisation à la sécurité. L'ASM a demandé et reçu l'approbation du SM concernant le CGS, un document complet qui définit les rôles et responsabilités fonctionnels et opérationnels reliés à tous les secteurs de la sécurité, ainsi que le document qui définit le mandat de l'ASR qui souligne les rôles et responsabilités de l'ASR dans le cadre du programme de sécurité. L'ASM a fait des progrès importants en abordant la recommandation relative à l'examen, la définition et l'affectation et la mise en œuvre des rôles et responsabilités fonctionnels et opérationnels liés à tous les secteurs de la sécurité, même s'il reste du travail à faire afin de s'assurer que les rôles et responsabilités de la politique sont clairs.

La formation en sécurité était considérée comme un problème en 2005, et depuis, l'ASM a mis en place une session de formation d'une semaine à l'AC afin de former les ASR à leurs rôles et responsabilités. L'ASM a aussi mis en place des cours de la GRC sur la sécurité, principalement pour la sécurité physique, offerts sans frais à tous les intervenants en matière de sécurité. Malgré ce progrès, la formation en sécurité demeure insuffisante pour les ASR et le personnel de l'ASM. Nous avons observé qu'une majorité d'ASR était insuffisamment formée pour accomplir les tâches reliées à la sécurité et nous avons déterminé que le budget de formation pour le personnel de l'ASMA était inadéquat. Plus de travail doit être accompli afin de s'assurer que les ASR et le personnel de sécurité sont correctement formés et que leurs connaissances en matière de sécurité sont à jour.

La communication au sein de l'organisation de la sécurité s'est considérablement améliorée depuis 2005. En 2008, l'ASM a instauré des téléconférences mensuelles officielles avec les ASR et toutes les parties ont noté que les communications entre la DSSST et les régions s'étaient améliorées de manière considérable. Toutes les régions visitées ont indiqué que le personnel de l'ASM répondait rapidement à leurs demandes. Par contre, il reste du travail à faire pour officialiser et améliorer la présentation à la DSSST par les régions des rapports sur les activités et les incidents de sécurité.

Afin d'améliorer la communication entre les fonctions de sécurité, l'ASM à mis sur pied le comité de sécurité ministériel. Ce comité alimente un forum de communication officiel pour toutes les fonctions de sécurité qui sert à améliorer les communications et la coordination des activités de sécurité entre l'ASM, les TI et les fonctions de PCA.

Recommandation de 2005 :

2. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, mette en œuvre un cadre de planification et une évaluation officiels du risque comprenant : une évaluation du risque du programme de sécurité ministériel, une évaluation des EMR physiques et des technologies de l'information, un plan stratégique pluriannuel, un plan de sécurité opérationnel annuel comprenant des jalons, un processus de surveillance des livrables en matière de sécurité et une mise à jour/publication des politiques de sécurité ministérielle. En outre, il doit examiner et réviser le PCA.

Progrès à ce jour :

Aucune évaluation officielle du risque du programme de sécurité ministériel n'a été entreprise à ce jour. Les ERM ont été menées pour certaines installations, mais pas pour toutes et les résultats n'ont pas été regroupé, analysé ou suivi par l'ASM au niveau du Ministère.

La planification de la sécurité demeure un processus largement non officiel et aucun plan stratégique pluriannuel n'a été élaboré. Aucun plan opérationnel annuel de sécurité intégrant les activités ministérielles et régionales et comprenant des jalons n'est en place, même si l'ASM présente des rapports d'activités avec des jalons à la DSSST dans le cadre du processus d'examen trimestriel. Du travail reste à faire pour intégrer les activités régionales de sécurité, et l'ASM s'est engagé à présenter un plan stratégique en 2010-2011. L'ASM a indiqué que les résultats de notre vérification serviront à déterminer les écarts qui seront abordés dans le plan.

La surveillance et l'examen du programme de sécurité demeurent des processus officieux et incomplets. Bien que certains mécanismes de surveillance et l'examen des livrables en matière de sécurité ont été définis dans le CGS, ils n'ont pas été mis en œuvre et ne sont pas complets. La surveillance actuelle comprend seulement l'évaluation des activités mais n'évalue pas l'efficacité du programme de sécurité. D'autres efforts sont requis afin d'améliorer le régime de supervision actuel pour inclure les mesures de l'efficacité du programme de sécurité.

Même si le programme de PCA a été exclu de la portée de notre vérification, nous avons observé que le programme de PCA ministériel était réalisé et que chaque région visitée avait récemment mis à jour son programme de PCA dans le cadre de l'exercice concernant le H1N1.

Recommandation de 2005 :

3. Nous recommandons que l'ASM, en consultation avec les autres secteurs du Ministère à l'AC et au sein des régions, examine, définisse, mette en œuvre et surveille les procédures de sécurité reliées à : la sécurité physique, la sécurité des TI, la sécurité des contrats et autres le cas échéant ou selon les exigences publiées par le CT. En outre, il doit examiner, réviser/élaborer, mettre en œuvre et surveiller un programme d'éducation/sensibilisation afin d'informer les employés et la haute direction de ces exigences et des autres procédures de sécurité, ainsi que leurs rôles et responsabilités.

Progrès à ce jour :

Un progrès considérable a été réalisé dans l'élaboration de procédures afin de mettre en œuvre le programme de sécurité. L'ASM a inclus des procédures à de nombreuses fonctions de sécurité et nous avons noté une amélioration depuis 2005 dans plusieurs domaines, particulièrement dans la vérification de sécurité du personnel. Des efforts ont également été fait dans l'amélioration de la sécurité dans la passation de marché, même si des problèmes importants demeurent. Les procédures de sécurité qui demandent un développement supplémentaire comprennent, entre autre, le verrouillage en fin de journée (bureau propre), le programme de sensibilisation à la sécurité, la protection des renseignements, la tenue de ratissage/inspection de sécurité et la mise en place et le maintien de zones de sécurité physiques.

Certaines améliorations ont été réalisées en ce qui a trait à la sensibilisation à la sécurité à l'AC, même si la sensibilisation globale demeure insuffisante dans les régions. L'ASM a multiplié les activités de sensibilisation et il a mené de nombreuses sessions de sensibilisation dans la RCN. Ces nombreuses actions n'ont pas été reprise dans les régions et un travail considérable reste à faire pour concevoir et mettre en œuvre un programme de sensibilisation à la sécurité complet et officiel.

 

 

7. Recommandations

Voici les recommandations tirées de notre vérification :

  1. L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les responsabilités et les rôles existants en matière de sécurité qui incombent à l'ASM, aux SMA, aux DGR, et de les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés.
  2. L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée, directives sur les vérifications à mener lors d'un ratissage de sécurité, matériel de formation pour les activités de sensibilisation à la sécurité; directives sur la manière d'établir et de maintenir des zones de sécurité physique).
  3. Les SMA responsables des activités et du personnel régional devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité.
  4. AINC devrait penser à nommer des agents de sécurité de secteur dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
  5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire les exigences minimales du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal.
  6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des ERM, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun et effectuer des visites annuelles sur le terrain afin de soutenir les intervenants en sécurité des régions et des secteurs).
  7. L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que les mesures de sécurité des passations de marché.
  8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences relatives à la sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel de la sécurité dans le processus de passation de marché est requis afin de s'assurer que des agents des contrats ayant reçu une formation suffisante examinent et approuvent les exigences et les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la conformité dans le processus de passation de marché et dans l'élaboration des programmes est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère.
 

 

8. Plan d'action de gestion

Recommandations Réponse de la direction/mesures Gestionnaire responsable (titre) Date prévue de mise en œuvre
1. L'ASM devrait mettre à jour la politique de sécurité ministérielle afin de clarifier les rôles et responsabilités existants qui incombent à l'ASM, aux SMA, aux DGR en matière de sécurité, et les communiquer aux intervenants en sécurité, au personnel chargé des contrats, aux cadres hiérarchiques et aux employés. La DSSST :
  • Élaborera, en consultation avec d'autres ministères fédéraux, un Énoncé des rôles et responsabilités qui devra être intégré à la politique de sécurité du Ministère.
Agent de sécurité du Ministère (ASM) Décembre 2010
  • Présentera la version provisoire aux SMA, aux DGR et aux intervenants en sécurité aux fins d'examen et de rétroaction.
Décembre 2010
  • Mettra en œuvre l'Énoncé des rôles et des responsabilités.
Juin 2011
2. L'ASM devrait développer davantage les procédures et les directives et les diffuser afin de soutenir la mise en œuvre du programme de sécurité ministérielle dans les régions et les secteurs (p. ex. procédures de verrouillage en fin de journée; directives sur les vérifications à mener lors d'un ratissage de sécurité; matériel de formation pour les activités de sensibilisation à la sécurité; directives sur la manière d'établir et de maintenir des zones de sécurité physique) La DSSST
  • examinera, déterminera et priorisera les écarts dans les procédures existantes.
Agent de sécurité du Ministère (ASM) Mars 2011
En attendant les ressources financières et de RH, l'expertise et les normes de la nouvelle PSG, la DSSST :
  • mettra à jour les procédures existantes et en élaborera des nouvelles pour les inclure dans le cadre de gestion de la sécurité;
Mars 2012
  • communiquera les procédures mises à jour à ceux et celles qui en ont besoin.
Mars 2012
3. Les SMA responsables des activités/opérations et du personnel à l'échelle régionale devraient travailler avec l'ASM afin de s'assurer qu'une attention et des ressources suffisantes sont consacrées à la sécurité dans les régions, et afin de s'assurer également que les ASR ont suffisamment de temps pour effectuer leurs tâches liées à la sécurité. Dans le cadre de la recommandation 1, l'ASM devra obtenir l'appui des SMA responsables des activités/opérations et du personnel à l'échelle régionale :
  • Afin de s'assurer de leur engagement à l'égard du programme de sécurité dans leur région respective.
  • Afin de recentrer les responsabilités des agents de sécurité régionaux (ASR) pour s'assurer qu'ils ont suffisamment de temps à accorder à leurs tâches liées à la sécurité.
  • Afin de s'assurer que les ASR reçoivent une formation obligatoire concernant leurs tâches reliées à la sécurité.
  • Afin de s'assurer que le programme de sécurité est effectif dans leur région respective.
Agent de sécurité du Ministère (ASM), en collaboration avec les SMA responsables des activités, des opérations et du personnel à l'échelle régionale

(SMA OAN, SMA ASR)
Mars 2011
4. AINC devrait penser à nommer des agents de sécurité dans tous les secteurs afin de soutenir la mise en œuvre du programme de sécurité, un rôle semblable à celui d'ASR. Les responsabilités liées à ce rôle et le degré d'effort connexe devraient être présentés à la haute direction d'AINC lors de la prochaine mise à jour de la politique de sécurité ministérielle.
  • Définir le rôle et les responsabilités de l'agent de sécurité de secteur en vertu de la recommandation 1 et déterminer le niveau d'effort requis associé au poste.
ASM, en collaboration avec les gestionnaires de secteur Décembre 2010
  • L'ASM doit obtenir l'approbation de la haute direction pour créer le poste d'agent de sécurité de secteur.
Mars 2011
5. L'ASM devrait élaborer un plan stratégique de sécurité ministérielle qui souligne les objectifs et les priorités en matière de sécurité ministérielle, les besoins en matière de ressources, les échéances pour satisfaire aux exigences minimales de sécurité du gouvernement et les plans pour mettre à jour toutes les évaluations des menaces et des risques (EMR) au cours d'un cycle quinquenal. L'ASM élaborera un plan ministériel triennal de sécurité selon la Politique de Sécurité du Gouvernement :
  • Afin d'inclure les stratégies de sécurité ministérielles, les objectifs, les exigences en matière de ressources, les priorités et les échéances.
  • Afin d'inclure une priorisation des ERM à l'échelle du pays dans un cycle quinquenal.
Agent de sécurité du Ministère (ASM) Août 2010
6. L'ASM devrait améliorer la surveillance de l'efficacité du programme de sécurité dans les régions et les secteurs dans la perspective de son amélioration continue (p. ex. suivre la mise en œuvre des recommandations des EMR, effectuer des vérifications aléatoires de la sécurité dans les contrôles de passation de marché, faire le suivi des problèmes soulevés lors des ratissages de sécurité afin de s'assurer de leur résolution en temps opportun, et effectuer des visites annuelles sur place afin de soutenir les intervenants en sécurité dans les régions et les secteurs).
  • La mise en œuvre de la recommandation no 3 comprendra des exigences précises.
  • L'ASM doit demander à ce que l'effort régional dépasse la collecte de données statistiques additionnelles par la RCN.
    • Remarque : Depuis octobre 2009, à la demande de l'ASM, les régions donnent des données statistiques sur les rapports d'incident, les ratissages et les EMR qui sont compilés aux fins d'analyse des tendances.
   
  • Les ASR doivent aborder les risques connus et les signaler à l'ASM.
ASR Avril 2011
  • L'ASM doit mener des analyses de tendance à partir de ces renseignements obtenus auprès de toutes les régions.
ASM Mai 2011
  • L'ASM doit faire des visites annuelles des secteurs et des régions.
ASM Mars 2011
  • L'ASM doit présenter un rapport sur le rendement au CGSRHMT.
ASM Juin 2011
7. L'ASM devrait développer davantage le programme de sensibilisation à la sécurité afin d'étendre sa portée au personnel régional et d'améliorer la protection des renseignements ainsi que les mesures de sécurité des passations de marché. DSSST :
  • Doit doter le poste de sensibilisation et de formation sur la sécurité.
Agent de sécurité du Ministère (ASM) Mars 2011
  • Doit examiner le matériel de sensibilisation existant.
Juin 2011
  • Doit déterminer les écarts avec le programme de sensibilisation en place.
Juin 2011
  • En synchronisation avec les mesures décrites au point 3, doit examiner les présentations de sensibilisation, y compris les notes du présentateur à l'usage des ASR.
Juin 2011
  • Doit obtenir des rétroactions de la part des ASR aux fins d'analyse et d'amélioration.
Juin 2011
  • Doit s'assurer d'apporter davantage d'attention sur la classification, la manipulation et l'élimination des informations, ainsi que sur les exigences relatives à la sécurité lors de la passation de marché (remplir les LVES).
Décembre 2011
  • Doit présenter une session de formation en ligne sur la sensibilisation à la sécurité.
Décembre 2011
8. L'ASM devrait porter une plus grande attention à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché et réduire son intervention dans l'examen des listes de vérification des exigences relatives à la sécurité et des clauses contractuelles. Afin de réaliser toutes ces recommandations, un examen fonctionnel et organisationnel des mesures de sécurité de la fonction de passation de marché est requis afin de s'assurer que les agents de contrats ont reçu une formation suffisante et examinent et approuvent les exigences ainsi que les clauses relatives à la sécurité. En outre, une surveillance efficace et complète de la sécurité lors de passation de marché et des rapports établis est requise afin de s'assurer que le niveau de conformité est atteint et maintenu dans tout le Ministère. L'ASM doit consulter le dirigeant principal des finances (DPF) afin de :
  • Réviser les procédures existantes et en développer des nouvelles pour compléter et examiner les LVES et inclure les clauses de sécurité dans les contrats.
L'ASM en collaboration avec le DPF Septembre 2010
 
  • Élaborer des modules de formation pour les GCR et les administrateurs des contrats pour la gestion du processus des LVES.
  • Élaborer des modules de formation pour les agents de sécurité responsables de la conformité des contrats avec les exigences de sécurité des contrats.

L'ASM :

  • Doit augmenter l'attention portée à la surveillance de l'efficacité de la sécurité dans les processus de passation de marché

DPF

  • Doit déterminer des agents de contrats pour examiner et traiter les formulaires des LVES et faire la liaison avec la DSSST.

Remarque : Les listes de vérification et les clauses de sécurité comprennent cette activité partagée (ASM-DPF) dans l'Énoncé des rôles et des responsabilités en vertu de la recommandation no 1.

Mars 2011
 
 

 

Annexe A : Critères de vérification

Même si la vérification comporte trois objectifs, l'objectif 1 représente principalement l'objectif global de la vérification, tandis que les objectifs 2 et 3 font partie de la gestion du programme de sécurité. Les critères de vérification sont tirés de la PSG du CT ou de la PSG (juillet 2009) et de ses normes et directives connexes; particulièrement la DGSM – Annexe C, Objectifs en matière de contrôles de sécurité (juillet 2009).

Critères de vérification Référence
Cadre de gestion de la sécurité
Un programme de gestion de la sécurité est en place et comporte des responsabilités, des rôles et des objectifs pertinents et clairement définis. PSG 6.1.1
L'ASM et l'organisation de la sécurité doivent s'assurer que les gestionnaires à tous les échelons intègrent la sécurité et la gestion de l'identité dans les plans, les programmes, les activités et les services. PSG 6.1.4
Un programme efficace de sensibilisation à la sécurité est en place. DGSM, Annexe C
Le programme de gestion du risque du Ministère comprend des processus afin de déterminer et d'évaluer officiellement les risques liés à la sécurité et de sélectionner les protections appropriées. NSROA 9.1
La gestion des risques liés à la sécurité est intégrée dans les pratiques ministérielles afin de s'adapter systématiquement aux menaces et aux besoins changeants. PSG 6.1.7
Du personnel suffisant et approprié est affecté afin de soutenir la mise en œuvre d'un programme de gestion de la sécurité efficace, à l'échelle régionale et nationale. DGSM, Annexe C
Des enquêtes administratives liées aux incidents de sécurité sont menées en vertu des exigences de la PSG. PSG 6.1.7
DGSM, Annexe C
NSROA 16
Le programme de gestion de la sécurité est surveillé et évalué afin de comparer les réalisations aux résultats attendus. PSG 6.1.1
DGSM, Annexe C
Sécurité du personnel
Une vérification de sécurité est menée sur toutes les personnes qui ont accès à des renseignements et aux actifs du gouvernement avant le début de leur fonction. PSG 6.1.5
Sécurité dans la passation de marché
Les exigences de sécurité pour les entrepreneurs sont déterminées, documentées, abordées et surveillées dans le processus d'approvisionnement. DGSM, Annexe C
Sécurité physique
Des contrôles de sécurité physique appropriés sont en place dans les installations afin d'assurer la protection du personnel, des renseignements et des actifs. DGSM, Annexe C
Protection des renseignements
Les renseignements sont protégés contre un accès, une utilisation, une diffusion, une modification, une aliénation/élimination, une transmission ou une destruction non autorisés tout au long du cycle de vie. DGSM, Annexe C
Les renseignements sont déterminés et classés selon le degré de dommage auquel on pourrait s'attendre si la confidentialité, la disponibilité ou l'intégrité est compromise. DGSM, Annexe C
Des mesures de sécurité appropriées sont en place afin d'assurer l'aliénation/élimination autorisée des renseignements. DGSM, Annexe C
 

Sigles reliés aux références du CT
PSG : Politique sur la sécurité du gouvernement (PSG), diffusée en juillet 2009
DGSM : Directive sur la gestion de la sécurité ministérielle, diffusée en juillet 2009.
NOSM : Norme opérationnelle sur la sécurité matérielle, 2004
NSGM : Norme de sécurité et de gestion des marchés, 1996
NSROA : Norme de sécurité relative à l'organisation et l'administration, 1995
NSP : Norme sur la sécurité du personnel

 
 
Date de modification :