Vérification de la planification de la continuité des activités (PCA)

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Juin 2006

Approuvé par le sous-ministre le 9 janvier 2007

On peut obtenir cette publication sur supports accessibles, sur demande.

Communiquer avec la :
Section des services du multimédia
Direction générale des communications et du marketing
Industrie Canada
Bureau 264D, tour Ouest
235, rue Queen Ottawa (Ontario) K1A 0H5

Tél. : 613-948-1554
Téléc. : 613-947-7155
Courriel : ic.cmb-creative.ic@canada.ca


Autorisation de reproduction

À moins d'indication contraire, l'information contenue dans cette publication peut être reproduite, en tout ou en partie et par quelque moyen que ce soit, sans frais et sans autre permission d'Industrie Canada, pourvu qu'une diligence raisonnable soit exercée afin d'assurer l'exactitude de l'information reproduite, qu'Industrie Canada soit mentionné comme organisme source et que la reproduction ne soit présentée ni comme une version officielle ni comme une copie ayant été faite en collaboration avec Industrie Canada ou avec son consentement.

Pour obtenir l'autorisation de reproduire l'information contenue dans cette publication à des fins commerciales, faire parvenir un courriel à copyright.droitdauteur@tpsgc.gc.ca.

N.B. Dans cette publication, la forme masculine désigne tant les femmes que les hommes.

Also available in English under the title Audit of Business Continuity Planning (BCP)

Version traduite. La version anglaise de ce rapport doit prévaloir en cas d'incohérence.


Table des matières


Sommaire

1.1 Introduction

Conformément aux normes du Secrétariat du Conseil du Trésor du Canada pour la sécurité opérationnelle dans la Politique du gouvernement sur la sécurité (PGS), Industrie Canada (IC) a établi un Programme de planification de la continuité des activités et a dégagé des services critiques et essentiels. Sécurité publique et Protection civile Canada (SPPCC), dont le mandat consiste à examiner les plans des ministères fédéraux pour assurer qu'ils sont en mesure de continuer les activités durant les urgences, a demandé aux vérificateurs des ministères de vérifier la planification de la continuité des activités. Conformément à la demande de SPPCC, Industrie Canada a donc mené une vérification interne de son Programme de PCA.

1.2 Analyse générale

Dans l'ensemble, la vérification a révélé que le programme de PCA repose sur une base solide et offre une certaine assurance que l'organisation pourra gérer les services critiques et essentiels en cas d'interruptions et d'urgences majeures. Toutefois, la vérification a permis de constater que le programme de PCA n'offre pas une assurance complète pour les raisons suivantes : il n'existe aucun programme exhaustif d'exercices; et il reste de sérieuses questions quant à l'intégration de la GI/TI pour les plans critiques de PCA.

1.3 Principales constatations, conclusions et recommandations

La vérification a permis de constater qu'Industrie Canada avait bien administré le programme de PCA dans son ensemble. Dans les secteurs, certaines des fonctions essentielles n'accordent pas assez de priorité à leur PCA. La vérification a cerné de sérieuses préoccupations quant à l'intégration des plans de continuité des activités pour les fonctions critiques à la planification de la continuité en matière de TI, en plus de constater l'absence d'un programme exhaustif d'exercices.

1.3.1 Gouvernance du Plan de continuité des activités (voir Section 3.1 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'Industrie Canada a la responsabilité assignée pour le programme de PCA conformément à la norme.

Nous avons trouvé qu'Industrie Canada avait nommé une coordinatrice de PCA efficace et efficiente qui relève du directeur de la Sécurité et de l'agent de la Sécurité ministérielle (ASM). Un Comité directeur de PCA se rencontre environ tous les six mois afin de discuterdes questions stratégiques en matière de PCA. De plus, un Groupe de travail sur la PCA compte des représentants des divers services ministériels et des fonctions critiques.

Conclusion

Les conditions essentielles d'une gouvernance stable et d'une orientation stratégique sont en place pour offrir une planification efficace de la continuité des activités, un soutien au sous-ministre et la livraison des résultats. Plusieurs améliorations pourraient rehausser la gouvernance générale, ainsi qu'il est décrit dans les recommandations suivantes.

Recommandation 1 :

Un examen critique efficace et indépendant des plans de continuité des activités au niveau des secteurs est nécessaire pour les améliorer. Un tel examen critique devrait être effectué tous les deux ans afin de répondre aux risques et circonstances en évolution rapide. De plus, chaque secteur devrait inclure un examen de la planification de la continuité des activités dans son cycle annuel de planification des activités.

Recommandation 2 :

Industrie Canada devrait identifier les principales relations de dépendance externes. Ces relations de dépendance devraient être évaluées au chapitre de leur importance pour la réussite du plan de continuité des activités. Un plan devrait ensuite être élaboré et documenté pour minimiser toute exposition aux risques. Lorsque cela convient, il faudrait négocier des protocoles d'entente ou des ententes équivalentes avec ces relations de dépendance externes.

Recommandation 3 :

Après un examen critique approfondi des plans de continuité des activités, les relations de dépendance internes (par exemple, services de GI/TI) doivent être identifiées et documentées. Les ententes internes au niveau des services ou certains équivalents doivent être négociés pour assurer que des services appropriés sont disponibles à l'appui de l'exécution des plans de continuité des activités du secteur.

1.3.2 Analyse des incidences sur les activités (voir Section 3.2 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'un programme de PCA efficace repose sur une évaluation des incidences sur les activités (EIA). L'EIA identifie et quantifie les incidences directes et indirectes, quantitatives et qualitatives sur les services critiques et essentiels à la suite d'interruptions et d'urgences.

Industrie Canada a utilisé les EIA en tant qu'un outil pour examiner les services essentiels, mais ne l'a pas fait pour tous les services critiques. L'information acquise par une évaluationdétaillée des incidences offre à la direction des renseignements utiles en vue d'établir les priorités et d'identifier les principaux services.

Conclusion

L'information recueillie dans le cadre d'une évaluation des incidences sur les activités pourrait ajouter une valeur aux plans de continuité des activités. Même si la vérification ne comporte pas une recommandation particulière, Industrie Canada pourrait envisager la conduite et le maintien d'évaluations des incidences sur les activités pour toutes les fonctions opérationnelles afin de veiller à ce que les programmes de PCA pour les fonctions de services telles que le SAPI, les installations et la sécurité, soient appropriées, réceptives et complètes.

1.3.3 Plans d'action et arrangements pour la continuité des activités (voir Section 3.3)

L'objectif de contrôle est d'assurer l'intégralité des plans de continuité des activités en encourageant l'utilisation des évaluations des incidences sur les activités et des évaluations des menaces et des risques. Un autre objectif de contrôle est d'assurer que les options de recouvrement ont été analysées en profondeur afin de fournir des renseignements à la direction sur les choix et les priorités qui conviennent le plus.

Nous avons noté qu'à Industrie Canada, les divers plans de continuité des activités étaient élaborés de façon parallèle, sans profiter d'un effort concerté pour cerner les relations de dépendance d'une fonction à une autre. En particulier, certains plans de continuité des activités avaient mentionné des relations de dépendance envers les installations et les outils de GI/TI sans inclure des réponses correspondantes par le responsable de ces domaines. Comme résultat, les plans de continuité des activités risquent de ne pas servir en cas d'une urgence réelle. De plus, sans une bonne analyse des options de recouvrement accompagnée d'estimations des coûts, les décisions et les choix de la direction dans les situations d'urgence pourraient entraîner des recouvrements dispendieux ou suboptimaux. Nous avons également observé que les stratégies de recouvrement de la continuité des activités étaient vagues, ce qui oblige les équipes d'intervention à improviser.

Conclusion

Les programmes de PCA profiteraient d'une intégration complète aux fonctions de soutien et aux relations de dépendance (voir recommandations 2 et 3. Ils devraient inclure des options de recouvrement qui montrent en détail les étapes à suivre pour fournir des services critiques et essentiels, y compris les coûts totaux et l'analyse des risques et des menaces.

Recommandation 4 :

La planification de l'élaboration des EMR devrait être faite conjointement par l'ASM et l'API. La planification coordonnée assurera que les questions de sécurité relatives aux biens et aux TI sont entièrement couvertes et qu'il n'existe aucune lacune. De plus, toute question en matière de PCA devrait être considérée dans l'élaboration des EMR pour que les coordinateurs de PCA puissent profiter des résultats des EMR. Les résultats des données recueillies dans les EMR peuvent être partagés par l'ASM et l'API.

Recommandation 5 :

Les plans de continuité des activités devraient inclure des stratégies de recouvrement entièrement documentées pour la continuité des activités qui expliquent en détail les étapes à suivre pour fournir des services critiques et essentiels. Les coûts estimatifs sont nécessaires pour identifier une option de recouvrement viable telle que les exigences de GI/TI. Ces coûts peuvent ensuite être utilisés pour les décisions de la direction quant aux priorités et aux choix dans les plans.

Recommandation 6 :

Les plans de continuité des activités et les documents connexes profiteraient d'un système de contrôle de gestion du changement en offrant au lecteur des renseignements sur les dernières mises à jour pour un changement important (p. Ex., mandat des fonctions critiques et essentielles) au plan ainsi que la nature et l'origine des changements.

1.3.4 État de préparation au programme de PCA (voir Section 3.4 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'Industrie Canada a maintenu son programme de PCA à jour. Les plans de continuité des activités profitent d'un programme d'exercices réguliers. Tout incident, interruption et urgence offre des leçons tirées qui peuvent aboutir à un examen plus approfondi et à la mise à jour des plans.

La vérification a révélé qu'Industrie Canada ne disposait pas d'un programme d'exercices réguliers et qu'il n'avait pas élaboré un moyen de partager les leçons tirées à partir d'une base de données sur les incidents, les interruptions et les urgences.

Conclusion

Les plans de continuité des activités d'Industrie Canada sont mis à jour tous les trois mois ou tous les six mois lorsque les noms, les rôles et/ou les numéros de téléphone changent. Il n'y a aucun système de contrôle de la gestion pour les plans de continuité des activités (voir recommandation 6). Nous avons noté qu'il n'y avait aucun programme d'essai ou d'exercice régulier. Par ailleurs, il n'y a aucun modèle standard pour recueillir les leçons tirées à partir d'événements réels ou d'exercices; toute information conservée n'est pas facilement accessible aux planificateurs de la continuité des activités sauf s'ils communiquent avec la coordinatrice de PCA d'IC qui conserve un dossier.

Recommandation 7 :

Il faudrait mener un exercice annuel efficace.

Recommandation 8 :

Industrie Canada devrait mettre en oeuvre une procédure pour recueillir les leçons tirées à partir d'événements réels et d'exercices. Les leçons tirées des exercices et des interruptions et incidents réels devraient être mises à la disposition des coordinateurs de la continuité des activités pour leur fournir une documentation utile au moment d'apporter des changements et améliorations non négligeables aux plans de continuité des activités, au besoin. L'information recueillie sur les incidents et les leçons tirées devrait servir à créer les documents de formation et de sensibilisation à l'intention des gestionnaires et du personnel de haut niveau.

1.3.5 Formation et sensibilisation en matière de PCA (voir Section 3.4 de la norme de PCA)

L'objectif de contrôle est d'assurer qu'une formation et une instruction ont été élaborées, financées et utilisées à l'appui du programme de PCA. Une formation spécialisée est requise pour les spécialistes de la sécurité et pour les planificateurs de la continuité des activités. Il faut des programmes de sensibilisation générale pour sensibiliser le personnel à la planification des mesures d'urgence et pour créer un environnement dans lequel les gens sont confiants que leurs gestionnaires agiront correctement en ce qui concerne la santé et la sécurité et de la protection des biens.

La vérification a permis de constater que la coordinatrice de PCA avait reçu une formation annuelle. Toutefois, nous n'avons pas trouvé que tous les autres coordinateurs de PCA et les gestionnaires principaux avaient assisté à la formation annuelle en matière de PCA; certains n'ont pas suivi de cours de formation externes en matière de PCA.

Conclusion

Nous avons noté que la coordinatrice de PCA d'Industrie PCA et certains des coordinateurs sectoriels de PCA avaient reçu une formation et avaient maintenu leur sensibilisation par la participation à des conférences. D'autres n'ont reçu que des présentations à l'interne et ne disposent pas de l'expérience nécessaire pour composer avec les urgences. De plus, il y a lieu d'améliorer la sensibilisation générale parmi la direction et le personnel de haut niveau à l'égard de la planification de la continuité des activités et de la planification des mesures d'urgence.

Recommandation 9 :

Industrie Canada pourrait améliorer l'éducation des planificateurs de la continuité des activités et des mesures d'urgence au niveau sectoriel et régional en veillant à ce que leur plan annuel de développement de carrière comprenne des cours et des séminaires appropriés sur la planification de la continuité des activités et des mesures d'urgence selon la portée de leurs responsabilités de PCA.

Recommandation 10 :

Industrie Canada devrait assurer que sa politique de PCA est bien communiquée et comprise.

La suggestion suivante pourrait être considérée :

Industrie Canada pourrait améliorer la sensibilisation générale aux questions de planification de la continuité des activités et des mesures d'urgence en mettant à profit l'intranet, en ayant un programme durant la semaine annuelle de sensibilisation à la PCA et en faisant une promotion des présentations sur site par la coordinatrice de PCA.

2.0 Introduction

2.1 Contexte

2.1.1 Politique du Secrétariat du Conseil du Trésor du Canada (SCT)

Extrait de la « Norme de sécurité opérationnelle — Programme de planification de la continuité des activités » du Secrétariat du Conseil du Trésor du Canada :

Aux termes des articles 10.1, 10.14 et 10.12.4 de la Politique du gouvernement sur la sécurité (PGS), on doit assurer la prestation continue des services gouvernementaux selon des exigences sécuritaires de base, une planification de la continuité des activités, y compris une planification de la continuité de la gestion de l'information (GI) et de la technologie de l'information (TI) et une gestion continue des risques. La PGS et les normes connexes décrivent ces exigences sécuritaires de base. Elles se fondent sur une évaluation pangouvernementale des menaces et des risques et visent à protéger les ressources sur lesquelles le gouvernement compte pour fournir les services : employés, information et autres biens.

Pour respecter les exigences sécuritaires de base, les ministères doivent établir un programme de planification de la continuité des activités (PCA) pour permettre la disponibilité continue :

  • des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ainsi que l'efficacité du gouvernement. La non-disponibilité de ces biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement;
  • de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques.

Le Programme de PCA va de pair avec la protection civile qui est prescrite par la loi ou la politique du gouvernement (par exemple les plans d'évacuation des édifices et en cas d'incendie; les plans d'intervention civils). Il appuie en outre la planification nécessaire au rétablissement des services autres qu'essentiels et des biens et ressources connexes; les ministères devraient se servir de ce programme pour planifier les mesures à prendre concernant les services autres qu'essentiels.

Norme de sécurité opérationnelle — Programme de planification de la continuité des activités du Secrétariat du Conseil du Trésor du Canada

2.1.2 Politique d'Industrie Canada

Conformément à la norme susmentionnée, Industrie Canada déclare l'énoncé de politique suivant :

Afin d'appuyer l'intérêt national et les objectifs opérationnels du gouvernement du Canada visant à protéger les employés et les biens et à assurer la prestation continue des services, Industrie Canada établit un programme de planification de la continuité des activités afin de prévoir la disponibilité continue des services critiques et des biens, et d'autres services lorsque cela est jugé nécessaire par suite d'une évaluation des menaces et des risques, et assurera l'élaboration, la mise en oeuvre et le maintien des plans de continuité des activités.

Norme susmentionnée, Industrie Canada

2.1.3 Détermination des services critiques et essentiels d'Industrie Canada

D'après la définition des « services critiques » du Conseil du Trésor, Industrie Canada a identifié ses services critiques et essentiels.

2.1.4 Rôle de Sécurité publique et Protection civile Canada (SPPCC)

En vertu de la Politique de sécurité nationale de 2004, Sécurité publique et Protection civile Canada (SPPCC) a la responsabilité « de renforcer les principaux mécanismes d'essai et de vérification et de faire des évaluations des autres ministères. Cette tâche inclura un examen des plans de continuité des opérations des ministères fédéraux afin d'assurer leur capacité de continuer de gérer leurs opérations en situation d'urgence. »

Cette orientation est d'autant plus amplifiée par l'orientation que ce ministère doit fournir aux ministères du gouvernement du Canada sous la section « La voie à suivre — Coordination stratégique ». Le paragraphe pertinent prévoit ce qui suit :

Il faut que le gouvernement puisse continuer à fournir des services de base aux Canadiens en cas d'urgence. La consolidation des travaux existants à cet égard permettra aux ministères fédéraux de faire en sorte qu'ils continuent à servir les Canadiens, quelles que soient les circonstances. Pour ce faire, ils renforceront leurs mécanismes de planification de la poursuite de leurs activités et s'imposeront des exercices réguliers pour en vérifier l'efficacité.

La voie à suivre — Coordination stratégique

Les vérificateurs internes des ministères sont appelés à collaborer avec SPPCC afin de veiller à ce que, comme première étape, les programmes de PCA soient vérifiés par les ministères. À un stade ultérieur, SPPCC commencera un programme de vérification et d'examen indépendant des PCA, exécuté par des tiers.

Conformément à la demande susmentionnée faite par SPPCC, Industrie Canada a donc entrepris une vérification interne de ses programmes de PCA.

2.2 Objectifs de la vérification

Les objectifs de vérification suivants sont regroupés selon la norme de PCA :

  • Gouvernance de la PCA (Section 3.1 de la norme de PCA)
    Assurer que le ministère a établi une structure de gouvernance pour le Programme de PCA.
  • Analyse des incidences sur les activités (Section 3.2 de la norme de PCA)
    Assurer que le ministère a complété une analyse des incidences sur les activités pour sélectionner et prioriser ses services critiques et pour cerner les incidences des interruptions sur le ministère.
  • Plans et arrangements (Section 3.3 de la norme de PCA)
    Assurer que le ministère a élaboré des plans et des arrangements pour prévoir la disponibilité continue des services critiques, notamment l'établissement d'équipes chargées de rétablir les services et, au besoin et si jugé nécessaire, l'identification d'un site de rechange à partir duquel on peut offrir les services critiques.
  • État de préparation à la PCA (Section 3.4 de la norme de PCA)
    Assurer que le ministère a mis en place un régime de maintenance continue, de formation, d'essais, de vérifications et d'exercices pour garder le Programme de PCA à jour et prêt à être déployé en cas d'interruption.
  • Formation et sensibilisation en matière de PCA (Section 3.4 de la norme de PCA)
    Assurer qu'une formation appropriée en matière de sécurité et de continuité des activités a été offerte aux spécialistes de la sécurité et de la PCA, ainsi qu'aux planificateurs des mesures d'urgence. Veiller à ce que les programmes de formation, d'instruction et de sensibilisation soient en place au sein du ministère pour que le personnel qui s'adonne à temps plein ou à temps partiel à l'exécution des tâches en matière de PCA soit en mesure d'appuyer adéquatement le programme de PCA.

2.3 Portée de la vérification

La vérification a examiné la planification de la continuité des activités d'Industrie Canada en vigueur au 31 mars 2006.

2.4 Approche de la vérification

La vérification a été effectuée conformément au processus de vérification standard basé sur les normes professionnelles qui sont conformes aux Normes pour la pratique professionnelle de la vérification interne (Institut de vérification interne).

2.5 Critères de vérification

Les critères de vérification détaillés utilisés durant cette vérification proviennent du « Guide sur les Programmes de planification de la continuité des activités » (ébauche), daté de juin 2004 et publié par Sécurité publique et Protection civile Canada.

2.6 Remerciements

L'équipe de vérification tient à remercier les gestionnaires et le personnel d'Industrie Canada qui se sont rendus disponibles et qui ont fourni toute la documentation demandée. Nous remercions spécialement la coordinatrice de PCA pour son soutien et son travail.

3.0 Constatations et recommandations détaillées de la vérification

3.1 Gouvernance du plan de continuité des activités

Industrie Canada dispose d'une structure de gouvernance pour le programme de PCA. Le sous-ministre en a délégué la responsabilité au sous-ministre délégué principal et au SMA, Fonction de contrôleur et administration. L'ASM du ministère assume la responsabilité administrative envers le programme. La coordinatrice ministérielle de la PCA relève de l'ASM.

Sous la présidence du SMA, un Comité directeur de la PCA se compose de représentants des secteurs d'Industrie Canada qui gèrent des fonctions critiques, ainsi que des représentants des divers services ministériels. Le Comité directeur est l'organisme décisionnel en matière de PCA. Un Groupe de travail sur la continuité des activités s'occupe des questions de coordination et de soutien. Le Groupe de travail compte parmi ses membres des gestionnaires opérationnels clés. Les secteurs qui gèrent les fonctions critiques incluent des coordinateurs de PCA et de planification des mesures d'urgence à temps plein. Les secteurs qui gèrent les services essentiels, pour leur part, ont des coordinateurs de PCA et de planification des mesures d'urgence à temps partiel. Des équipes d'intervention ont été identifiées et des listes de personnes-ressources pertinentes ont été créées. Ces listes sont régulièrement mises à jour.

Même si Industrie Canada avait initialement retenu les services contractuels d'experts externes pour aider à créer son programme de PCA, nous avons constaté que les plans n'ont pas fait l'objet d'un examen critique indépendant ou d'une évaluation indépendante depuis. En particulier, une évaluation indépendante pourrait clarifier et identifier les hypothèses, les interrelations, les relations de dépendances et les exigences de service dans les plans qui nécessitent une négociation attentive entre les organisations et les unités opérationnelles impliquées.

Recommandation 1 :

Un examen critique efficace et indépendant des plans de continuité des activités au niveau des secteurs est nécessaire pour les améliorer. Un tel examen critique devrait être effectué tous les deux ans afin de répondre aux risques et circonstances en évolution rapide. De plus, chaque secteur devrait inclure un examen de la planification de la continuité des activités dans son cycle annuel de planification des activités.

Les secteurs et les fonctions de service d'Industrie Canada se sont concentrés sur leurs programmes de PCA de façon isolée. Par conséquent, Industrie Canada n'a pas examiné en profondeur les relations de dépendance externes pour l'exécution réussie des plans. Lorsqu'il existe des relations de dépendance clés, il faudrait évaluer leur importance à la PCA et on devrait élaborer et documenter un plan afin de minimiser l'exposition.

Recommandation 2 :

Industrie Canada devrait identifier les principales relations de dépendance externes. Ces relations de dépendance devraient être évaluées au chapitre de leur importance pour la réussite du plan de continuité des activités. Un plan devrait ensuite être élaboré et documenté pour minimiser toute exposition aux risques. Lorsque cela convient, il faudrait négocier des protocoles d'entente ou des ententes équivalentes avec ces relations de dépendance externes.

Les plans émettent des hypothèses et identifient des exigences quant aux niveaux de service requis à l'interne pour des interventions réussies face aux situations d'urgence. Dans les cas où ces exigences de service internes ont été identifiées, il n'existe aucune entente au niveau des services pour assurer aux unités opérationnelles que la priorité et les niveaux de services requis seront fournis en cas d'urgence.

Recommandation 3 :

Après un examen critique approfondi des plans de continuité des activités, les relations de dépendance internes (par exemple, services de GI/TI) doivent être identifiées et documentées. Les ententes internes au niveau des services ou certains équivalents doivent être négociés pour assurer que des services appropriés sont disponibles à l'appui de l'exécution des plans de continuité des activités du secteur.

3.2 Analyse des incidences sur les activités

Industrie Canada n'a pas complété des analyses des incidences sur les activités pour tous ses secteurs d'activité, malgré la recommandation de SPPCC. Dans le cas des services critiques, par exemple, la haute direction a identifié des services critiques et a pris la décision de procéder à la création de plans de PCA, sans compléter d'abord les analyses des incidences sur les activités. Même si la vérification ne contient aucune recommandation particulière à cet effet, Industrie Canada pourrait envisager d'effectuer et de maintenir des évaluations des incidences sur les activités pour toutes les fonctions opérationnelles afin d'assurer que les programmes de PCA pour les fonctions de service telles que le SAPI, l'unité des installations et l'unité de la sécurité, sont appropriées, réceptives et complètes.

3.3 Plans d'action et arrangements en matière de PCA

Les évaluations des menaces et des risques (EMR) constituent une source d'information précieuse. Elles complètent les évaluations des incidences sur les activités qui peuvent servir à assurer que la planification de la continuité des activités prend en considération tous les facteurs possibles qui influencent les services au public canadien. Nous avons trouvé que deux types d'évaluations des menaces et des risques sont effectués à Industrie Canada : l'un pour la sécurité physique et l'autre pour la sécurité des technologies de l'information. Les deux types ne sont pas liés, mais ils peuvent être exécutés indépendamment l'un de l'autre. Bien que certaines questions en matière de PCA soient récemment ajoutées au questionnaire de sécurité physique, nous avons noté qu'il y a lieu d'améliorer les questions. Ainsi, l'EMR en matière de TI n'inclut pas des questions liées à la continuité des activités ou à la planification des mesures d'urgence.

Recommandation 4 :

La planification de l'élaboration des EMR devrait être faite conjointement par l'ASM et l'API. La planification coordonnée assurera que les questions de sécurité relatives aux biens et aux TI sont entièrement couvertes et qu'il n'existe aucune lacune. De plus, toute question en matière de PCA devrait être considérée dans l'élaboration des EMR pour que les coordinateurs de PCA puissent profiter des résultats des EMR. Les résultats des données recueillies dans les EMR peuvent être partagés par l'ASM et l'API.

En vertu de la Norme de sécurité opérationnelle — Programme de planification de la continuité des activités, les ministères sont tenus d'inclure des instructions qui décrivent comment les services opérationnels critiques et essentiels doivent être rétablis en cas d'urgence. La Norme fait appel à l'élaboration d'options de recouvrement à partir desquelles une stratégie de recouvrement peut être sélectionnée. Les options de recouvrement doivent être estimées selon les coûts. Il faut cerner les risques et les avantages, en plus d'évaluer les incidences. La haute direction doit ensuite approuver et financer les stratégies sélectionnées. Nous avons noté que certains plans, comme le PCA pour le SAPI, comportaient de telles instructions détaillées pour le recouvrement. D'autres plans de continuité des activités, par contre, nécessitent certaines améliorations car ils ne documentent pas en détail la façon de rétablir les fonctions opérationnelles critiques et essentielles, ou semblent être copiés d'une autre source quelconque.

Recommandation 5 :

Les plans de continuité des activités devraient inclure des stratégies de recouvrement entièrement documentées pour la continuité des activités qui expliquent en détail les étapes à suivre pour fournir des services critiques et essentiels. Les coûts estimatifs sont nécessaires pour identifier une option de recouvrement viable telle que les exigences de TI/GI. Ces coûts peuvent ensuite être utilisés pour les décisions de la direction quant aux priorités et aux choix dans les plans.

Recommandation 6 :

Les plans de continuité des activités et les documents connexes profiteraient d'un système de contrôle de gestion du changement en offrant au lecteur des renseignements sur les dernières mises à jour pour un changement important (par exemple, mandat des fonctions critiques et essentielles) au plan ainsi que la nature et l'origine des changements.

3.4 État de préparation à la PCA

La Norme de sécurité opérationnelle — Programme de planification de la continuité des activités (PCA) exige un essai et une validation réguliers de tous les plans, y compris la collecte de leçons tirées. Notre vérification a révélé que, même si certains exercices ont été réalisés, dans la plupart des cas, les plans de continuité des activités n'ont pas du tout été mis en pratique. Il n'existe aucun plan d'exercice annuel pour les plans de continuité des activités au niveau sectoriel.

Recommandation 7 :

Il faudrait mener un exercice annuel efficace.

Recommandation 8 :

Industrie Canada devrait mettre en oeuvre une procédure pour recueillir les leçons tirées à partir d'événements réels et d'exercices. Les leçons tirées des exercices et des interruptions et incidents réels devraient être mises à la disposition des coordinateurs de la continuité des activités pour leur fournir une documentation utile au moment d'apporter des changements et améliorations non négligeables aux plans de continuité des activités, au besoin. L'information recueillie sur les incidents et les leçons tirées devrait servir à créer les documents de formation et de sensibilisation à l'intention des gestionnaires et du personnel de haut niveau.

3.5 Formation et sensibilisation en matière de PCA

Même si la coordinatrice de PCA et les planificateurs de PCA pour les services critiques ont reçu une formation officielle, les planificateurs régionaux et les planificateurs sectoriels n'ont généralement suivi que des séances internes d'orientation et de formation.

Recommandation 9 :

Industrie Canada pourrait améliorer l'éducation des planificateurs de la continuité des activités et des mesures d'urgence au niveau sectoriel et régional en veillant à ce que leur plan annuel de développement de carrière comprenne des cours et des séminaires appropriés sur la planification de la continuité des activités et des mesures d'urgence selon la portée de leurs responsabilités de PCA.

La vérification a permis de constater que la politique de PCA d'Industrie Canada n'a pas été mise à la disposition de tout le personnel et que certains planificateurs de la continuité des activités ne sont pas au courant de la politique.

Recommandation 10 :

Industrie Canada devrait assurer que sa politique de PCA est bien communiquée et comprise.

Industrie Canada ne dispose pas d'un programme de sensibilisation général à la planification de la continuité des activités qui tire profit des diverses méthodologies pour atteindre le personnel d'Industrie Canada.

La suggestion suivante pourrait être considérée :

Industrie Canada pourrait améliorer la sensibilisation générale aux questions de planification de la continuité des activités et des mesures d'urgence en mettant à profit l'intranet, en ayant un programme durant la semaine annuelle de sensibilisation à la PCA et en faisant une promotion des présentations sur site par la coordinatrice de PCA.

Annexe A — Réponse de la gestion et plan d'action

Tableau 1 :
Programme de planification de la continuité des activités
Direction des services de sécurité
Secteur administratif et du contrôleur
Réponse de la gestion et plan d'action
Juin 2006
Recommandations de la DGVE Réponse de PCA par le Comité directeur de la continuité des activités et plan d'action Action par Échéance

Recommandation 1 :
continuité des activités au niveau des secteurs est nécessaire pour les améliorer. Un tel examen critique devrait être effectué tous les deux ans afin de répondre aux risques et circonstances en évolution rapide. De plus, chaque secteur devrait inclure un examen de la planification de la continuité des activités dans son cycle annuel de planification des activités.

En accord. IC veillera à ce qu'un examen critique indépendant des plans de continuité des activités soit effectué tous les deux ans afin de répondre rapidement aux risques et circonstances en évolution rapide.

En plus de l'examen critique indépendant, on demandera à chaque fonction critique et essentielle d'inclure un examen de leurs plans de continuité des activités dans leur cycle annuel de planification des activités.

Coordinatrice ministérielle de la PCA conjointement au GTCA

L'examen commencera en Janvier 2007 et se terminera d'ici octobre 2007

Le contrat sera émis en février/mars 2007

Recommandation 2 :
Industrie Canada devrait identifier les principales relations de dépendance externes. Ces relations de dépendance devraient être évaluées au chapitre de leur importance pour la réussite du plan de continuité des activités. Un plan devrait ensuite être élaboré et documenté pour minimiser toute exposition aux risques. Lorsque cela convient, il faudrait négocier des protocoles d'entente ou des ententes équivalentes avec ces relations de dépendance externes.

En accord. IC convient que les principales relations de dépendance devraient être identifiées si elles font partie des plans de continuité des activités. Un plan sera alors élaboré et documenté afin de minimiser toute exposition aux risques.

Lorsque les plans seront critiqués tous les deux ans, un examen des relations de dépendance sera effectué.

 — Responsable — GTCA

 — Les secteurs responsables pour les fonctions critiques

 — Les secteurs responsables pour les fonctions essentielles

Débutera en janvier 2007

Les fonctions critiques prendront fin d'ici octobre 2007

Les fonctions essentielles prendront fin à la fin janvier 2008

Les dépendances externes devront être examinées quand les PCAs seront mises à jour

Recommandation 3 :
Après un examen critique approfondi des plans de continuité des activités, les relations de dépendance internes (par exemple, services de GI/TI) doivent être identifiées et documentées. Les ententes internes au niveau des services ou certains équivalents doivent être négociés pour assurer que des services appropriés sont disponibles à l'appui de l'exécution des plans de continuité des activités du secteur.

L'API a avisé qu'un coordinateur de PCA TI sera embauché. Le coordonnateur s'occupera de cette question.

Le projet de transition des TI se trouve actuellement à la phase 2; des conventions sur le niveau de service (CNS) sont en cours d'élaboration à l'intérieur du cadre de gestion des services.

Un consultant a été embauché par l'API pour rencontrer les représentants de chaque fonction critique et essentielle afin de cerner leurs exigences en GI/TI. Le Programme de gestion de la continuité des services (GCSTI) est en cours d'élaboration et d'évolution.

API
ASM (FM)
Plus tout autre secteur touché par les relations de dépendance internes identifiées dans le cadre de l'examen critique des PCA.

Commencera en décembre 2006 et finira en octobre 2007

Sera embauché en décembre 2006

A débuté en avril 2006 et se terminera en mars 2007

A débuté en juillet 2006 et se terminera en octobre 2006

Recommandation 4 :
La planification de l'élaboration des EMR devrait être faite conjointement par l'ASM et l'API. La planification coordonnée assurera que les questions de sécurité relatives aux biens et aux TI sont entièrement couvertes et qu'il n'existe aucune lacune. De plus, toute question en matière de PCA devrait être considérée dans l'élaboration des EMR pour que les coordinateurs de PCA puissent profiter des résultats des EMR. Les résultats des données recueillies dans les EMR peuvent être partagés par l'ASM et l'API.

Les résultats des données recueillies dans les EMR peuvent être partagés par l'ASM et l'API.

Un Groupe de travail sur les EMR sera créé pour examiner les processus actuels d'EMR au sein d'IC. Le groupe de travail définira un processus pour assurer que les données recueillies dans les EMR sont partagées entre l'ASM, le coordinateur de sécurité des TI et les deux coordinateurs de la continuité des TI et de la PCA.

ASM (DSO) et API (Sec. TI)

Sera mis en œuvre d'ici mars 2007

Recommandation 5 :
Les plans de continuité des activités devraient inclure des stratégies de recouvrement entièrement documentées pour la continuité des activités qui expliquent en détail les étapes à suivre pour fournir des services critiques et essentiels. Les coûts estimatifs sont nécessaires pour identifier une option de recouvrement viable telle que les exigences de TI/GI. Ces coûts peuvent ensuite être utilisés pour les décisions de la direction quant aux priorités et aux choix dans les plans.

Les plans de continuité des activités seront examinés pour assurer que les stratégies de recouvrement documentées ont des instructions de recouvrement détaillées.

Tel qu'indiqué dans notre réponse à la recommandation 3 en ce qui concerne les exigences de GI/TI, les coûts seront calculés pour aider la gestion à prendre des décisions sur les priorités et les choix.

 — Coordinatrice ministérielle de la PCA conjointement au GTCA

 — API
 — ASM (FM)

L'examen sera effectué durant la période des défis indépendants.
Voir recommandation 1

Recommandation 6 :
Les plans de continuité des activités et les documents connexes profiteraient d'un système de contrôle de gestion du changement en offrant au lecteur des renseignements sur les dernières mises à jour pour un changement important (par exemple, mandat des fonctions critiques et essentielles) au plan ainsi que la nature et l'origine des changements.

En accord. IC convient qu'il faudrait ajouter un système de contrôle de gestion aux plans de continuité des activités et aux documents connexes.

Les Plans de continuité des activités continueront de refléter les données révisées sur la première page des plans et dans les notes de bas de page.

Tous les changements importants, comme le mandat et le niveau de services minimums, etc. seront notés dans le système de gestion du changement. L'information suivante sera fournie : numéro de la version, modifié par, date de modification, description de la modification.

Coordinatrice ministérielle de la PCA Mis en oeuvre juin 2006

Recommandation 7 :
Il faudrait mener un exercice annuel efficace.

En accord.

Coordinatrice ministérielle de la PCA conjointement au GTCA

Annuellement — Le premier exercice sera fait d'ici mars 2007
Les propositions vont être demandées d'ici janvier 2007

Recommandation 8 :
Industrie Canada devrait mettre en oeuvre une procédure pour recueillir les leçons tirées à partir d'événements réels et d'exercices. Les leçons tirées des exercices et des interruptions et incidents réels devraient être mises à la disposition des coordinateurs de la continuité des activités pour leur fournir une documentation utile au moment d'apporter des changements et améliorations non négligeables aux plans de continuité des activités, au besoin. L'information recueillie sur les incidents et les leçons tirées devrait servir à créer les documents de formation et de sensibilisation à l'intention des gestionnaires et du personnel de haut niveau.

En accord. IC établira une procédure pour relever les leçons tirées des événements réels et des exercices.

Nous utiliserons ensuite cette information pour le matériel de formation et de sensibilisation.

Coordinatrice ministérielle de la PCA

La procédure sera élaborée et mise en oeuvre d'ici mars 2007

Recommandation 9 :
Industrie Canada pourrait améliorer l'éducation des planificateurs de la continuité des activités et des mesures d'urgence au niveau sectoriel et régional en veillant à ce que leur plan annuel de développement de carrière comprenne des cours et des séminaires appropriés sur la planification de la continuité des activités et des mesures d'urgence selon la portée de leurs responsabilités de PCA

Les gestionnaires responsables de la PCA seront contactés et encouragés à inclure une formation appropriée en PCA dans les plans annuels de développement de carrière des coordinateurs de PCA.

Coordinatrice ministérielle de la PCA / GTCA /CDCA

Sera complété d'ici février 2007

Recommandation 10 :
Industrie Canada devrait assurer que sa politique de PCA est bien communiquée et comprise.

En accord. La politique sera affichée dans la section de PCA du site Web des Services de sécurité. De plus, une série de cas sur la PCA, quand et comment l'utiliser, accompagnée d'entrevues avec le personnel de PCA à Industrie Canada, seront rédigés et publiés dans
Cette semaine @ IC, le bulletin d'information hebdomadaire des employés du ministère.

Coordinatrice ministérielle de la PCA conjointement au représentant de la PCA de la Direction générale des communications et du marketing

La politique sera affichée d'ici novembre 2006
Les articles sont prévus pour publication ou début de décembre 2006