Audit interne de la sécurité matérielle

Mars 2017

  1. Résumé
  2. Rapport détaillé
  3. Observations, recommandations et plan d’action de la direction
  4. Annexe

1. Résumé

1.1. Objectif

L’objectif de cet audit est de garantir que l’environnement de sécurité matérielle des IRSC protège le personnel, les biens et l’infrastructure physique de l’organisation contre les menaces, en conformité avec la Politique sur la sécurité du gouvernement et d’autres politiques pertinentes du Conseil du Trésor.

1.2. Portée de l'audit

L’audit a vérifié si les IRSC avaient établi les éléments requis d’un programme de sécurité ministériel pour la sécurité matérielle, le filtrage de sécurité du personnel et la planification de la continuité des activités et du rétablissement après une catastrophe, en conformité avec la Politique sur la sécurité du gouvernement, ce qui couvre :

Les éléments suivants ont été exclus de l’audit :

1.3. Opinion générale des auditeurs

La sécurité matérielle présente des problèmes modestes. Certaines faiblesses ont été relevées quant aux mesures de contrôle, mais le risque couru est limité puisque la probabilité ou la conséquence du risque est faible.

1.4. Résumé des points forts

Les points forts suivants ont été notés par rapport à la sécurité matérielle :

1.5. Résumé des possibilités d'amélioration

Les aspects suivants concernant  la sécurité matérielle,  la continuité des activités et le rétablissement après une catastrophe requièrent l’attention de la direction. Ces aspects sont présentés parallèlement aux mesures à prendre par la direction pour gérer les risques connexes. Un examen plus approfondi des observations, des recommandations et du plan d’action de la direction figure dans le Rapport détaillé qui suit le présent résumé.

Observation 1 :

Les IRSC pourraient être incapables de poursuivre des opérations essentielles suite à une interruption en raison de lacunes dans la planification de la continuité des activités et du rétablissement après une catastrophe.

Réponse 1 :

Le plan de continuité des activités (PCA) actuel a été approuvé en octobre 2011 par le Comité de la haute direction (CHD). L’agent de sécurité ministériel (ASM) consulte actuellement la direction pour déterminer les besoins actuels, examiner les hypothèses initiales pour le PCA-PRA (plan de reprise des activités) et mettre à jour le PCA-PRA. Des scénarios de catastrophe (PCA) seront élaborés et des exercices de simulation seront planifiés, exécutés et documentés afin de maintenir la vigilance et garantir l’utilisation optimale des ressources en cas de crise.

Observation 2 :

La formation obligatoire sur la sensibilisation à la sécurité n’est pas toujours complétée par les nouveaux employés, et il existe des lacunes dans les connaissances des employés actuels en matière de sécurité matérielle.

Réponse 2 :

L’équipe de la sécurité se chargera de mettre à jour les lignes directrices concernant la manipulation de l’information afin d’y ajouter des directives et des précisions. Les besoins en rangement seront examinés et allégés avec de la formation, et l’application d’une politique en matière de rangement du bureau sera encouragée. L’équipe de sécurité conçoit actuellement un programme de sensibilisation à la sécurité et une formation en ligne sur la gestion de l’information pour les IRSC. Nous croyons que le module de formation de l’École de la fonction publique du Canada (EFPC) est trop général et rudimentaire. Nous coordonnerons nos efforts avec l’équipe de la gestion de l’information pour élaborer le contenu de la formation, et avec les ressources humaines pour rendre cette formation obligatoire pour tout le personnel.

Observation 3 :

L’évaluation des risques liés à la sécurité matérielle nécessite une mise à jour, et les mesures à prendre suite aux évaluations antérieures ne font pas l’objet d’un suivi assidu.

Réponse 3 :

Les risques et les menaces identifiés par la dernière évaluation ont été atténués, et nos niveaux de menace et de risque demeurent faibles. L’équipe de la sécurité se livrera à un examen et à une évaluation des risques en matière de sécurité matérielle afin d’identifier les risques nouveaux ou changeants liés à la sécurité du personnel et des biens des IRSC. L’équipe de la sécurité des IRSC surveillera assidûment l’état des risques identifiés ainsi que les mesures correctives à prendre et s’assurera que les risques résiduels sont officiellement acceptés par la direction au moyen de séances d’information et d’avis écrits.

Observation 4 :

Les employés qui manipulent des documents de nature délicate n’ont pas toujours à leur disposition des contenants de rangement approuvés et bénéficieraient de directives supplémentaires sur la classification et la manipulation des documents.

Réponse 4 :

Moins de 1 % de l’information est classifiée SECRET aux IRSC. Les Finances manipulent seulement une ou deux présentations au CT par année pour lesquelles ils disposent un classeur de sécurité. L’Unité des politiques et relations gouvernementales manipule des documents confidentiels du Cabinet et la correspondance ministérielle. L’équipe de la sécurité se chargera de revoir les exigences et de guider le personnel dans les procédures et processus liés à la manipulation des documents SECRET.

Observation 5 :

Les exigences en matière de filtrage de sécurité applicables aux membres du conseil d’administration devraient être clarifiées, documentées et appliquées.

Réponse 5 :

Le secrétariat de la gouvernance reçoit actuellement des conseils et des directives de l’équipe de la sécurité des IRSC concernant le processus de filtrage de sécurité et l’importance de soumettre les membres à ce processus avant le début de leur mandat. Le processus de sélection devrait intégrer le filtrage de sécurité dès le début.

Observation 6 :

L’agent de sécurité ministériel ne relève pas du président ou du Comité de la haute direction au niveau fonctionnel.

Réponse 6 :

Une lettre de nomination de l’ASM par le président des IRSC est actuellement en préparation et sera soumise au président pour signature. Les mises à jour régulières au CHD et au président sur les progrès du Plan de sécurité ministériel, ainsi que les autres mises à jour pertinentes seront fournies une fois par année et lorsque de nouveaux risques seront identifiés.

Observation 7 :

Il n’existe pas de processus général entourant les incidents de sécurité pour garantir que ces incidents soient bien signalés et que les données pertinentes soient recueillies à des fins d’analyse des tendances.

Réponse 7 :

L’équipe de la sécurité des IRSC a déjà mis en place des processus et des procédures de réponse à plusieurs types d’incidents, mais il établira un processus plus officiel. Il est important de noter que les incidents sont très rares.

1.6. Énoncé de conformité

L’audit de la sécurité matérielle est conforme aux Normes relatives à la vérification interne au sein du gouvernement du Canada, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité.

Les auditeurs remercient la direction et le personnel pour leur coopération dans la réalisation de cet audit.

David Peckham
Dirigeant principal de la vérification et directeur général du rendement et de la responsabilisation
Instituts de recherche en santé du Canada

La direction souscrit aux conclusions du présent audit.

Martin Bernier
Agent de sécurité ministériel, dirigeant principal de l’information et directeur général de la gestion de l’information, de la technologie et de la sécurité
Instituts de recherche en santé du Canada

2. Rapport détaillé

2.1. Sécurité matérielle, continuité des activités et rétablissement après une catastrophe

La sécurité matérielle englobe les politiques, procédures et mesures de contrôle établies pour protéger les biens et les employés des préjudices pouvant résulter des menaces et des vulnérabilités dans l’environnement physique. La protection des employés et des biens du gouvernement constitue un des éléments clés de la Politique sur la sécurité du gouvernement, qui établit les exigences gouvernementales à respecter pour appuyer la prestation continue des services aux Canadiens. La planification de la continuité des activités et du rétablissement après une catastrophe permet de déterminer ce qui est nécessaire pour limiter les effets d’une interruption sur les processus essentiels de l’Agence par des mesures d’atténuation des effets et des procédures de rétablissement.

La Politique sur la sécurité du gouvernement et les directives et normes connexes nécessitent une évaluation constante du risque pour pouvoir sélectionner, appliquer, surveiller et maintenir des mesures de contrôle visant à prévenir et à détecter les incidents liés à la sécurité, ainsi qu’à y réagir et à s’en rétablir.

Les services fournis par les IRSC ne sont pas considérés comme essentiels dans le contexte général de la mission du gouvernement du Canada. Les services essentiels se définissent comme les services indispensables à la santé, à la sécurité ou au bien-être économique des Canadiens ou au fonctionnement efficace du gouvernement. Bien que les IRSC ne détiennent pas de grandes quantités d’information sensible, ils recueillent des renseignements personnels et confidentiels appartenant à des chercheurs, des employés et d’autres intervenants. L’emplacement physique des locaux des IRSC, dans un immeuble de propriété privée accessible au public, près du centre de l’appareil gouvernemental, comporte aussi des implications pour la sécurité.

2.2. Risques examinés pendant l'audit

L’audit a permis d’identifier et d’évaluer des risques liés à la sécurité matérielle. Ces risques peuvent se résumer ainsi :

Une attention a aussi été accordée aux risques organisationnels figurant dans le profil de risque organisationnel et aux grandes catégories de risques présentées dans le Guide sur les taxonomies des risques du Conseil du Trésor.

2.3. Méthodologie et critères

L’audit interne de la sécurité matérielle fait partie du Plan de vérification axé sur les risques 2015-2018 approuvé par le conseil d’administration des IRSC.
L’audit a été réalisé conformément à la Politique sur l’audit interne du gouvernement fédéral et aux instruments connexes. Voici les principales techniques d’audit utilisées :

Les contrôles sont réputés adéquats lorsqu’ils sont suffisants pour réduire au minimum les risques de ne pas atteindre les objectifs. Les critères détaillés et les conclusions sont présentés à l’annexe du présent rapport.

L’audit s’est déroulé entre les mois de septembre 2016 et février 2017.

3. Observations, recommandations et plan d’action de la direction

Observation Recommendation Plan d’action de la direction
1. Les IRSC pourraient être incapables de poursuivre des opérations essentielles suite à une interruption en raison des lacunes dans la planification de la continuité des activitésNote en bas de page 2 et du rétablissement après une catastrophe. (Critères 7, 15, 16, 17)

Un examen de la documentation des IRSC relative à la continuité des activités et au rétablissement après une catastrophe a permis de relever plusieurs lacunes qui pourraient empêcher l’Agence de reprendre ses activités, ou de les reprendre rapidement, dans l’éventualité d’un incident. Bien que les services fournis par les IRSC ne soient pas considérés comme essentiels à la mission du gouvernement du Canada, tous les ministères et organismes devraient établir un programme de continuité des activités visant des services autres qu’essentiels.Note en bas de page 3

Le plan actuel comporte des lacunes
Le plan de continuité des activités constitue la principale source de documentation sur la continuité des activités aux IRSC. Basé sur un scénario dans lequel les locaux des IRSC seraient inaccessibles, ce plan est axé sur l’obtention de locaux de remplacement pour permettre à la direction des IRSC de se réunir et de planifier le rétablissement. Les activités opérationnelles ne comportent aucun ordre de priorité puisque le plan ne prévoit pas le rétablissement immédiat des opérations. Les autres documents des IRSC liés à la continuité des activités incluent un plan de continuité des activités en cas de pandémie, un plan de rétablissement après une catastrophe et un rapport des options de récupération de la TI. Les services à rétablir en priorité ne sont pas les mêmes dans ces trois documents, lesquels ne reflètent peut-être pas les priorités opérationnelles actuelles des IRSC.

Il est nécessaire de mieux définir les rôles et les responsabilités pour s’assurer que le programme soit prêt en cas de besoin
Le plan de continuité des activités définit les rôles et les responsabilités d’une équipe de gestion de crise et identifie les titulaires de ces rôles et leurs remplaçants. Les responsabilités de l’équipe sont décrites une fois qu’un incident s’est produit; cependant, le rôle de l’équipe pour ce qui est de créer et d’approuver le plan et de s’assurer qu’il soit prêt n’est pas bien défini.

L’attribution des ressources et des services doit être clarifiée.
Le plan actuel de continuité des activités est axé sur la TI, mais la continuité des services requiert aussi du personnel et des données, en plus des systèmes et de la technologie. La structure de gouvernance devrait tenir compte de ces autres responsabilités.

Les plans de continuité des activités devraient refléter les priorités opérationnelles actuelles, et devraient être testés pour garantir qu’ils demeurent efficaces
Il faudrait développer le plan actuel et y ajouter des éléments clés visant à le clarifier et à en étendre la portée, c’est-à-dire :

  • s’entendre sur les services indispensables à l’Agence en cas d’incident, et les définir clairement;
  • définir tous les éléments nécessaires au soutien des activités désignées indispensables, y compris le personnel, l’information et les systèmes, dans les délais définis par la direction;   
  • s’intégrer à d’autres processus clés comme la planification d’urgence, selon la nature de l’incident;
  • tenir compte de la dépendance à  des tierces parties ou des engagements envers des tierces parties, c’est-à-dire les situations où les IRSC dépendent d’un service, comme le système de paiement commun, et les situations où ils se sont engagés à fournir un service à d’autres organismes, comme le CV commun;
  • établir le calendrier et la méthode de revue/mise à jour ou de renouvellement du plan;  
  • fournir des détails sur la surveillance, y compris sur la fréquence des tests, les types de tests à effectuer et la manière dont les résultats des tests guideront le processus de revue et de mise à jour.

L’ASM et l’équipe de la sécurité sont conscients de ces lacunes et révisent actuellement le plan de continuité des activités. Des options en matière de récupération de la TI sont explorées pour que la direction puisse tenir compte de l’information sur les coûts de récupération dans l’établissement de l’ordre de priorité des services indispensables.

Risques et répercussions
La planification inadéquate de la continuité des activités et du rétablissement après une catastrophe rend les IRSC vulnérables à des interruptions de service inutiles ou prolongées. L’engagement insuffisant de la haute direction pourrait amener l’Agence à se focaliser sur la continuité et le rétablissement de services opérationnels qui ne soutiennent pas directement ses priorités opérationnelles stratégiques, et donner lieu à une mauvaise utilisation des ressources.

1a) Établir, documenter et communiquer la structure de gouvernance pour le Programme de planification de la continuité des activités, en indiquant les rôles, les responsabilités et les obligations redditionnelles associés à chaque élément requis.

1b) Effectuer une analyse des répercussions sur les activités afin de déterminer les services essentiels à la poursuite des activités dans l’éventualité d’une interruption. Faire approuver par la haute direction l’ordre de priorité des activités et le niveau d’activité requis pour chaque service, en tenant compte des coûts associés à la continuité et/ou au rétablissement des services.

1c) Mettre à jour le plan de continuité des activités en fonction des résultats de 1a) et 1b), et s’assurer d’établir et de faire concorder les éléments connexes, y compris le plan de rétablissement après une catastrophe.

1d) Établir et documenter un processus pour tester, revoir et mettre à jour le plan de continuité des activités et ses éléments connexes, en décrivant comment les résultats des tests guideront les versions futures du plan.

1a) à 1d) Responsabilité
Agent de sécurité ministériel

Action 
D’accord
Le PCA actuel a été approuvé en octobre 2011 par le CHD. L’ASM consulte actuellement la direction pour déterminer les besoins actuels, examiner les hypothèses initiales pour le PCA-PRA et mettre à jour le PCA-PRA.

Des scénarios de catastrophe (PCA) seront élaborés et des exercices de simulation seront planifiés, exécutés et documentés afin de maintenir la vigilance et garantir l’utilisation optimale des ressources en cas de crise.

Date d’achèvement prévue
31 mars 2018

2. La formation obligatoire sur la sensibilisation à la sécurité n’est pas toujours complétée par les nouveaux employés, et il existe des lacunes dans les connaissances des employés actuels en matière de sécurité matérielle. (Critère 21)

Les IRSC ont récemment mis à jour leur processus d’accueil et d’intégration pour y inclure une formation obligatoire sur la sensibilisation à la sécurité à l’intention des employés permanents et temporaires. Cette formation est offerte en ligne par l’École de la fonction publique du Canada. Il incombe aux superviseurs de s’assurer que cette formation soit suivie par les nouveaux employés. Durant la période comprise entre novembre 2015 et novembre 2016, les IRSC ont accueilli quatorze nouveaux employés permanents et temporaires, dont seulement deux ont complété la formation.   

Les outils de sensibilisation continue des employés à la sécurité incluent la page Intranet sur la sécurité et les communications organisationnelles sur des activités et des incidents particuliers dans le cadre de la semaine de sensibilisation à la sécurité au gouvernement du Canada, qui a lieu en février de chaque année. En février 2016, il a surtout été question de la sécurité des technologies de l’information, mais la sécurité matérielle a aussi été abordée dans de la documentation et des activités.

[révisé pour des raisons de sécurité]

Durant une inspection effectuée au milieu de la journée, aucun document classifié n’a été aperçu à la vue de tous ; cependant, certains documents contenant des renseignements personnels ou d’autres données sensibles ont été remarqués dans des bureaux et des postes de travail dont les occupants étaient absents.

Un document contenant de l’information sensible sur les employés a aussi été aperçu lors d’une inspection effectuée après les heures de travail. Nous avons remarqué de nombreux documents désignés PROTÉGÉconservés de manière non sécurisée dans des postes de travail jusqu’au lendemain matin, contrairement à ce qui est recommandé dans le document Protection et manipulation de l’informationFootnote 4 des IRSC.

Risques et répercussions
Le personnel des IRSC joue un rôle important à la fois pour leur propre protection et la protection des biens et de l’information de l’Agence. Un manque de sensibilisation à la sécurité matérielle et au rangement adéquat des documents, ou encore un manque de directives détaillées à ce sujet pourrait compromettre la sécurité du personnel et de l’information.

2a) Revoir et mettre à jour le document Protection et manipulation de l’information pour y inclure des directives plus précises sur la manipulation et le rangement des dossiers des IRSC.

2b) S’assurer que les employés disposent des contenants de rangement adéquats et conformes à leurs besoins de rangement selon les documents qu’ils manipulent ; songer à implanter une politique en matière de rangement du bureau.

2c) S’assurer que la formation sur la sensibilisation à la sécurité et la documentation connexe couvrent les aspects liés à la sécurité matérielle, comme l’accès aux locaux et la protection adéquate des documents.

2d) S’assurer que les employés actuels et nouveaux suivent la formation sur la sensibilisation à la sécurité de l’EFPC, selon les besoins.

2a) Responsabilité
Agent de sécurité ministériel

Action
D’accord
L’équipe de la sécurité se chargera de mettre à jour les lignes directrices concernant la manipulation de l’information afin d’y ajouter des directives et des précisions.

Date d’achèvement prévue
Décembre 2017

2b) Responsabilité
Agent de sécurité ministériel

Action
Partiellement d’accord
Les besoins en rangement seront examinés et allégés avec de la formation, et l’application d’une politique en matière de rangement du bureau sera encouragée.

Date d’achèvement prévue
Septembre 2017

2c et d) Responsabilité
Agent de sécurité ministériel

Action
D’accord
L’équipe de la sécurité élabore actuellement la conception d’un programme de sensibilisation à la sécurité et une formation en ligne sur la gestion de l’information adaptée aux IRSC, car nous croyons que le module de formation de l’EFPC est trop général et rudimentaire. Nous coordonnerons nos efforts avec l’équipe de la gestion de l’information pour élaborer le contenu de la formation, et avec les RH pour rendre cette formation obligatoire pour tout le personnel

Date d’achèvement prévue
31 mars 2018

3. L’évaluation des risques liés à la sécurité matérielle nécessite une mise à jour, et les mesures à prendre suite aux évaluations antérieures ne font pas l’objet d’un suivi assidu. (Critères 8, 13)

La Directive sur la gestion de la sécurité ministérielleFootnote 5 oblige l’Agence à « élaborer, documenter, mettre en œuvre et actualiser les processus de gestion systématique des risques liés à la sécurité afin d’assurer une adaptation continue aux besoins changeants du Ministère et au contexte des menaces ». Les évaluations de la menace et des risques constituent un élément clé de ces processus et servent à cerner les aspects où il est nécessaire d’appliquer des mesures de sécurité dépassant les niveaux de base obligatoires pour tout le gouvernement.

La dernière évaluation documentée des risques applicables à l’emplacement physique des IRSC remonte à 2009, lorsqu’une évaluation de la menace et des risques (EMR) a été effectuée concernant l’aire de réception et le bureau du président au 9e étage du 160, rue Elgin. Des recommandations ont été faites pour gérer les risques identifiés par rapport à trois aspects : sécurité des employés, sécurité du périmètre des locaux et sécurité de l’information/des biens classifiés. Bien que le comptoir de réception soit maintenant occupé 24 heures par jour suite à l’affectation de commissionnaires, et qu’un système de vidéosurveillance ait été installé, toutes les recommandations n’ont pas été appliquées. L’état des mesures de suivi n’a pas été surveillé officiellement jusqu’à leur application, ou jusqu’à l’acceptation des risques par la direction.

Le suivi de l’état des recommandations et des mesures correctives connexes est essentiel pour garantir que les risques soient à la fois compris et atténués ou acceptés par la direction. Les examens périodiques permettent de garantir que tout changement dans l’environnement interne ou externe soit identifié et soumis à une évaluation d’impact.

Bien que les IRSC occupent le même espace physique depuis leur fondation, des changements ont eu lieu dans leur environnement immédiat, comme l’arrivée de nouveaux locataires et les travaux de rénovation effectués au hall d’entrée de l’immeuble. Ces changements, conjugués à des changements internes, comme la modification des heures de travail ou les mouvements de personnel, pourraient accroître les risques pour la sécurité matérielle.

Risques et répercussions
Les risques non identifiés dans l’environnement physique pourraient poser une menace à la sécurité des employés et du fonds de renseignements des IRSC. Le manque de suivi pourrait faire en sorte que des risques identifiés demeurent sans suite ou soient réexaminés durant des activités ultérieures d’évaluation des risques.

3a) Effectuer une évaluation des menaces et des risques liés à la sécurité matérielle aux locaux des IRSC.

3b) Établir un calendrier et déterminer ce qui déclenche une revue et une réévaluation des risques liés à la sécurité matérielle.

3c) Surveiller assidûment l’état des risques identifiés et des mesures de suivi. S’assurer que la direction accepte officiellement les risques résiduels.  

3a et b) Responsabilité
Agent de sécurité ministériel

Action
D’accord
Les risques et les menaces identifiés par la dernière évaluation ont été atténués, et nos niveaux de menace et de risque demeurent faibles.
L’équipe de la sécurité se livrera à un examen et à une évaluation des risques en matière de la sécurité matérielle afin d’identifier les risques nouveaux ou changeants liés à la sécurité du personnel et des biens des IRSC.

Date d’achèvement prévue
30 septembre 2017

3c) Responsabilité
Agent de sécurité ministériel

Action
D’accord
L‘équipe de la sécurité des IRSC surveillera assidûment l’état des risques identifiés ainsi que les mesures correctives à prendre (3a et 3b) et s’assurera que les risques résiduels sont officiellement acceptés par la direction au moyen de séances d’information et d’avis écrits.

Date d’achèvement prévue
31 mars 2018

4. Les employés qui manipulent des documents de nature délicate n’ont pas toujours à leur disposition des contenants de rangement approuvés, et bénéficieraient de directives supplémentaires sur la classification et la manipulation des documents. (Critères 22, 30)

La majorité de l’information reçue et traitée par les IRSC est non classifiée ou désignée PROTÉGÉ B. Une quantité limitée d’information est considérée de nature plus délicate et peut être classifiée au niveau SECRET. Il s’agit principalement de documents confidentiels du Cabinet, dont la classification et la manipulation sont régies par la Politique sur la sécurité des documents confidentiels du Cabinet du Bureau du Conseil privé.Footnote 6

Les documents confidentiels du Cabinet sont manipulés par un sous-groupe d’employés des IRSC; ces documents se composent de mémoires au Cabinet, de demandes budgétaires et de présentations au Conseil du Trésor, avec la documentation connexe et les notes d’information échangées avec le cabinet de la ministre. Le personnel clé chargé de recevoir et coordonner l’information avec le cabinet de la ministre dispose de classeurs de sécurité adéquats pour conserver l’information de nature délicate, cependant les employés qui manipulent ces documents n’en sont pas équipés.

Le document Protection et manipulation de l’informationFootnote 7 des IRSC s’inspire de la Politique sur la sécurité des documents confidentiels du Cabinet et d’autres politiques du Conseil du Trésor. Le document vise à guider les IRSC sur la classification et la protection de l’information reçue, créée, traitée et conservée aux IRSC.

Les documents d’orientation recommandent de classifier les présentations au Conseil du Trésor au niveau SECRET. Cependant, la Politique sur la sécurité des documents confidentiels du Cabinet stipule que les présentations au Conseil du Trésor et la documentation connexe doivent être désignées, selon leur contenu, comme étant au moins PROTÉGÉ B.

Les entrevues avec des employés chargés de manipuler ces documents ont révélé l’utilisation de différentes classifications et l’utilité de fournir de plus amples directives. Des présentations au Conseil du Trésor classées au niveau SECRET n’étaient pas conservées dans des classeurs approuvés.

Bien que cela ne soit pas documenté, il est généralement entendu aux IRSC que les présentations au Conseil du Trésor ne sont plus aussi sensibles une fois approuvées par le Conseil et peuvent donc être manipulées et conservées différemment qu’avant leur approbation. Or selon la Politique sur la sécurité des documents confidentiels du Cabinet, « les renseignements confidentiels du Cabinet qui existent depuis plus de 20 ans peuvent être déclassés ou déclassifiés par l’organisme émetteur, selon les critères ministériels de déclassement ou de déclassification de l’information sensible. »

Risques et répercussions
La protection des documents confidentiels du Cabinet est une convention visant à « protéger le processus décisionnel collectif et la solidarité des ministres, et leur permet d’appuyer les décisions du gouvernement malgré des points de vue divergents. »Footnote 8 La divulgation de cette information en raison d’une manipulation fautive pourrait se répercuter sur le processus décisionnel du portefeuille de la santé et entraîner une perte de confiance envers les IRSC de la part d’autres ministères. Inversement, la classification à un niveau trop élevé peut entraîner des coûts inutiles et nuire à la productivité.

4a) Revoir les instructions pour la classification des présentations au Conseil du Trésor, les mettre à jour au besoin, et s’assurer que le personnel connaisse les exigences relatives à la gestion de ces documents durant tout leur cycle de vie.

4b) Identifier les employés qui manipulent des copies papier des documents confidentiels du Cabinet, et de leur fournir des contenants de rangement sécurisés.

4a et b) Responsibilities
Agent de sécurité ministériel

Action
D’accord
Moins de 1 % de l’information est classifiée SECRET aux IRSC. Les Finances manipulent une ou deux présentations au CT par année pour lesquelles ils disposent d’un classeur de sécurité. L’Unité des politiques et relations gouvernementales manipule des documents confidentiels du Cabinet et la correspondance ministérielle.

L’équipe de la sécurité se chargera de revoir les exigences et de fournir des directives au personnel concernant les procédures et processus liés à la manipulation des documents SECRET.

Date d’achèvement prévue
Juin 2017

5. Les exigences en matière de filtrage de sécurité applicables aux membres du conseil d’administration devraient être clarifiées, documentées et appliquées. (Critère 24)

Les membres du conseil d’administration des IRSC sont nommés par le gouverneur en conseil dans le cadre d’un processus défini par le Bureau du Conseil privé. Une partie de ce processus comporte une vérification des antécédents des candidats, composée des éléments suivants :

  • vérification du dossier judiciaire par la GRC;
  • vérification des indices du Service canadien de renseignement de sécurité; et
  • vérification du dossier à l’Agence du revenu du Canada pour des questions de conformité.

Les résultats de la vérification des antécédents sont gardés confidentiels par le Bureau du Conseil privé et ne sont pas partagés avec les IRSC.

Bien que la source de cette exigence ne soit pas documentée, les membres du conseil d’administration sont tenus d’obtenir une cote de sécurité SECRET en vertu des pratiques internes. Or, un examen des cotes de sécurité des membres du conseil d’administration (CA) en novembre 2016 a révélé que seulement quatre des quatorze membres actifs détenaient une cote de ce niveau.

Des discussions avec le personnel ont révélé que la principale raison pour lequel les membres du CA ne détiennent pas une cote Secret est leur retard à remplir les formulaires requis et à les retourner aux IRSC.

Risques et répercussions
Le filtrage de sécurité est un des éléments requis pour réduire les risques d’usage inapproprié et de divulgation d’information de nature délicate. En l’absence d’une vérification des antécédents des membres du CA ayant besoin d’accéder à de l’information sensible, un risque d’utilisation malveillante ou de divulgation de l’information existe.

Bien que ce risque soit quelque peu atténué par la vérification des antécédents effectuée par le Bureau du Conseil privé, il incombe aux IRSC de s’assurer que les personnes à qui ils confient de l’information sensible aient bien obtenu les autorisations sécuritaires requises.

5a) Le niveau d’autorisation sécuritaire requis pour les membres du CA devrait être analysé, évalué par rapport aux vérifications actuellement effectuées dans le cadre du processus du gouverneur en conseil, et documenté.

5b) S’assurer que les membres du CA obtiennent la cote de sécurité requise avant d’accéder à des documents de nature délicate. Charger le groupe concerné de s’assurer que les membres remplissent et retournent la documentation nécessaire.

5a et 5b) Responsabilité
Agent de sécurité ministériel

Action
D’accord

Le secrétariat de la gouvernance reçoit actuellement des conseils et des instructions de l’équipe de la sécurité des IRSC concernant le processus de filtrage de sécurité et l’importance de soumettre les membres à ce processus avant le début de leur mandat.

Le processus de sélection devrait intégrer le filtrage de sécurité dès le début.

Date d’achèvement prévue
Mars 2017

6. L’agent de sécurité ministériel ne relève pas du président ou du Comité de la haute direction au niveau fonctionnel. (Critères 2, 5, 14)

En vertu de la Politique sur la sécurité du gouvernementFootnote 9, l’agent de sécurité ministériel doit relever, au niveau fonctionnel, de l’administrateur général (le président) ou du comité exécutif ministériel (le Comité de la haute direction). Ce rapport hiérarchique permet à l’agent de sécurité de remplir plus facilement son rôle qui est de recommander des mesures de redressement à l’administrateur général ou au comité exécutif ministériel (selon le cas) afin de corriger les lacunes observées dans le programme de sécurité de l’organisme.Footnote 10

Aux IRSC, l’agent de sécurité ministériel cumule les fonctions de dirigeant principal de l’information et de directeur général de la gestion des technologies de l’information, et il relève de la vice-présidente à la planification et à la gestion des ressources. L’agent de sécurité ministériel présente des comptes rendus réguliers au président et peut en profiter pour lui parler directement de questions de sécurité; cependant, ce lien n’est pas officialisé dans l’organigramme.

Les agents de sécurité ministériels antérieurs ont été officiellement nommés dans leur rôle par une lettre du président qui leur déléguait les pouvoirs nécessaires; cependant, cela n’a pas été fait pour l’agent de sécurité ministériel actuel. La délégation officielle des pouvoirs assure la clarté des responsabilités et des obligations redditionnelles.

Conçu par l’agent de sécurité ministériel, le Plan de sécurité ministériel établit les objectifs de l’Agence en matière de sécurité pour une période de trois ans. Les plans de sécurité antérieur et actuel recommandaient des mesures à court et à moyen terme pour atteindre les objectifs en matière de sécurité.

En surveillant les progrès accomplis par rapport au plan, la haute direction peut savoir si l’Agence avance dans la poursuite des objectifs en matière de sécurité et l’atténuation des risques identifiés. Cependant, le CHD n’a pas reçu de rapports réguliers sur les progrès accomplis dans l’application des recommandations des derniers plans de sécurité ministériels, et bien que le plan actuel comporte des indicateurs de rendement et des recommandations relatives aux rapports, la fréquence et les destinataires des rapports ne sont pas décrits en détail.

Les rapports réguliers au CHD et au président sur les progrès accomplis dans la mise en œuvre du Plan de sécurité ministériel donneront de la visibilité aux questions de sécurité au niveau de la haute direction et contribueront à la surveillance du programme de sécurité.

Risques et répercussions
En l’absence de délégation officielle des pouvoirs et de lien hiérarchique clair entre l’agent de sécurité ministériel et la haute direction, les questions de sécurité risquent de ne pas faire l’objet d’un  suivi adéquat et y consacrer l’attention souhaitée dans la prise de décisions opérationnelles. Il est nécessaire de bien définir les obligations redditionnelles, les responsabilités et les voies de communication pour pouvoir réagir efficacement en cas d’incident lié à la sécurité.

6a) Procéder à la nomination officielle de l’agent de sécurité ministériel, en le faisant relever du président ou du CHD au niveau fonctionnel.

6b) Implanter un système de rapports périodiques réguliers au CHD sur les progrès accomplis en regard du Plan de sécurité ministériel.

6a) Responsabilité
Agent de sécurité ministériel

Action
D’accord
Une lettre de nomination de l’ASM par le président des IRSC est actuellement en préparation et sera soumise au président pour signature.

Date d’achèvement prévue
31 mars 2017

6b) Responsabilité
Agent de sécurité ministériel

D’accord
Les mises à jour régulières au CHD et au président sur les progrès du Plan de sécurité ministériel, ainsi que les autres mises à jour pertinentes seront fournies une fois par année et lorsque de nouveaux risques seront identifiés.

Date d’achèvement prévue
Septembre 2017

7. Il n’existe pas de processus général entourant les incidents de sécurité pour garantir que ces incidents soient bien signalés et que les données pertinentes soient recueillies à des fins d’analyse des tendances. (Critère 18)

La Norme opérationnelle sur la sécurité matérielleFootnote 11 oblige les ministères à appliquer, en réponse aux incidents liés à la sécurité, des mesures permettant d’assurer que les incidents soient signalés aux responsables concernés de la sécurité et que des mesures correctives immédiates et à long terme soient prises dans les meilleurs délais. Bien que la réaction initiale à un incident soit primordiale pour garantir la protection des employés et des biens, l’analyse des incidents, les leçons à en tirer et les correctifs appliqués font aussi partie d’une gestion efficace et continue de la sécurité et des risques.

Les IRSC ont défini des procédures de gestion des incidents liés à la sécurité selon le type d’incident, c’est-à-dire :

  • La Procédure des IRSC en cas d’incident menaçant ou de communication téléphonique ou écrite importune ou absurde décrivent aux employés la marche à suivre s’ils sont confrontés à des incidents, des lettres ou des appels menaçants.
  • La Politique de la prévention de la violence en milieu de travail explique en détail comment rapporter ce type d’incident et y réagir.
  • La page Intranet Voyager avec un appareil mobile des IRSC oblige les employés à rapporter la perte ou le vol d’un appareil électronique au Service de dépannage des IRSC.

Ces procédures sont axées sur la communication initiale des incidents et, dans certains cas, sur la réponse initiale. Aviser l’équipe de la sécurité des IRSC fait partie de toutes les procédures ; cependant, les mesures à prendre ensuite par l’équipe de la sécurité et d’autres intervenants ne sont pas complètement documentées.

Un cadre ou un processus documenté permettant le triage des incidents liés à la sécurité et la prise des mesures appropriées jusqu’à la clôture du dossier garantirait que tous les intervenants soient mobilisés au besoin. Une approche normalisée de collecte d’information sur les incidents liés à la sécurité permet aussi d’analyser les tendances et les éléments à risque et d’ainsi cerner des manques possibles dans la formation des employés sur la sécurité et leur sensibilisation à la question.

Risques et répercussions
En l’absence d’un processus bien défini de gestion des incidents liés à la sécurité, les rapports internes et externes sur les incidents risquent de ne pas être faits correctement. Le manque de perspective historique et de données d’analyse sur les incidents liés à la sécurité pourrait négliger l’évaluation de certains risques ou faire perdre des occasions importantes liées à la sensibilisation de la sécurité.  

7a) Établir et documenter un processus de classification des incidents liés à la sécurité afin de garantir :

  • que les rapports aux intervenants internes et externes soient faits correctement;
  • que des analyses soient effectuées et que des mesures correctives soient prises; et
  • que les incidents soient surveillés jusqu’à la clôture du dossier pour permettre d’analyser les tendances et contribuer à l’évaluation des risques.

7a) Responsabilité
Agent de sécurité ministériel

Action
D’accord
L’équipe de la sécurité des IRSC a déjà mis en place des processus et des procédures de réponse à plusieurs types d’incidents, mais il établira un processus plus officiel.

Il est important de noter que les incidents sont très rares.

Date d’achèvement prévue
Octobre 2017

Durant notre audit, nous avons trouvé de légères possibilités d’amélioration susceptibles de renforcer les mécanismes de contrôle interne, de simplifier les activités ou de perfectionner les processus relatifs à la sécurité matérielle. Nous avons consigné ces observations dans une lettre adressée à la direction.

4. Annexe

4.1. Critères d'audit

Les définitions ci-dessous sont utilisées dans l’audit pour évaluer le cadre de contrôle interne.

Conclusion par rapport aux critères Définition des opinions
Bon contrôle Bonne gestion, aucune faiblesse importante notée ou besoin d’améliorations mineures seulement.
Problèmes modestes Le contrôle comporte des lacunes, mais le risque couru est limité, car la probabilité ou la conséquence du risque est faible.
Importantes améliorations requises Le contrôle comporte des lacunes qui, individuellement ou cumulativement, présentent un risque potentiel important.

4.2. Conclusion générale

L’audit a permis de conclure que la sécurité matérielle présente des problèmes modestes. Certaines faiblesses ont été relevées quant aux mesures de contrôle, mais le risque couru est limité puisque la probabilité ou la conséquence du risque n’est pas élevée.

Critères Renvoi à des observations Conclusion
Champ d’enquête 1 – Gouvernance (obligations redditionnelles, rôles, et responsabilités)
1. Le président a établi un programme de sécurité pour la coordination et la gestion des activités ministérielles liées à la sécurité. Aucune exception notée Bon contrôle
2. Le programme de sécurité possède une structure de gouvernance incluant des obligations redditionnelles claires et comportant la nomination d’un agent de sécurité ministériel relevant, au niveau fonctionnel, de l’administrateur général ou du comité exécutif ministériel (CHD). Rapport d’audit (observation 6) Problèmes modestes
3. Le président n’a pas délégué son pouvoir de refuser, d’annuler ou de suspendre des autorisations sécuritaires. Aucune exception notée Bon contrôle
4. Les objectifs du programme de sécurité ont été définis en accord avec les politiques, les priorités et les plans ministériels et gouvernementaux. Aucune exception notée Bon contrôle
5. Le programme de sécurité fait l’objet de surveillance, d’évaluation et de rapports visant à mesurer les efforts et les ressources investis et les succès obtenus par la direction dans l’obtention de ses résultats escomptés, y compris la limitation et le maintien du niveau de risque résiduel à un niveau acceptable. Rapport d’audit (observation 6) Problèmes modestes
6. Les obligations redditionnelles, les pouvoirs délégués, les rapports hiérarchiques, ainsi que les rôles et responsabilités des employés de l’organisation ayant un rôle à jouer dans la sécurité matérielle sont définis, documentés et communiqués. Observation 1 de la lettre à la direction Bon contrôle
7. L’organisation s’est dotée d’un programme de continuité des activités pourvu d’une structure de gouvernance comportant l’établissement d’obligations redditionnelles pour la haute direction et la nomination d’un coordonnateur du PCA. Rapport d’audit (observation 1) Problèmes modestes
Champ d’enquête 2 – Gestion du risque
8. Il existe un processus documenté pour cerner, évaluer et gérer systématiquement les menaces, les risques et les vulnérabilités touchant la sécurité des biens matériels. Ce processus englobe la surveillance continue des risques et l’adaptation à l’évolution de l’organisation et du contexte des menaces. Rapport d’audit (observation 3) Problèmes modestes
9. L’agent de sécurité ministériel (ASM) a conçu et mis en œuvre un plan de sécurité ministériel (PSM) qui est mis à jour périodiquement. Aucune exception notée Bon contrôle
10. Le PSM fournit une vue d’ensemble des besoins en sécurité de l’Agence, décrivant les stratégies, les objectifs, les priorités et les délais pour améliorer la posture de sécurité de l’Agence. La posture de sécurité se réfère à des politiques, des procédures et des mesures de contrôle qui composent l’approche générale de l’Agence à l’égard de la sécurité. Aucune exception notée Bon contrôle
11. Le PSM cerne les menaces, les risques et les vulnérabilités touchant la sécurité afin d’établir une série d’objectifs pertinents en matière de contrôle. Aucune exception notée Bon contrôle
12. Le PSM désigne et établit des mesures de contrôle minimales et supplémentaires pour, au besoin, atteindre les objectifs en matière de contrôle et porter le niveau de risque résiduel à un niveau acceptable. Aucune exception notée Bon contrôle
13. Les risques résiduels définis dans le PSM sont officiellement acceptés par l’échelon approprié de la direction. Rapport d’audit (observation 3) Problèmes modestes
14. L’ASM a mis en œuvre un programme d’assurance de la qualité visant à garantir que les mesures de contrôle de la sécurité répondent de la manière la plus efficace et efficiente possible aux besoins du Ministère en matière de sécurité. Rapport d’audit (observation 6) Problèmes modestes
15. Une analyse des répercussions sur les activités a été effectuée dans le but d’évaluer les impacts d’une interruption sur le Ministère et de déterminer les services essentiels et les biens nécessaires à leur prestation, et en établir l’ordre de priorité. Rapport d’audit (observation 1) Problèmes modestes
16. Un plan de continuité des activités a été créé et approuvé par la haute direction en réponse aux résultats de l’analyse des répercussions sur les activités. Rapport d’audit (observation 1) Problèmes modestes
17. Le plan de continuité des activités est régulièrement testé, examiné et révisé et le personnel est régulièrement formé afin de garantir que le programme de continuité des activités soit prêt en cas de besoin. Rapport d’audit (observation 1) Problèmes modestes
Champ d’enquête 3 – Contrôles liés à la sécurité matérielle et du personnel
18. Il existe un processus documenté pour gérer les incidents liés à la sécurité, où il est précisé quand il est obligatoire d’en faire rapport aux organismes centraux. Rapport d’audit (observation 7) Problèmes modestes
19. Les besoins en matière de sécurité sont pris en compte dans la planification opérationnelle, les programmes, les services et les autres activités de gestion. Aucune exception notée Bon contrôle
20. Les besoins en matière de sécurité sont pris en compte dans la passation de contrats. Aucune exception notée Bon contrôle
21. Les gestionnaires et les employés sont au courant de leurs rôles et responsabilités à l’ égard de la sécurité matérielle et de la protection des biens. Rapport d’audit (observation 2) Problèmes modestes
22. L’Agence a établi des lignes directrices afin de déterminer le niveau de classification et la désignation appropriée conformément aux critères établis pour le CA. Ces lignes directrices sont revues et mises à jour périodiquement. Rapport d’audit (observation 4) Problèmes modestes
23. L’ASM ou son remplaçant a établi et documenté des exigences en matière de filtrage de sécurité pour l’Agence, et ces exigences sont revues périodiquement ou à la suite de changements importants. Aucune exception notée Bon contrôle
24. L’ASM ou son remplaçant a établi et documenté des procédures de filtrage de sécurité qui sont coordonnées avec les procédures des ressources humaines et qui couvrent le cycle complet d’autorisation sécuritaire, à partir de l’obtention et du maintien de la cote jusqu’à son annulation, s’il y a lieu. Les procédures sont revues et mises à jour périodiquement. Rapport d’audit (observation 5)
Observation 2 de la lettre à la direction
Problèmes modestes
25. Un dossier de sécurité est conservé pour les personnes soumises à des enquêtes de sécurité en conformité avec le fichier de renseignements personnels (FRP) ordinaires défini par le Conseil du Trésor. Aucune exception notée Bon contrôle
26. Les gestionnaires et les employés sont au courant de leurs rôles et responsabilités au regard du filtrage de sécurité du personnel. Aucune exception notée Bon contrôle
27. L’accès aux biens protégés et classifiés est basé sur une hiérarchie des zones. Aucune exception notée Bon contrôle
28. L’accès aux zones d’accès restreint est contrôlé par des mesures de protection qui permettent de ne laisser passer que le personnel autorisé, notamment : carte d’identité, insigne d’accès, contrôle électronique de l’accès, télévision en circuit fermé, centre de contrôle de la sécurité, pièces sécuritaires et agents de sécurité. Observation 3 de la lettre à la direction Bon contrôle
29. Les activités de gestion des installations – y compris les baux, les services d’entretien et de nettoyage, l’affichage intérieur, les serrures et le contrôle des clés et la représentation au sein du comité de sécurité de l’immeuble – sont conformes à la Norme opérationnelle sur la sécurité matérielle. Observation 4 de la lettre à la direction Bon contrôle
30. Les biens protégés et classifiés sont rangés dans des contenants approuvés à l’intérieur de zones d’accès restreint. Rapport d’audit (observation 4) Problèmes modestes
31. Un système d’inventaire a été établi pour suivre les biens de valeur tout au long de leur cycle de vie, et ce système est entretenu et vérifié sur une base régulière. Aucune exception notée Bon contrôle
32. L’autorisation de l’accès physique aux biens protégés et classifiés est maintenue durant le transport et lorsque le travail est effectué en dehors du bureau. Aucune exception notée Bon contrôle
33. La restriction de l’accès physique aux biens protégés et classifiés est maintenue jusqu’au processus d’aliénation des biens, et ce processus est conforme à la Norme opérationnelle sur la sécurité matérielle. Observation 5 et 6 de la lettre à la direction Bon contrôle
Date de modification :