Rapport d'audit
Août 2017
Numéro de projet : 80590-98
Conformité aux normes professionnelles
- Contexte
- Objectifs de l'audit
- Portée
- Approche et méthodologie
- Autorité
Constatations, recommandations et réponse de la direction
- Gouvernance de la sécurité physique
- Conception et mise en œuvre de mesures de contrôle de la sécurité physique
- Annexe A : Critères de l'audit
- Annexe B : Acronymes
Sommaire
La sécurité physique au sein du gouvernement du Canada est gouvernée par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.
Les administrateurs généraux sont responsables de la mise en œuvre efficace de contrôles matériels au sein de leurs ministères et de la nomination d'un agent ministériel de la sécurité pour gérer le programme de sécurité du ministère.
Statistique Canada gère la sécurité physique dans les quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles reliés entre eux au pré Tunney à Ottawa, en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.
L'audit visait à fournir au statisticien en chef du Canada et au Comité de vérification de Statistique Canada l'assurance que :
- Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace;
- Les pratiques et mesures de sécurité physique adoptées par Statistique Canada pour protéger les installations, les biens et les renseignements et d'en gérer l'accès sont conformes aux instruments de politiques pertinents du CT et de Statistique Canada en matière sécurité physique.
L'audit a été mené par la Division de l'audit interne conformément à la Politique sur l'audit interne du gouvernement du Canada.
Pourquoi est-ce important?
Pour réaliser son mandat, Statistique Canada a accès à des renseignements statistiques de nature délicate et confidentielle qui, s'ils étaient compromis, pourraient avoir une incidence directe sur la réputation de l'organisme et miner sa crédibilité. Statistique Canada partage ses locaux avec d'autres locataires, et aucun audit de la sécurité physique n'a été réalisé depuis la mise en œuvre de la nouvelle politique sur la sécurité en 2009 et la mise à jour de celle‑ci en 2012. L'audit a été ajouté au plan d'audit fondé sur les risques afin de fournir l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail.
Principales constatations
Statistique Canada est doté d'une structure de gouvernance pour soutenir son programme de gestion de la sécurité physique, lequel comporte des rôles, des responsabilités, des politiques et des procédures clairement définis.
Des processus sont en place pour s'assurer que les employés possèdent une cote de sécurité et qu'ils reçoivent une formation sur les pratiques et exigences de sécurité. Pendant le processus de filtrage de sécurité, certains renseignements personnels relatifs à la sécurité sont échangés entre bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.
Un plan de sécurité ministériel est en place pour soutenir la gestion de la sécurité physique de l'organisme ainsi qu'un plan pour s'assurer de la poursuite des activités en cas d'urgence.
L'accès physique aux installations de Statistique Canada est restreint au personnel possédant une cote de sécurité, [Cette information a été expurgée].
Les évaluations de la menace et des risques à la sécurité physique ne sont pas effectuées, ce qui limite la capacité de la gestion à prendre des décisions éclairées sur les contrôles de sécurité matériels, dont une approche adoptée à l'échelle de l'organisme concernant les zones et les contrôles de sécurité fondés sur des critères préétablis.
Certaines pratiques opérationnelles pourraient être améliorées afin de renforcer l'approche de l'organisme au chapitre de la sécurité. Cela nécessite de conclure des ententes écrites avec les locataires de l'immeuble (p. ex., d'autres ministères gouvernementaux) et de créer une fonction de remise en question pour s'assurer que les cartes d'identité sont portées en tout temps de façon visible.
Des pratiques de surveillance et de production de rapport sont en place, mais elles ne sont pas optimisées pour le soutien de la gestion de la sécurité physique. Il n'existe aucune définition documentée de ce qu'est exactement un incident de sécurité, aucun processus défini de renvoi au niveau supérieur pour les incidents de sécurité et aucune base de données centralisée sur les incidents.
Conclusion générale
De façon générale, Statistique Canada se conforme aux instruments de politique pertinents du CT et de Statistique Canada. Il existe une structure de gouvernance qui comprend des responsabilités et des rôles clairement définis. Des mesures de contrôles de sécurité matériels fournissent un accès aux personnes ayant fait l'objet d'un filtrage de sécurité, et il y a surveillance des incidents de sécurité et production de rapports à leur sujet.
Les contrôles au sein de l'environnement de contrôle matériel pourraient être améliorés par l'évaluation régulière des risques détectant les nouvelles menaces, par la mise sur pied d'une hiérarchie de zones de sécurité, et de procédures et protocoles consignés par écrit pour la déclaration d'incidents. La gestion de la sécurité physique se verrait renforcée par l'optimisation des pratiques de surveillance et de production de rapports afin de renforcer la posture globale de sécurité à Statistique Canada.
Conformité aux normes professionnelles
L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).
L'application de procédures d'audit suffisantes et appropriées et le rassemblement de données appuient l'exactitude des constatations et des conclusions du présent rapport et donnent une assurance de niveau audit. Les constatations et les conclusions sont fondées sur une comparaison des conditions, telles qu'elles existaient au moment de l'audit, au regard de critères d'audit préétablis. Les constatations et les conclusions s'appliquent à l'entité examinée et pour la portée et la période de référence de l'audit.
Steven McRoberts
Dirigeant principal de la
vérification et de l'évaluation
Introduction
Contexte
La sécurité physique au sein du gouvernement du Canada est régie par la Politique sur la sécurité du gouvernement, la Directive sur la gestion de la sécurité ministérielle et la Norme opérationnelle sur la sécurité physique du Conseil du trésor (CT). La Politique du CT définit la sécurité du gouvernement comme l'assurance que l'information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. Les administrateurs généraux sont responsables de la mise en œuvre et de la gouvernance efficace de la sécurité et de la nomination d'un agent ministériel de la sécurité (AMS) pour gérer le programme de sécurité du ministère.
À Statistique Canada, le directeur général de la Direction des opérations a été nommé comme AMS et assure la présidence du Comité de coordination de la sécurité (CCS). L'AMS est responsable de toutes les questions de sécurité, dont la sécurité physique des immeubles de Statistique Canada à Ottawa et des bureaux régionaux dans d'autres villes.
Statistique Canada gère la sécurité physique des quatre immeubles de la région de la capitale nationale. Ceci inclus trois immeubles interconnectés au pré Tunney à Ottawa en Ontario, et d'un immeuble à Gatineau, au Québec, lequel est principalement utilisé pour effectuer le recensement aux cinq ans. Ces immeubles comprennent les bureaux des employés de Statistique Canada, d'autres locataires ainsi que des biens, données et services essentiels du gouvernement.
Objectifs de l'audit
L'audit visait à fournir au statisticien en chef et au Comité de vérification de Statistique Canada l'assurance que :
- Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité physique est adéquat et efficace.
- Les pratiques et mesures de Statistique Canada touchant la sécurité physique en vue de protéger les installations, les biens et les renseignements de l'organisme et d'en gérer l'accès sont conformes aux instruments de politique pertinents du CT et de Statistique Canada en matière de sécurité physique.
Portée
L'audit consistait à examiner le programme de sécurité physique de Statistique Canada et à déterminer la mesure dans laquelle il permet la coordination et la gestion efficace des activités ministérielles de sécurité. L'audit a également observé la mesure dans laquelle le programme de sécurité est soutenu par une structure de gouvernance appropriée présentant des responsabilités claires, ainsi que des objectifs clairement définis qui cadrent avec les politiques, priorités et plans plus vastes de l'organisme.
L'audit ne comprenait pas l'évaluation de la sécurité physique pour les bureaux régionaux de Statistique Canada. Une visite de l'immeuble DE Gatineau a été effectuée, mais des tests approfondis n'y ont pas été effectués, car l'immeuble a été jugé comme présentant de faibles risques en raison de son utilisation et de son occupation limitées.
Approche et méthodologie
L'approche d'audit comprenait l'examen et l'analyse de documents pertinents, des entrevues avec des membres clés de la gestion et du personnel, des tests et une visite des quatre immeubles de la région de la capitale nationale, de même que l'examen des processus et des pratiques liées aux mesures de sécurité physique. Pendant la phase d'examen, l'équipe de l'audit s'est penchée sur la gouvernance, ainsi que les processus et procédures de gestion et de contrôle du risque, a examiné les mesures de protection matérielles et a comparé les pratiques de sécurité actuelles aux pratiques exemplaires et aux lignes directrices fournies par le Secrétariat du Conseil du trésor du Canada.
L'audit a été réalisé conformément aux Normes relatives à la vérification interne au sein du gouvernement du Canada, qui comprennent les Normes internationales pour la pratique professionnelle de l'audit interne de l'Institute of Internal Auditors (IIA).
Autorité
L'audit a été mené en vertu des pouvoirs prévus dans le Plan d'audit et d'évaluation fondé sur les risques pour la période allant de 2016-2017 à 2020-2021, qui a été approuvé par Statistique Canada.
Constatations, recommandations et réponse de la direction
Statistique Canada est doté d'une structure de gouvernance à l'appui de son programme de gestion de la sécurité physique, lequel comporte des rôles, des responsabilités, des politiques et des procédures clairement définis.
Des processus sont en place pour s'assurer que les employés possèdent une cote de sécurité et qu'ils reçoivent une formation sur les pratiques et exigences de sécurité et qu'ils y sont sensibilisés. Des renseignements personnels de sécurité sur les employés sont échangés entre bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.
Un plan de sécurité ministériel est en place pour soutenir la gestion de la sécurité physique de l'organisme de même qu'un plan pour s'assurer de la poursuite des activités en cas d'urgence.
Une structure de gouvernance est en place à l'appui du programme de gestion efficace de la sécurité physique
Une structure efficace de gouvernance de la sécurité physique permet la coordination d'activités par l'attribution claire des responsabilités de gestion et de surveillance des contrôles de sécurité matériels afin d'atteindre les objectifs du programme.
La surveillance à Statistique Canada est fournie par le Comité de coordination de la sécurité (CCS). Relevant du Conseil exécutif de gestion, le CCS supervise tous les aspects des enjeux de sécurité du domaine de la technologie de l'information (TI) et de la gestion de l'information (GI) et est composé de représentants de tous ces groupes, ainsi que les installations et les ressources humaines. Le rôle principal du CCS est d'examiner et d'étudier les questions portant sur la sécurité et d'apporter son aide et ses conseils dans le cadre de l'élaboration des politiques, procédures et programmes appropriés, y compris les programmes de formation et de sensibilisation. Le CCS se réunit chaque mois et des processus formels sont en place à l'appui de son mandat.
Le directeur général des Opérations, relevant du statisticien en chef adjoint (SCA), Secteur du recensement, des opérations et des communications, est l'AMS désigné à Statistique Canada et préside le CCS. La directrice des Services de soutien intégrés relève du directeur général des Opérations, et s'est vue assigner le rôle d'agente de sécurité adjointe du ministère (ASAM), et est responsable des opérations de sécurité physique à Statistique Canada.
Les postes correspondant à la gestion de la sécurité physique sont documentés de manière formelle et cadrent avec les rôles et responsabilités de chaque poste. L'organigramme est à jour et a permis d'établir des voies de communications et de production de rapport clairs. La chef de la Sécurité, qui est responsable de toutes les questions opérationnelles au chapitre de la sécurité physique, relève de la directrice des Services de soutien intégrés et rencontre l'ASM ainsi que l'ASAM chaque semaine pour discuter des enjeux de sécurité physique.
Les membres clés du personnel de sécurité à Statistique Canada ont suivi une formation sur la sécurité pour demeurer au fait des nouveautés dans la gestion de la sécurité. Cette pratique est conforme à la Directive sur la gestion de la sécurité ministérielle du CT qui requiert que les AMS et les praticiens de la sécurité reçoivent une formation adéquate et actualisée pour s'assurer qu'ils possèdent les connaissances et les compétences nécessaires pour s'acquitter efficacement de leurs responsabilités en matière de sécurité.
Les politiques au chapitre de la sécurité physique fournissent une orientation aux gestionnaires, aux employés et aux partenaires au sujet de l'exercice de leurs responsabilités de sécurité. Statistique Canada suit les instruments de politique du CT portant sur la conformité de la sécurité physique et a créé, à l'interne, un Manuel des pratiques de sécurité. Il s'agit d'un guide complet comprenant huit chapitres portant sur la sécurité physique, la sécurité relative à la TI et à la GI, ainsi qu'un chapitre sur la structure de sécurité de Statistique Canada.
Un plan de sécurité ministériel et un plan de poursuite des activités sont en place
Le plan de sécurité ministériel (PSM) décrit les objectifs du programme de sécurité de l'organisme, détermine les risques et les stratégies d'atténuation des risques et précise la façon dont les ressources financières et humaines devraient être déployées. Il s'agit d'un instrument de contrôle clé dans la coordination des activités de sécurité organisationnelles.
Un PSM est en place pour Statistique Canada et est coordonné par le Bureau de la sécurité, la Division de la technologie de l'information, la Division de la gestion de l'information et le CCS. Le PSM est examiné et approuvé par l'AMS, le CCS et le Conseil exécutif de gestion et signé par le statisticien en chef. L'examen du procès-verbal du CCS a montré que l'on donne suite régulièrement aux mesures émanant du processus annuel du PSM.
Un plan de poursuite des activités (PPA) indique les activités qui auront lieu en cas d'incident critique qui empêche l'accès physique ou électronique aux systèmes clés. Il permet de s'assurer que Statistique Canada peut continuer à mettre en œuvre les programmes et les services essentiels à sa mission.
Un PPA est en place à Statistique Canada. Ce plan énumère treize programmes et services qui doivent disposer d'un PPA et nommer un chef de PPA. De plus, Statistique Canada est doté d'un PPA global (à l'échelle de l'organisme) qui intègre les treize PPA ainsi que la gouvernance, les rôles et responsabilités, et sert de document complet de référence. L'audit n'a pas mené de tests détaillés sur l'efficacité des plans en place, car ce domaine sera couvert en profondeur à l'occasion d'un prochain audit dans le cadre du Plan d'audit et d'évaluation fondé sur les risques.
Les procédures de filtrage de sécurité du personnel sont appliquées de façon uniforme conformément à la Politique sur la sécurité du gouvernement du CT; certains renseignements personnels relatifs à la sécurité ont été transmis vers d'autres bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés.
Le processus d'obtention de cote de sécurité fait en sorte que seules les personnes autorisées qui satisfont aux exigences de sécurité puissent accéder aux installations, systèmes et données de Statistique Canada.
Statistique Canada a adopté deux niveaux de filtrage de sécurité :
- Cote de fiabilité – obligatoire pour tous les employés de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales. La cote est valide pendant 10 ans;
- Cote de sécurité de niveau secret – obligatoire pour tous les cadres supérieurs de Statistique Canada. Les exigences à satisfaire sont : la vérification du crédit et la vérification d'antécédents criminels par la prise d'empreintes digitales, ainsi que l'évaluation de la loyauté de l'employé par le Service canadien du renseignement de sécurité. La cote est valide pendant 10 ans.
L'équipe de l'audit a sélectionné de façon discrétionnaire un échantillon de cotes de sécurité d'employés pour effectuer un test. On a constaté que toutes les procédures relatives aux cotes de sécurité avaient été appliquées de façon uniforme, précise et complète. De plus, des revues générales ont montré que les renseignements conservés au Bureau de la sécurité sont stockés dans le lecteur sécurisé du Bureau de la sécurité sur le réseau A. Tous les dossiers sont protégés au moyen de groupes de sécurité et leur accès est restreint à certains employés.
Des tests ont permis de révéler que certains renseignements personnels relatifs à la sécurité (classés comme renseignements Protégé B) d'employés en détachement ou en affectation en provenance d'autres ministères ou vers ces derniers sont transmis entre les bureaux de la sécurité gouvernementaux au moyen de courriels non chiffrés. La Directive sur la transmission de renseignements protégés de Statistique Canada exige l'utilisation du service de courriel pangouvernemental doté de l'option de chiffrement. La Directive sur la gestion de la sécurité ministérielle du CT nécessite que les enquêtes de sécurité du personnel soient effectuées dans le respect des normes du gouvernement du Canada et puissent être transférées d'un ministère à l'autre.
Le processus de renouvellement du filtrage de sécurité est surveillé par le Bureau de la sécurité. Tous les trois mois, le Bureau de la sécurité demande un rapport aux Ressources humaines qui indique les employés dont les cotes de sécurité expireront au cours des trois mois suivants. L'audit a sélectionné au hasard un échantillon de quinze employés et a demandé à voir si leur cote de sécurité avait été renouvelée. Aucune exception n'a été constatée.
Un programme de sensibilisation à la sécurité est en place et une formation à la sécurité est obligatoire pour les employés
Des activités de formation et de sensibilisation offrent aux employés des renseignements sur les responsabilités quotidiennes au chapitre de la sécurité afin de protéger les personnes et de s'assurer que les systèmes, les biens et les données sont protégés contre les accès non autorisés.
La sensibilisation à la sécurité à Statistique Canada comprend une semaine de sensibilisation chaque année et des communications régulières. L'examen des comptes-rendus du CCS a révélé que la sensibilisation à la sécurité est au premier plan des discussions du comité. Des renseignements sont diffusés régulièrement sur des enjeux, des politiques et des procédures de sécurité. Il s'agit de renseignements de sécurité affichés sur les écrans dans divers secteurs de l'immeuble (le hall, la cafétéria, entre autres).
Une formation à la sécurité est obligatoire pour les employés de Statistique Canada. Tous les employés sont tenus de suivre le cours Sensibilisation à la sécurité offert par l'École de la fonction publique du Canada. Il s'agit d'un cours en ligne fournissant aux employés la connaissance et les outils leur permettant d'assumer leurs responsabilités en vertu de la Directive sur la gestion de la sécurité ministérielle du CT, et les sensibilise afin de réduire l'exposition de Statistique Canada aux risques de violation des politiques et des procédures de sécurité.
Tous les nouveaux employés doivent suivre ce cours au moment de l'embauche et, depuis septembre 2016, tous les employés actuels doivent suivre le cours avant de renouveler leur carte d'identité. L'exigence relative à la formation est indiquée dans le Guide du nouvel employé et le Manuel d'orientation, et cette formation fait l'objet d'un suivi.
L'examen du rapport de suivi (janvier 2017) a été effectué pour évaluer si les employés se conforment à l'exigence. L'audit a constaté que, en septembre 2016, la plupart des personnes avaient déjà suivi la formation, et que les autres étaient en formation.
Recommandation
Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure que :
- Les renseignements personnels relatifs à la sécurité des employés en détachement ou en affectation sont communiqués à d'autres bureaux de la sécurité gouvernementaux conformément à la Directive sur la transmission de renseignements protégés de Statistique Canada.
Réponse de la direction
La direction accepte la recommandation.
L'équipe de la Sécurité du personnel respecte les exigences de la Gendarmerie royale du Canada (GRC) et du Secrétariat du Conseil du trésor du Canada (SCT) en ce qui a trait à la transmission de renseignements classés Protégé A. Le Bureau de la sécurité devra revoir la Directive sur la transmission de renseignements protégés de Statistique Canada, car elle ne cadre pas avec les exigences de la GRC ou du SCT.
La Directive sur la transmission de renseignements protégés de Statistique Canada occasionne des difficultés opérationnelles au Bureau de la sécurité en ce qui concerne l'exigence de chiffrer les courriels classés Protégé A envoyés aux autres bureaux de la sécurité du gouvernement fédéral. Il existe des problèmes de compatibilité des clés de chiffrement utilisées par les divers bureaux de la sécurité du gouvernement du Canada.
On a rappelé à l'équipe de la Sécurité du personnel de chiffrer les renseignements classés Protégé B envoyés par courriel ou bien de transmettre les renseignements classés Protégé B par courrier ordinaire s'il existe des problèmes de comptabilité entre les clés de chiffrement utilisés d'un bureau de la sécurité à un autre.
Produits livrables et échéancier :
L'agent ministériel de la sécurité a envoyé un courriel aux membres du personnel de sécurité pour leur rappeler les exigences en matière de chiffrement.
La directrice de la Division des services de soutien intégrés (DSSI) s'assurera :
- d'élaborer des procédures de sécurité du personnel pour le partage de renseignements avec d'autres bureaux de la sécurité du gouvernement du Canada à la lumière des problèmes de compatibilité de chiffrement d'ici novembre 2017;
- de revoir la Directive sur la transmission de renseignements protégés de Statistique Canada et d'en proposer une révision d'ici le mois de janvier 2018.
Conception et mise en œuvre de mesures de contrôle de la sécurité physique
L'accès aux installations de Statistique Canada est restreint au personnel autorisé par des mesures de contrôle de la sécurité physique. Les évaluations de la menace et des risques à la sécurité physique ne sont pas réalisées, ce qui limite la capacité de la direction à prendre des décisions éclairées quant à l'adoption des mesures de contrôle connexes.
Certaines pratiques de surveillance et de compte rendu sont en place pour tester l'efficacité des mesures de contrôle et gérer les incidents de sécurité. La gestion de la sécurité physique pourrait être renforcée par l'optimisation des pratiques de surveillance et de compte rendu afin d'orienter les changements apportés aux mesures de contrôle de la sécurité.
L'accès aux installations de Statistique Canada est restreint au personnel autorisé. Les évaluations régulières des menaces et des risques ne sont pas réalisées, ce qui limite la capacité de la gestion à prendre des décisions éclairées relatives aux mesures de contrôle de la sécurité physique.
Le complexe de Statistique Canada au pré Tunney à Ottawa comprend trois immeubles reliés, l'immeuble R.-H.-Coats, l'immeuble Principal et l'immeuble Jean-Talon. À titre de locataire principal de ces trois immeubles, Statistique Canada est responsable de la mise en œuvre et de la gestion de l'accès physique aux immeubles. L'immeuble Principal est partagé par quatre ministères : Statistique Canada, Santé Canada, Services partagés Canada et Services publics et Approvisionnement Canada (SPAC). En outre, certains organismes de services occupent également les lieux dans tous les immeubles, tels que les gestionnaires d'installations, le personnel de cafétéria et les fournisseurs de produits de nettoyage.
L'examen de documents ainsi que des entrevues ont révélé que des ententes écrites n'ont pas été établies par Statistique Canada avec d'autres ministères et organismes de services pour la mise en œuvre et la gestion de leurs exigences en matière de sécurité physique. La nouvelle version de la Directive sur la gestion de la sécurité ministérielle en attente d'approbation du CT exige une entente écrite lorsqu'un ministère aide un autre ministère ou un autre organisme à atteindre des objectifs gouvernementaux de sécurité. Des ententes écrites établissent des rôles, des responsabilités et des obligations de reddition de comptes, ainsi que des attentes claires, et sont considérées comme de saines pratiques même en l'absence d'exigences stratégiques.
La conception de mesures de contrôle de la sécurité physique devrait être axée sur une bonne compréhension des risques et des menaces au sein de l'environnement de sécurité physique de Statistique Canada. Une telle conception est rendue possible en réalisant l'évaluation de la menace et des risques (EMR) de façon régulière, tel qu'il est exigé par la politique du CT. Les EMR cernent les risques au moyen d'examens de l'environnement de sécurité, dont les incidents passés de sécurité, les menaces connues, et les vulnérabilités potentielles au chapitre de la sécurité. Circonscrire les risques permet à la gestion de prendre les décisions appropriées quant à la situation de la sécurité de Statistique Canada, dont des décisions relatives au choix d'atténuer les risques par des mesures de contrôle supplémentaires.
Les entrevues menées auprès du Bureau de la sécurité de Statistique Canada ont révélé que les EMR à la sécurité physique n'ont pas été réalisées. La nécessité d'effectuer des EMR a été établie par le Comité de coordination de la sécurité à la réunion de juin 2015. En outre, la description de poste des agents de sécurité indique qu'ils sont responsables de diffuser les conclusions, les résultats et les recommandations découlant des EMR à la direction.
Bien que Statistique Canada n'ait pas encore effectué ses propres EMR, les EMR relatives aux immeubles de Statistique Canada sont menées par le propriétaire des immeubles, soit Services publics et Approvisionnement Canada. Or, les renseignements produits par ces évaluations n'ont pas encore été optimisés par le Bureau de la sécurité pour orienter la conception de contrôles de sécurité.
L'équipe de l'audit a examiné le processus de conception des mesures de contrôle avec le personnel du Bureau de la sécurité. L'immeuble est contrôlé au moyen de deux zones : la zone publique et la zone réglementée. Cela signifie des lecteurs de cartes distincts et des secteurs verrouillés où sont stockés des renseignements et des biens statistiques protégés et classifiés.
Il n'existe pas d'approche adoptée à l'échelle de l'organisme en ce qui a trait aux zones et aux contrôles de sécurité selon des critères préétablis. Les décisions relatives aux mesures de protection supplémentaires sont prises par les divisions. Une approche uniforme pour déterminer les critères permettant de détecter les zones à haut risque aide chaque division à s'assurer d'avoir une quantité appropriée de contrôles matériels dans leurs secteurs, conformément à leurs biens et à leurs fonds de renseignements, et conformément à la posture de sécurité et la tolérance au risque de l'organisme.
L'utilisation d'une carte d'identité électronique donne l'accès général aux immeubles. Dès que les employés obtiennent leur cote de sécurité, il reçoivent une carte qui doit être portée de manière visible et est utilisée pour accéder aux immeubles de Statistique Canada. Des tourniquets électroniques sont installés aux entrées de tous les immeubles et les cartes des employés doivent être balayées pour avoir accès aux zones réglementées. L'activité des cartes d'identité de Statistique Canada est suivie dans le système de sécurité, et les cartes d'identité sont automatiquement désactivées après 90 jours d'inactivité. Si leur carte est perdue ou volée, les employés doivent en aviser le Bureau de la sécurité, lequel désactive immédiatement la carte.
L'équipe d'audit a constaté que les cartes d'identité n'étaient pas portées constamment de façon visible, et qu'aucune fonction de remise en question n'est exécutée par le personnel de sécurité. Des entrevues de suivi auprès du Bureau de la sécurité ont montré que des gardiens de sécurité sont en place et ont l'habitude d'assurer la sécurité physique. Or, ils ne sont pas tenus de demander aux employés de montrer leur carte de sécurité. Les gardiens de sécurité sont seulement tenus d'observer, de surveiller et de faire rapport, mais n'appliquent pas les règles de sécurité.
L'accès aux zones réglementées des immeubles est défini par trois périodes distinctes : les heures régulières, les heures restreintes et les heures de fermeture. L'équipe d'audit a tenté d'accéder aux zones réglementées pendant les heures régulières et en dehors de ces heures, ainsi que dans les secteurs où des contrôles de sécurité supplémentaires étaient déployés. Les tests ont confirmé que des contrôles étaient en place et fonctionnaient efficacement en vue de restreindre l'accès.
Une visite des immeubles [Cette information a été expurgée].
Des pratiques de surveillance et de rapport aux fins de sécurité physique sont en place, mais ne se pas optimisées pour soutenir la gestion de la sécurité physique.
Les processus de surveillance et d'établissement de rapport fournissent à la direction des renseignements sur l'efficacité des mesures contrôle de sécurité physique, ce qui permet aux gestionnaires de cerner les risques et de relever les tendances afin d'apporter des améliorations à ces mesures de contrôle, au besoin.
Statistique Canada mène plusieurs activités afin de surveiller et de faire rapport sur ses mesures de contrôle de sécurité physique.
Des ratissages de sécurité sont effectués chaque mois par les membres du CCS – l'ASM, l'ASAM, le directeur de la Division de la gestion de l'information, ainsi que le personnel de la TI et de la sécurité. À l'heure actuelle, la stratégie du Bureau de la sécurité pour les ratissages de sécurité est de fournir une formation. Pour cette raison, un préavis est donné au directeur de la division afin de mettre au courant le personnel du ratissage de sécurité à venir. L'équipe d'audit a observé un ratissage de sécurité en février 2017. Aucun problème majeur n'a été relevé. Des entrevues ont révélé que les futurs ratissages de sécurité auront lieu sans préavis afin de réaliser un test plus poussé des mesures de contrôle.
Les incidents de sécurité sont surveillés et suivis au moyen de trois bases de données d'incidents distinctes (sécurité physique, GI et TI). Les incidents de sécurité physique visant un large éventail de problèmes sont signalés au Bureau de la sécurité par courriel, par téléphone ou en personne. Il n'existe aucune définition documentée de ce qui est considéré comme un incident de sécurité qu'il conviendrait de saisir dans la base de données des incidents. Cependant, tout ce qui a une incidence sur les activités, la vie ou la santé s'y trouve saisi.
Un échantillon de rapports d'incident de sécurité a été testé pour déterminer si les incidents avaient adéquatement été définis, consignés et signalés. On est allé chercher les documents à l'appui dans la base de données pour vérifier si les renseignements contenus dans la base de données avaient été enregistrés correctement et en temps opportun et si des mesures de suivi avaient été prises.
Les résultats ont révélé que l'enquête et le processus de renvoi au niveau supérieur ne sont pas consignés, qu'il n'existe aucun document relatif aux communications à l'attention de l'ASM, et que, par conséquent, on n'a pas pu vérifier ou tester si ces rapports ont été transmis à l'ASM en temps opportun. Un suivi auprès du Bureau de la sécurité a révélé que les responsabilités d'enquête ne sont pas précisément définies ou intégrées dans un document, et que chaque incident est géré au cas par cas au moyen du jugement professionnel du chef de la Sécurité et d'autres cadres supérieurs. Des communications informelles et des rencontres formelles hebdomadaires sont lieu entre l'ASM et le chef de la Sécurité pour s'assurer que l'ASM est tenu au courant des enjeux urgents. Les incidents de sécurité physique sont signalés chaque mois au CCS. L'audit a permis de constater que, pour tous les incidents examinés dans l'échantillon, le cas échéant, on avait communiqué avec les policiers soit parce que la loi l'exige, soit parce que le chef de la Sécurité l'a jugé nécessaire.
De façon générale, l'audit a constaté que le personnel de sécurité surveille, suit les incidents de sécurité et y fait enquête. Néanmoins, l'établissement de rapport sur les incidents et les pratiques de surveillance ne sont pas optimisés de façon à orienter la posture de sécurité de Statistique Canada. Dégager les tendances relatives aux incidents de sécurité et cerner les nouveaux risques aide la direction à prendre des décisions éclairées en ce qui a trait aux changements apportés aux contrôles de sécurité matériels.
Recommandations
Il est recommandé que le statisticien en chef adjoint du Secteur du recensement, des opérations et des communications s'assure de ce qui suit :
- Des évaluations de la menace et des risques à la sécurité physique sont régulièrement effectuées afin de prendre des décisions éclairées en ce qui a trait aux zones de sécurité physique et aux contrôles de sécurité;
- Une hiérarchie de zones discernables est définie, consignée par écrit et communiquée conformément à la définition des zones de sécurité selon le TC, et des ententes écrites sont établies avec d'autres ministères et organismes en vue d'atteindre les objectifs de sécurité du gouvernement;
- Des processus sont en place pour relever, signaler et suivre les tendances relatives aux incidents de sécurité afin d'apporter des ajustements aux contrôles de sécurité, au besoin.
- L'exigence stratégique de visibilité des cartes d'identité des employés est appliquée au moyen d'un programme de sensibilisation et d'une fonction de remise en question périodique.
Réponse de la direction
La direction accepte les recommandations formulées.
-
L'évaluation de la menace et des risques à la sécurité physique harmonisée avec le cycle du plan de sécurité ministériel du CT (tous les trois ans) sera effectuée au moyen de tous les renseignements accessibles, y compris, mais sans s'y limiter, les rapports et les tendances en matière d'incidents de sécurité, les EMR des installations et les inspections de la sécurité physique, le Bureau de la sécurité prendra des décisions éclairées sur les zones de sécurité physique et les contrôles de sécurité.
Le Bureau de la sécurité optimisera les renseignements obtenus au moyen des évaluations de la menace et des risques et des inspections de sécurité physique pendant l'élaboration du plan de sécurité ministériel.
Produits livrables et échéancier
La directrice de la DSSI s'assurera que :
- Les EMR relatives à la sécurité physique du bureau central cadrent avec le cycle de plan triennal de sécurité ministériel du CT. Les EMR relatives à la sécurité physique seront effectuées en même temps que le prochain cycle de PSM en mars 2020.
- Le plan de travail annuel pour l'inspection de la sécurité physique est mis à jour et implanté, tel qu'il est requis, d'ici mars 2018.
- La sécurité intégrera les conclusions et les risques déterminés dans les EMR ou les inspections matérielles dans les versions ultérieures du plan de sécurité ministériel, d'ici mars 2018.
-
La Directive sur la gestion de la sécurité ministérielle ou la Politique sur la sécurité du gouvernement n'exige pas que Statistique Canada conclue des ententes écrites avec d'autres ministères gouvernementaux qui sont soutenus par la Division de la sécurité de Statistique Canada. La version provisoire de la prochaine Directive sur la gestion de la sécurité ministérielle comprend une disposition à cet égard.
Statistique Canada créera et mettra en œuvre un nouveau protocole d'entente (PE) afin d'indiquer les services de sécurité et les niveaux de sécurité que l'organisme fournira à d'autres ministères gouvernementaux servis par l'équipe de Statistique Canada et avec laquelle ils partagent des locaux.
Statistique Canada a mis sur pied un plan pour la mise en œuvre de la hiérarchie établie par le Secrétariat du Conseil du trésor (SCT) de zones au moyen de son projet « barrières de sécurité physique et tourniquets ».
Produits livrables et échéancier
La directrice de la DSSI devra :
- Créer et mettre en œuvre un PE avec Santé Canada et SPAC d'ici août 2018;
- acheter et installer des barrières de sécurité physique et des tourniquets dans l'ensemble du complexe de Statistique Canada afin de se conformer à la politique du CT ayant trait à l'exigence de hiérarchie des zones d'ici mars 2018;
- mettre sur pied un plan de communication pour informer tous les occupants du complexe de son projet de « barrières de sécurité physique et tourniquets » d'ici décembre 2017.
-
Le Bureau de la sécurité continuera d'optimiser le CCS afin d'obtenir un point de vue global sur les incidents de sécurité physique, les incidents de sécurité de la TI, et des incidents de gestion de l'information, et renforcera les renseignements communiqués afin de relever les tendances en matière d'incidents et de créer ensuite le moyen de mesurer les incidents.
La Sécurité se servira des tendances et des mesures des incidents de sécurité afin de prendre des décisions éclairées au sujet des mesures de contrôle de sécurité. Par exemple, la Sécurité se référera aux tendances et aux risques antérieurs relatifs aux incidents de sécurité au moment de mener des inspections de sécurité physique. Ces tendances contribueront à la création des contrôles de sécurité. En outre, ces tendances en matière d'incidents de sécurité seront prises en compte dans le plan de sécurité ministériel.
Produits livrables et échéancier
La directrice de la DSSI devra :
- Actualiser les procédures d'inspection de sécurité afin d'inclure l'exigence de relever et d'évaluer les tendances en matière d'incidents de sécurité au moment de formuler des recommandations relatives à la mesure des contrôles de sécurité matériels d'ici décembre 2017;
- créer des procédures de gestion des incidents de sécurité pour souligner l'exigence de rédiger un rapport annuel sur les incidents de sécurité d'ici février 2018;
- effectuer une analyse de rentabilité pour évaluer les besoins relatifs à une base de données intégrée des incidents de sécurité d'ici octobre 2018.
-
Le Bureau de la sécurité, par l'intermédiaire de diverses voies de communication, continuera de rappeler aux employés de montrer visiblement leur carte d'identité en tout temps lorsqu'ils se trouvent dans les locaux de Statistique Canada. En ce moment, des messages et des affiches comportant ces instructions au sujet du port de la carte d'identité sont affichés partout dans les trois immeubles.
Un groupe de travail sur la sensibilisation à la sécurité a été mis sur pied afin de renforcer la campagne de la Semaine de la sensibilisation à la sécurité.
Le Bureau de la sécurité demandera aux gardiens de sécurité de remettre en question, de façon aléatoire, des employés ne portant pas leur carte d'identité de manière visible et leur rappellera de le faire.
Produits livrables et échéancier
La directrice de la DSSI devra :
- Mettre sur pied un plan de communication dressant la liste des diverses méthodes de communications (p. ex., le thème des cordons, des bulletins d'information) qui seront utilisées pour rappeler aux employés leurs responsabilités en matière de sécurité (c.-à-d. la responsabilité de porter visiblement leur carte d'identité en tout temps dans les locaux de Statistique Canada) d'ici novembre 2017;
- acheter des cordons et les distribuer pendant la Semaine de la sensibilisation à la sécurité (en février 2018) aux employés qui ne portent PAS leur carte d'identité de façon visible (mise à jour des commandes d'affichage, au besoin) d'ici novembre 2017;
- créer un formulaire d'attestation des employés concernant les cartes d'identité déclarant que les employés ont été informés de l'exigence de porter leur carte d'identité de manière visible en tout temps dans les locaux de Statistique Canada. Les employés devront signer ce formulaire avant de recevoir une carte d'identité nouvelle ou renouvelée. Le formulaire sera achevé d'ici novembre 2017.
Annexes
Annexe A : Critères de l'audit
Objectif du contrôle/contrôles de base/critères | Sous-critères | Instruments de politique/sources |
---|---|---|
Objectif 1 : Le cadre de contrôle de gestion de Statistique Canada au chapitre de la sécurité est adéquat et efficace. | ||
1.1 Des structures, des mécanismes et des ressources en matière de gouvernance sont en place à Statistique Canada pour s'assurer qu'il y a gestion efficace et efficiente de la sécurité physique. |
1.1.1 Une structure de gouvernance et d'organisation à l'appui de la gestion de la sécurité physique est définie, claire et suivie pour le soutien d'un programme de sécurité efficace. 1.1.2 Un ASM a été nommé, à qui est conférée l'autorité d'établir et de diriger un programme ministériel de sécurité. 1.1.3 Une politique organisationnelle au chapitre de la sécurité et les documents à l'appui (normes, directives, lignes directrices et procédures) ont été créés et diffusés. 1.1.4 Les rôles, les responsabilités et l'autorité des personnes responsables de la gestion de la sécurité physique sont définis, clairs et englobent tous les aspects obligatoires. |
|
1.2 La sécurité physique, la gestion du risque et les processus de détection de la menace et un plan de poursuite des activités (PPA) sont en place, sont adéquats et efficients, et fonctionnent comme prévu. |
1.2.1 Statistique Canada a défini et documenté un processus de gestion du risque de sécurité physique qui est approuvé, révisé régulièrement pour s'assurer qu'il est pertinent et actualisé. 1.2.2 Le processus de gestion du risque est continu, et la surveillance en vue de détecter les menaces et de cerner les risques éventuels est assurée de manière permanente pour s'assurer de pallier les nouveaux risques. 1.2.3 Un plan de poursuite des activités efficace à l'échelle de l'organisme a été créé pour assurer la continuité des opérations, des services et des biens essentiels à la suite d'une interruption imprévue. |
|
Objectif 2 : Les pratiques et mesures de Statistique Canada au chapitre de la sécurité physique pour la gestion de l'accès aux installations, aux biens et aux renseignements de Statistique Canada et leur protection sont conformes aux instruments de politiques du CT et de Statistique Canada pertinents en matière de sécurité physique. | ||
2.1 L'accès physique aux installations, aux biens et aux renseignements de Statistique Canada est limité aux personnes autorisées qui possèdent une cote de sécurité au niveau approprié et qui ont une raison d'y accéder. |
2.1.1 Statistique Canada réserve l'accès aux biens aux personnes appropriées et approuvées et des mesures de contrôle sont en place pour protéger ces biens. 2.1.2 Statistique Canada dispose d'un programme de ratissage de sécurité afin de protéger les renseignements contre l'accès, l'utilisation, la divulgation, la modification, la transmission et la destruction non autorisés. |
|
2.2 Il existe une surveillance appropriée de la mise en œuvre d'activités au chapitre de la sécurité physique, et des mesures correctives sont déterminées et communiquées afin de combler les lacunes. | 2.2.1 Des processus de surveillance actifs et appropriés sont mis en œuvre.
2.2.2 Les incidents, les risques ou les atteintes en matière de sécurité physique sont communiqués à la haute direction et analysés, et des mesures appropriées sont prises pour pallier les risques. |
|
2.3 Un plan convenable de formation et de perfectionnement destiné aux spécialistes de la sécurité est en place et les employés connaissent les exigences en matière de sécurité physique et s'y conforment. |
2.3.1 Les spécialistes de la sécurité suivent une formation et un perfectionnement professionnel efficaces en temps opportun au chapitre de la sécurité. 2.3.2 Un programme de sensibilisation à la sécurité est mis en œuvre pour s'assurer que les employés comprennent leurs responsabilités au chapitre de la sécurité, qu'ils s'y conforment, et qu'ils ne compromettent pas la sécurité par inadvertance. |
Annexe B : Acronymes
Acronyme | Description |
---|---|
ASAM | Agente de sécurité adjointe du ministère |
ASM | Agent de sécurité du ministère |
CCS | Comité de coordination de la sécurité |
CT | Conseil du trésor |
DSSI | Division des services de soutien intrégrés |
EMR | Évaluation de la menace et des risques |
GI | Gestion de l'information |
IIA | Institute of Internal Auditors |
PPA | Plan de poursuite des activités |
PSM | Plan de sécurité ministériel |
TI | Technologie de l'information |