Vérification de la planification de la continuité des activités

Février 2017

 

Table des matières

Sommaire

Introduction

La planification de la continuité des activités (PCA) s’entend de l’établissement d’une structure de gouvernance, de l’exécution d’une analyse des répercussions sur les activités (ARA), de l’élaboration, de l’exécution en temps opportun et de la tenue à jour de plans, de mesures, de procédures et de dispositions afin d’éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels. À l’issue de récents désastres d’origine tant naturelle qu’humaine, et compte tenu de l’environnement opérationnel en évolution du gouvernement du Canada, les ministères ont pris conscience de la nécessité de continuer à fournir leurs services en cas de perturbation de leurs activités normales.

Un service essentiel est un service, un programme ou une activité dont la compromission, du point de vue de la disponibilité ou de l’intégrité, porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement du Canada. Transports Canada (TC) a recensé 130 services essentiels qui relèvent de deux catégories : les services qui sont essentiels à l’intérêt national et les services qui sont essentiels au Ministère.

Il appartient au sous-ministre de s’assurer de l’efficacité et de la mise en place du Programme de planification de la continuité des activités à l’échelle du Ministère.

Afin de donner l’assurance que le Programme de PCA de Transports Canada est en place et qu’il fonctionne selon les directives du gouvernement, l’équipe de vérification a collaboré à l’exécution d’une vérification horizontale de la planification de la continuité des activités dans les grands et les petits ministères, avec le Bureau du contrôleur général (BCG). Cette démarche a permis à l’équipe de vérification d’utiliser les critères de planification et de vérification du BCG, ainsi que de fournir un point de comparaison utile aux autres ministères.

Objectif et portée de la vérification

La Vérification de la planification de la continuité des activités a été incorporée au Plan intégré de vérification et d’évaluation de 2016-2017 à 2018-2019 de Transports Canada.

Les objectifs de cette vérification consistaient à déterminer si :

L’équipe de vérification a examiné la documentation et le cadre de gouvernance actuels (au 31 décembre 2015) de la PCA utilisés à Transports Canada et les travaux en cours en 2016 afin d’assurer la continuité des services essentiels et des services de soutien du Ministère. Elle a utilisé un échantillon des plans de continuité des activités fondé sur les risques afin de vérifier si les processus de PCA respectaient les éléments essentiels et les facteurs devant être pris en considération pour assurer la continuité des activités.

Conclusion

Nous avons conclu qu’un cadre de gouvernance est en place pour la gestion du Programme de PCA du Ministère. Des processus ministériels sont également en place aux fins de l’élaboration, de la mise en œuvre, de la mise à l’essai et de l’actualisation des plans de continuité des activités du Ministère. Toutefois, le travail de base visant à déterminer les services essentiels n’a généralement pas été mis à jour depuis la création des ARA en 2006. Bien que les plans de continuité des activités établis par la suite pour les services essentiels recensés soient mis à jour, nous ne savons pas si ces services essentiels sont encore ceux pour lesquels un plan de continuité des activités doit être produit. Transports Canada a reconnu la nécessité d’actualiser ses ARA et ses plans de continuité des activités et d’entreprendre, de façon proactive, un exercice de renouvellement des ARA et des plans de continuité des activités en janvier 2016. Le Ministère doit s’assurer que le processus qu’il a mis en place pour le renouvellement des ARA et des plans de continuité des activités est achevé et qu’il est conforme aux attentes et aux critères du BCG quant au Programme de PCA.

Énoncé de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, appuyées par les résultats d’une évaluation externe du programme d’assurance et d’amélioration de la qualité de la Vérification interne.

Dave Leach (CIA, MPA), directeur, Services de vérification et de conseils

Martin Rubenstein (CPA, CIA, CFE), dirigeant principal de la vérification et de l’évaluation

1. Introduction

1.1. Objet

La Vérification de la planification de la continuité des activités a été incorporée au Plan intégré de vérification et d’évaluation de 2015-2016 à 2017-2018 de Transports Canada. Les résultats de notre vérification appuient directement la Vérification interne horizontale de la planification de la continuité des activités (PCA) dans les grands et les petits ministères, menée par le Bureau du contrôleur général (BCG).

1.2. Contexte

Le BCG a élaboré le plan et programme de vérification, et l’équipe de la Vérification interne de Transports Canada s’est acquittée de l’examen, de la mise à l’essai et de la présentation de rapports sur les résultats au BCG afin qu’il les intègre à sa vérification horizontale.

Voici un synopsis tiré du Plan de vérification pour la Vérification interne horizontale de la planification de la continuité des activités (PCA) dans les grands et les petits ministères, dirigée par le BCG.

La planification de la continuité des activités (PCA) s’entend de l’élaboration et de l’exécution en temps opportun de plans, de mesures, de procédures et de dispositions afin d’éviter ou de minimiser toute interruption de la disponibilité des services et des biens essentiels. À l’issue de récents désastres d’origine tant naturelle qu’humaine (p. ex. la fusillade sur la Colline parlementaire en octobre 2014, les inondations dans l’Ouest canadien en juin 2014, la faille de sécurité Heartbleed survenue à l’Agence du revenu du Canada en avril 2014), et compte tenu de l’environnement opérationnel en évolution du gouvernement du Canada (p. ex. la transition vers la prestation de services à l’échelle du gouvernement), les organisations ont pris conscience de l’importance que le gouvernement soit en mesure d’intervenir et de rétablir ses services et ses biens en respectant le temps d’arrêt maximal
admissibleNote de bas de page 3.

La PCA dans le contexte de l’administration fédérale est une composante des exigences de base en matière de sécurité et elle constitue un processus visant à faire en sorte que les services essentiels du gouvernement puissent être offerts en tout temps en cas d’interruption du cours normal des activités. Les services essentiels peuvent être considérés comme essentiels pour le gouvernement du Canada parce qu’ils sont à l’appui de la santé, de la sûreté, de la sécurité, du bien-être économique des Canadiens et du fonctionnement efficace du gouvernement du Canada; ou encore, ces services peuvent être considérés comme essentiels aux ministères eux-mêmes, s’ils leur sont nécessaires pour remplir leur mandat et s’acquitter d’autres obligations ministérielles. Les services essentiels des ministères ne sont pas nécessairement essentiels pour le gouvernement du Canada.

Les exigences relatives à la PCA sont établies dans la Loi sur la gestion des urgences (LGU) ainsi que dans la Politique sur la sécurité du gouvernement (PSG), la Directive sur la gestion de la sécurité ministérielle, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO-PCA) et la Norme opérationnelle de sécurité – Gestion de la sécurité des technologies de l’information (NOS-GSTI) du Conseil du Trésor. La Loi, la politique, la directive et les normes opérationnelles guident les ministères lorsqu’ils élaborent leurs processus de continuité des activités à l’appui des objectifs ministériels, et elles définissent les rôles, les responsabilités et les obligations des ministères et des principaux organismes responsables de la sécurité.

Selon les exigences actuelles, des cadres de gouvernance doivent être établis afin d’assurer la coordination du rétablissement des services essentiels à l’échelle du gouvernement et l’état de préparation des ministères en matière de PCA.

À Transports Canada, la responsabilité de mettre en œuvre un programme ministériel de PCA revient au sous-ministre. Il lui incombe de s’assurer que les directives, processus et outils de gestion appropriés sont en place afin de gérer la PCA de façon efficace, ainsi que de veiller à ce que le plan de sécurité ministérielle réponde toujours aux besoins du ministère et du gouvernement dans son ensemble au moyen d’examens périodiques. Conformément à la NSO-PCA du Conseil du Trésor, l’élaboration et la mise en œuvre d’un plan ministériel de continuité des activités s’accompagnent de la mise en place d’une structure de gouvernance de la PCA ministérielle, de l’exécution d’analyses des répercussions sur les activités (ARA), de l’élaboration de stratégies et de plans de continuité des activités, de même que de l’établissement et du maintien de l’état de préparation en matière de PCA par la formation du personnel, la mise à l’essai, la validation et l’examen des plans de façon régulière. Compte tenu de la transition vers la prestation de services par des fournisseurs de services de soutien essentiels (FSSE)Note de bas de page 4, les ministères doivent également s’assurer que des ententes de services officielles sont en place et que leurs stratégies de rétablissement comprennent des mécanismes et des procédures de coordination.

L’équipe de la Vérification interne a présenté les constatations de vérification au BCG, sans formuler de recommandations de vérification, afin qu’il les intègre dans son rapport de vérification à produire. Dans son rapport de vérification, le BCG résumera les constatations de vérification de tous les grands et petits ministères et formulera des recommandations pour le gouvernement à l’avenir. Ce rapport de vérification interne comprend des recommandations précises visant à renforcer le Programme de PCA de Transports Canada.

1.3. Objectif, portée, démarche et critères de la vérification

1.3.1 Objectif de la vérification

Les objectifs de la vérification, tels que le BCG les a définis, consistaient à déterminer si :

1.3.2 Portée de la vérification

L’équipe de vérification a examiné les documents de PCA en place au 31 décembre 2015, le cadre de gouvernance utilisé à Transports Canada et les travaux en cours en 2016 afin d’assurer la continuité des services essentiels et des services de soutien du Ministère. En se fondant sur une évaluation des risques, l’équipe de vérification a utilisé un échantillon des plans de continuité des activités fondé sur les risquesNote de bas de page 7 afin de vérifier si les processus de PCA comprenaient les éléments essentiels et s’ils atténuaient les risques pour assurer la continuité des activités.

1.3.3 Démarche de vérification

La vérification a consisté en l’examen des principaux documents liés à la PCA, en des entrevues et en l’examen d’un échantillon de plans de continuité des activités et d’ARA, qui ont été évalués par rapport aux critères précis énoncés dans le Programme de vérification du BCG.

1.3.4 Critères de vérification

Les trois sujets suivants ont été examinés dans le cadre de la vérification :

  1. Des cadres de gouvernance ministériels sont en place aux fins de la gestion ministérielle de la PCA.
  2. Des processus de PCA ministériels sont en place aux fins de l’élaboration, de la mise en œuvre, de la mise à l’essai et de l’actualisation des plans de continuité des activités ministériels.
  3. Des processus de surveillance ministériels sont en place à des fins de suivi de l’état de préparation en matière de PCA.

Pour chaque sujet, le BCG avait établi des critères et des sous-critères de vérification.

1.3.5 Échantillon de vérification

L’échantillon suivant a été sélectionné aux fins d’examen :

  1. Intervention et état de préparation – Centre d’intervention
    1. Région du Pacifique
    2. Région des Prairies et du Nord
    3. Région de l’Ontario
    4. Quartier général (QG)
    5. Région du Québec
    6. Région de l’Atlantique
  2. Région du Pacifique – Passation de marchés en cas d’urgence
  3. Région de l’Atlantique – Surveillance réglementaire
    1. Sûreté maritime
    2. Transport terrestre
    3. Aviation civile
    4. Sûreté aérienne
  4. Quartier général – Mesures d’urgence
    1. Sécurité ferroviaire
    2. Transport des marchandises dangereuses
    3. Aviation civile – Maintenance et construction des aéronefs

Transports Canada est l’un des principaux intervenants en cas d’urgence liée au transport. Un centre d’intervention est en place au QG et dans chacune des régions. Ces centres offrent un soutien essentiel qui permet à Transports Canada d’exercer son rôle en situation d’urgence. Le BCG a choisi le centre d’intervention de la région du Pacifique comme l’un des fournisseurs de services essentiels dans son échantillon. L’équipe de la Vérification interne a élargi l’échantillon pour qu’il englobe tous les centres d’intervention, afin de veiller à examiner l’étendue complète de ce service essentiel en particulier.

1.4. Structure du rapport

Pour chacun des trois sujets examinés, nous avons fourni des renseignements contextuels, nous avons indiqué les constatations auxquelles nous nous attendions, et au besoin, nous avons formulé des recommandations. La dernière partie du rapport comprend le plan d’action de la direction visant à donner suite à nos recommandations de vérification.

2. Constatations et recommandations

2.1. Cadre de gouvernance

Contexte

Les exigences relatives à la PCA sont établies dans la Loi sur la gestion des urgences (LGU) ainsi que dans la Politique sur la sécurité du gouvernement (PSG), la Directive sur la gestion de la sécurité ministérielle, la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO-PCA) et la Norme opérationnelle de sécurité – Gestion de la sécurité des technologies de l’information (NOS-GSTI) du Conseil du Trésor. La Loi, la politique, la directive et les normes opérationnelles guident les ministères lorsqu’ils élaborent leurs processus de continuité des activités à l’appui des objectifs ministériels, et elles définissent les rôles, les responsabilités et les obligations des ministères et des principaux organismes responsables de la sécurité.

Selon les exigences actuelles, des cadres de gouvernance doivent être établis afin d’assurer la coordination du rétablissement des services essentiels à l’échelle du gouvernement et l’état de préparation des ministères en matière de PCA.

Nos attentes

Nous nous attendions à trouver des structures de gouvernance ministérielles en place qui appuient activement la planification de la continuité des activités ainsi que les rôles et responsabilités qui ont été documentés, approuvés et communiqués à tous les intervenants. Nous nous attendions également à trouver un cadre stratégique ministériel établi qui définit les rôles, les responsabilités et les attentes relativement à la PCA, de même qu’une approche systématique établie à l’échelle du gouvernement en vue de recenser les services essentiels des ministères et d’en établir la priorité.

Nos constatations

Transports Canada a un cadre de gouvernance et un cadre stratégique en place pour la gestion de ses plans de continuité des activités. Il est possible de renforcer les responsabilités dans ces cadres.

Nous avons constaté que la planification de la continuité des activités est appuyée par les trois organes de gouvernance suivants :

  • le Comité de gestion exécutif (CGX) de Transports Canada;
  • le Groupe de travail sur le Programme de PCA (GTPPCA);
  • le Comité ministériel de sécurité (CMS).

Transports Canada examine également ses structures de gouvernance de façon périodique. À la suite du dernier examen, le pouvoir décisionnel a été accordé au GTPPCA, comme en témoigne son mandat d’avril 2016. Par ailleurs, un examen général des programmes de sécurité, dont le Programme de PCA, est effectué tous les trois ans. Le dernier examen de cette nature remonte à novembre 2013.

Transports Canada a une politique de PCA qui définit les rôles, les responsabilités et les attentes des intervenants au sein du Ministère :

  • le sous-ministre;
  • les membres du CGX (haute direction);
  • l’agent de sécurité du Ministère (ASM);
  • les gestionnaires de direction et de direction générale;
  • le coordonnateur ministériel de la PCA;
  • le Groupe de travail sur le Programme de PCA;
  • les coordonnateurs de la PCA.

La politique de PCA est approuvée et publiée sur le site Web interne (intranet) de Transports Canada.

Nous avons toutefois observé que ces rôles, responsabilités et attentes n’ont pas été intégrés dans les accords de rendement ou les descriptions de travail de toutes les personnes clés. L’ajout de responsabilités en matière de PCA dans les descriptions de travail ou les accords de rendement de toutes les personnes clés permettrait de renforcer ces responsabilités et d’assurer l’uniformité dans le Programme de PCA.

Nous avons constaté que, bien que les trois organes de gouvernance se réunissent et discutent régulièrement du Programme de PCA, le plan de sécurité ministérielle (l’équivalent du mandat) du Comité ministériel de sécurité ne définit pas la fréquence des réunions qui doivent être tenues. Si cette exigence n’est pas clairement stipulée, les membres du CMS ne sont peut-être pas responsables de se réunir régulièrement.

Notre échantillon nous a également permis de constater qu’il n’existe aucune entente de services entre Transports Canada et les fournisseurs de services de soutien essentiels (p. ex. Services partagés Canada [SPC] et Services publics et Approvisionnement Canada [SPAC]). Étant donné que les ministères devront éventuellement s’en remettre aux services de fournisseurs de services de soutien essentiels, ils doivent aussi s’assurer que des ententes de services officielles sont en place et que leurs stratégies de rétablissement comprennent des mécanismes et des procédures de coordination Note de bas de page 8.

Le guide de gestion de la continuité des activités à Transports Canada à l’intention des utilisateurs comprend une approche systématique pour déterminer et classer les services essentiels. Ce guide a été créé en vue de faciliter l’élaboration d’analyses des répercussions sur les activités (ARA) et de plans de continuité des activités. Il est mis à la disposition de tous les membres du personnel dans l’intranet du Ministère.

Recommandation

  1. Le cadre de gouvernance et le cadre stratégique de la PCA devraient être renforcés des manières suivantes :
    • en définissant les rôles et les responsabilités en matière de PCA dans les descriptions de travail ou les accords de rendement des personnes clés;
    • en s’assurant que la fréquence des réunions est établie dans le mandat du Comité ministériel de sécurité;
    • en envisageant de conclure des ententes de services officielles avec les fournisseurs de services de soutien essentiels.

2.2. Processus de planification de la continuité des activités

Contexte

En règle générale, le processus de PCA comprend l’exécution d’une ARA en vue de recenser les divers services fournis par une fonction, puis de classer les services selon la criticité et le temps d’arrêt maximal admissible (TAMA). D’après l’ARA, un plan de continuité des activités est ensuite élaboré pour chaque service essentiel, afin de déterminer les mesures à prendre et les ressources nécessaires pour s’assurer que le service essentiel peut-être rétabli ou maintenu en respectant le TAMA fixé pour ce service.

Nos attentes

Nous nous attendions à constater que des ARA sont régulièrement effectuées et examinées en vue de recenser tous les services essentiels pour lesquels un plan de continuité des activités doit être établi, et que les stratégies de rétablissement nécessaires ont été élaborées afin d’assurer la continuité des services essentiels et des services de soutien essentiels du Ministère. Nous nous attendions également à ce que le Ministère travaille de concert avec les fournisseurs de services de soutien essentiels et les autres principaux intervenants internes lorsqu’il élabore, met à l’essai et actualise ses plans de continuité des activités afin d’assurer l’intégration entre toutes les parties. Enfin, nous nous attendions à constater que les intervenants ont accès à la formation et aux outils pertinents dont ils ont besoin pour la PCA.

Nos constatations

Transports Canada a des processus en place pour l’élaboration, la mise en œuvre, la mise à l’essai et l’actualisation de ses plans de continuité des activités. Toutefois, la justesse de ses ARA n’est pas régulièrement examinée et il n’existe aucune indication selon laquelle les plans de continuité des activités sont mis à l’essai de façon régulière. Les principaux membres du personnel responsables de la PCA ne sont pas toujours informés des formations et des outils liés à la PCA et n’ont pas tous reçu une formation sur la PCA.

Comme nous l’avons expliqué plus tôt, le processus consiste d’abord à effectuer une ARA qui permet de recenser tous les services d’une fonction et de classer et de déterminer les services qui sont essentiels. Des plans de continuité des activités sont ensuite établis pour les services considérés comme essentiels. Au cours de nos entrevues, nous avons été informés que le processus suivi était souvent inversé. Dans le cadre de notre examen de l’échantillon, nous avons constaté que deux des treize plans de continuité des activités, établis pour chaque service essentiel, avaient été élaborés avant la tenue des ARA, et que trois plans sur treize avaient été établis après l’ARA. Les huit autres ARA n’ont pas pu être retrouvés. Le fait d’examiner régulièrement les ARA assure que des mises à jour sont effectuées en temps utile afin de tenir compte de l’environnement opérationnel en évolution du Ministère. Autrement dit, l’examen des ARA garantit que la plupart des services essentiels au Ministère ont été recensés et que des plans de continuité des activités ont été élaborés. Si les ARA ne sont pas à jour, il y a un risque que tous les services essentiels pour lesquels un plan de continuité des activités est nécessaire n’aient pas été recensés ou que des plans de continuité des activités soient maintenus pour des services qui ne sont plus considérés comme essentiels.

Les ARA examinées dans notre échantillon avaient été réalisées pendant la période de 2006 à 2016 et, pour la plupart, elles n’avaient pas été mises à jour depuis leur création. À la suite d’un exercice sur table de mise à l’essai de la PCA exécuté en 2015, on a recommandé que les ARA et les plans de continuité des activités soient examinés et mis à jour. Au moment de la rédaction du présent rapport, le Ministère procède à la mise à jour de ses ARA. Nous nous attendions toutefois à ce que les ARA aient été examinés plus souvent.

Nous avons évalué un échantillon d’ARA et de plans de continuité des activités par rapport aux critères du BCG, d’après les directives actuelles fournies par les principaux organismes responsables de la sécurité et les exigences de la Norme de sécurité opérationnelle – PCA du CT, de la Norme opérationnelle de sécurité – Gestion de la sécurité des technologies de l’information de 2004 du CT et des Lignes directrices sur la méthodologie d’évaluation tous risques 2012-2013 de Sécurité publique Canada. Nous avons constaté que les ARA et les plans de continuité des activités de l’échantillon ne remplissent pas tous les critères du BCG, mais ce n’était pas inattendu, car les ARA et les plans de continuité des activités avaient été élaborés initialement en 2006 et certains des critères sont fondés sur des exigences établies ultérieurement. Comme le coordonnateur de la PCA nous l’a indiqué, les modèles d’ARA et de plan de continuité des activités ont été créés en fonction des directives fournies par le BCG en 2006; par conséquent, les ARA et les plans de continuité des activités qui en découlent auraient rempli les critères en place à ce moment-là. Étant donné que Transports Canada met actuellement à jour ses ARA et ses plans de continuité des activités, il devrait s’assurer, s’il y a lieu, que les ARA et les plans de continuité des activités révisés remplissent les critères du BCG.

En ce qui concerne l’échantillon d’ARA et de plans de continuité des activités examiné, nous avons constaté des irrégularités quant au niveau de détail et des renseignements fournis. Une ARA devrait être composée des deux parties suivantes : la partie I, qui comprend une description du service de l’organisation, des répercussions sur les activités et de la criticité, ainsi que le temps d’arrêt maximal admissible; la partie II, qui présente une description des besoins en ressources. Nous avons constaté que la majorité des ARA que nous avons examinés ne comportait pas une description des besoins en ressources à la partie II. Si les renseignements sont incomplets, il y a un risque que les gestionnaires fonctionnels n’interviennent pas correctement en cas d’incident.

Afin de s’assurer que les plans de continuité des activités sont régulièrement examinés, le coordonnateur de la PCA envoie une lettre d’appel deux fois par année pour demander à l’ensemble des groupes et des régions d’examiner et d’actualiser leurs plans de continuité des activités. Dans notre échantillon de vérification, nous avons constaté que, bien que les plans de continuité des activités soient examinés, le Système de gestion des dossiers, des documents et de l’information (SGDDI) ne comporte aucun élément probant écrit indiquant que ces examens sont effectués deux fois par année.

Tous les plans de continuité des activités traitaient de la récupération ou de l’accessibilité des renseignements électroniques nécessaires à l’exercice des fonctions. Toutefois, les conséquences de l’incapacité d’avoir accès aux services de TI offerts par SPC n’y étaient pas mentionnées. La stratégie de rétablissement choisie était indiquée dans les plans de continuité des activités, mais il n’y avait aucune description des options qui avaient été étudiées avant que le choix s’arrête sur la stratégie en question. Il serait donc impossible de déterminer si la stratégie choisie est en fait la meilleure stratégie, particulièrement dans un environnement en évolution.

Bien qu’une mise à l’essai ait été effectuée sous forme d’exercice sur table en 2015, rien n’indiquait que des FSSE faisaient partie de cet exercice. L’intégration des FSSE aurait été nécessaire, particulièrement si le scénario présenté dans le cadre de l’exercice sur table exigeait ou touchait la prestation de leurs services essentiels.

Le Programme de PCA comprend des critères et l’exigence de mettre à l’essai les plans de continuité des activités de sorte qu’ils aient tous été vérifiés au cours d’un cycle triennal. À l’exception d’un cas dans notre échantillon, nous n’avons trouvé aucun élément probant de la mise à l’essai systématique des plans de continuité des activités. Si ces plans ne sont pas mis à l’essai, le Ministère ne peut pas être certain de pouvoir intervenir de façon efficace en cas d’incident.

Une formation et des outils liés à la PCA ont été élaborés et sont accessibles sur l’intranet. La région du Pacifique a créé un guide initial de formation des coordonnateurs de la PCA, que le BCG a ensuite adapté pour qu’il soit utilisé à l’échelle nationale. Le BCG a ensuite créé des formations sur la PCA sous forme de présentations, lesquelles sont modifiées et adaptées à des groupes précis. Les outils comprennent le guide de l’utilisateur de plans de continuité des activités du BCG et divers modèles de plans de continuité des activités du BCG. Une formation sur la PCA est également offerte à titre de volet de la formation sur la gestion de la sécurité de l’École de la fonction publique du Canada. Toutefois, la majorité du personnel de l’échantillon du BCG que nous avons interrogé ne savait pas qu’il existait des outils ou une formation concernant la PCA. Le manque de formation offerte aux gestionnaires fonctionnels pourrait limiter leur capacité de s’acquitter efficacement de leurs responsabilités en matière de PCA si un incident avait lieu.

Recommandation

  1. Les processus de PCA devraient être renforcés des manières suivantes :
    • en s’assurant que toutes les ARA font l’objet d’un examen bisannuel, que les plans de continuité des activités font l’objet d’un examen semestriel, et que ces examens sont documentés;
    • en s’assurant que les plans de continuité des activités font tous, à tout le moins, l’objet d’une mise à l’essai sur un cycle triennal, conformément au Programme de PCA, et que les exercices de PCA sont coordonnés avec les FSSE et les autres intervenants;
    • en s’assurant qu’une formation sur la PCA est offerte, que les intervenants en sont informés et qu’elle est fournie aux personnes clés du processus de PCA.

2.3. Suivi de l’état de préparation en matière de PCA

Contexte

Les exigences selon lesquelles les ministères doivent surveiller l’efficacité de leur programme de PCA et en rendre compte sont établies dans la Politique sur la sécurité du gouvernement (PSG)Note de bas de page 9, la Directive sur la gestion de la sécurité ministérielleNote de bas de page 10 et la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSO-PCA)Note de bas de page 11 du Conseil du Trésor. La politique, la directive et la norme opérationnelle définissent également les rôles, les responsabilités et les obligations des ministères et des principaux organismes responsables de la sécurité.

Nos attentes

Nous nous attendions à ce que le Ministère surveille l’état de son Programme de PCA et sa conformité avec la politique gouvernementale, et à ce qu’il en rende compte.

Nos constatations

Transports Canada surveille l’état de son Programme de PCA et sa conformité avec la politique gouvernementale, et il en rend compte à la haute direction.

L’agent de sécurité du Ministère est l’autorité fonctionnelle du Programme de PCA à Transports Canada; il rend compte de l’état général du Programme de PCA à la haute direction et il présente un rapport annuel sur le plan de sécurité ministérielle, qui comprend une partie précise pour rendre compte de l’état général du Programme de PCA et de sa conformité avec les exigences du Programme de PCA du gouvernement. Dans le cadre de la dernière mise à jour présentée au CGX en janvier 2016, les membres du CGX ont fait observer qu’il était nécessaire de mettre les ARA à jour, de réduire le nombre de plans de continuité des activités et de diminuer le niveau d’effort consacré à l’actualisation des plans de continuité des activités. Le CGX a approuvé un calendrier de projet pour l’actualisation des ARA.

En 2014, Transports Canada a mené à bien un examen interne en vue d’évaluer sa conformité avec la Politique sur la sécurité du gouvernement (PSG). Un examen de la conformité avec la PSG doit être effectué tous les trois ans, et les résultats doivent être présentés au CGX et au Secrétariat du Conseil du Trésor. L’examen de 2014 a conduit à la recommandation qu’un exercice sur table soit réalisé à titre d’essai préliminaire des plans de continuité des activités.

Transports Canada a exécuté l’exercice sur table en septembre 2015 et a formulé neuf recommandations d’amélioration. Par la suite, l’agent de sécurité du Ministère a établi un plan d’action, dont une partie importante comprend le remplacement des ARA ministérielles individuelles par une ARA nationale, ainsi que l’examen de l’ARA tous les deux ans. L’équipe de vérification appuie cet engagement et les autres prévus dans le plan d’action.

D’après les lignes directrices et les documents d’orientation existants, le BCG a rassemblé les éléments qu’il s’attendait à trouver dans le programme de PCA d’un ministère. Étant donné que Transports Canada travaille actuellement à la mise à jour de ses ARA et de ses plans de continuité des activités, il devrait s’assurer, s’il y a lieu, que son Programme de PCA remplit les critères du BCG.

Recommandation

  1. L’exercice de renouvellement des ARA et des plans de continuité des activités actuels devrait être accompli, et les critères du BCG énoncés dans la vérification devraient être abordés.

3. Conclusion

Nous avons conclu qu’un cadre de gouvernance est en place pour la gestion du Programme de PCA du Ministère. Des processus ministériels sont également en place aux fins de l’élaboration, de la mise en œuvre, de la mise à l’essai et de l’actualisation des plans de continuité des activités du Ministère. Toutefois, le travail de base visant à déterminer les services essentiels n’a généralement pas été mis à jour depuis la création des ARA en 2006. Bien que les plans de continuité des activités établis par la suite pour les services essentiels recensés soient mis à jour, nous ne savons pas si ces services essentiels sont encore ceux pour lesquels un plan de continuité des activités doit être produit. Transports Canada a reconnu la nécessité d’actualiser ses ARA et ses plans de continuité des activités et d’entreprendre, de façon proactive, un exercice de renouvellement des ARA et des plans de continuité des activités en janvier 2016. Le Ministère doit s’assurer que le processus qu’il a mis en place pour ce renouvellement est accompli et qu’il est conforme aux attentes et aux critères du BCG quant au Programme de PCA.

4. Recommandations et plan d’action de la direction

Il est recommandé que le sous-ministre adjoint, Services généraux, et le dirigeant principal des finances veillent à ce que les recommandations suivantes de la vérification soient prises en considération.

Recommandation Plan d’action de la direction Date d’achèvement
(pour chaque mesure)
Rapport direct du BPR pour chaque mesure précise
1 Le cadre de gouvernance et le cadre stratégique de la PCA devraient être renforcés des manières suivantes :

a. En définissant les rôles et les responsabilités en matière de PCA dans les descriptions de travail ou les accords de rendement des personnes clés.

On fournira une clause type à intégrer dans les accords de rendement des personnes clés qui participent au Programme de PCA de Transports Canada. Terminée Services généraux

b. En s’assurant que la fréquence des réunions est établie dans le mandat du Comité ministériel de sécurité.

Le mandat du CMS sera revu pour y ajouter la fréquence des réunions. Terminée Services généraux

c. En envisageant de conclure des ententes de services officielles avec les fournisseurs de services de soutien essentiels.

On ajoutera une partie sur la PCA dans l’entente de services entre le Ministère et SPAC. Mars 2017 Services généraux
SPC n’a conclu aucune entente de services avec Transports Canada; toutefois, Transports Canada confirmera si les attentes à l’égard du niveau de service publiées dans le catalogue de services de SPC pour l’hébergement d’applications s’appliquent aussi aux environnements existants, y compris Transports Canada. La réponse, qu’elle soit positive ou négative, sera utilisée pour rédiger une clause type dans chaque plan de continuité des activités pour lequel le Ministère fait directement appel à SPC. Terminée  
2 Les processus de PCA devraient être renforcés des manières suivantes :

a. En s’assurant que toutes les ARA font l’objet d’un examen bisannuel, que les plans de continuité des activités font l’objet d’un examen semestriel, et que ces examens sont documentés.

On établira un processus dans le cadre duquel tous les responsables d’ARA devront examiner ces analyses tous les deux ans et documenter leurs examens. Les plans de continuité des activités seront examinés et consignés deux fois par année. Terminée Services généraux

b. En s’assurant que les plans de continuité des activités font tous, à tout le moins, l’objet d’une mise à l’essai sur un cycle triennal, conformément au Programme de PCA, et que les exercices de PCA sont coordonnés avec les FSSE et les autres intervenants.

Un calendrier sera établi afin de veiller à ce que tous les plans de continuité des activités soient mis à l’essai sur un cycle de trois ans, et les exercices de PCA seront coordonnés avec les FSSE et les autres intervenants. Terminée Services généraux

c. En s’assurant qu’une formation sur la PCA est offerte, que les intervenants en sont informés et qu’elle est fournie aux personnes clés du processus de PCA.

L’École de la fonction publique du Canada est responsable d’offrir la formation sur la PCA du gouvernement du Canada, et elle examine actuellement son programme ministériel. L’ASM mettra ce programme à profit lorsque les cours seront offerts. Entre-temps, TC s’assurera que les intervenants sont au courant de la formation existante sur la PCA et qu’elle est offerte aux personnes clés.

Un cartable de documents et le plan de communication proposé seront présentés au CGX. Les documents du cartable donneront un aperçu des procédures de gestion des interventions dans les situations suivantes :

  • - les situations de crise externes, comme les déversements de pétrole brut et les catastrophes naturelles (en partenariat avec l’équipe de la gestion des urgences à TC);
  • - les événements internes, comme les évacuations d’immeubles, les abris sur place, les confinements barricadés et les scénarios de tireur actif.
Terminée Services généraux
3 L’exercice de renouvellement des ARA et des plans de continuité des activités actuels est accompli, et les critères du BCG énoncés dans la vérification y sont abordés. Les recommandations du BCG seront prises en considération lorsque les ARA et les plans de continuité des activités seront revus. Terminée Services généraux