Rapport de vérification
Services de vérification interne Statistique Canada
31 mars 2011
Numéro de projet : 80590-63 (
Document (PDF, 302.24 Ko)
)
- Sommaire exécutif
- Principales constatations
- Conclusion générale
- Introduction
- Contexte
- Objectifs
- Portée et approche
- Autorité
- Constatations, recommandations et réponses de la direction
- Gouvernance
- Rôles et responsabilités, responsabilisation et processus et procédures relatives aux exigences en matière de sécurité matérielle
- Surveillance, objectifs, procédures et plans relatifs à la sécurité matérielle du COD
- Contrôle et évaluation
- Sécurité matérielle
- Gérance
- Annexes
- Annexe A : Critères de vérification
- Annexe B : Politiques, normes et lignes directrices
Sommaire exécutif
Le Centre des opérations des données du recensement (COD du recensement), qui est situé à Gatineau (Québec), est l'un des 14 projets constituant le programme du Recensement de 2011. Il doit permettre la mise en œuvre des procédures et des systèmes pour traiter les données du recensement dans un emplacement de traitement centralisé. Cela comprend l'aménagement et l'infrastructure de l'immeuble proprement dit, ainsi que le recrutement de personnel temporaire pour mener à bien les activités et les opérations. Des procédures de sécurité matérielle ont été élaborées, en vue d'être mises en œuvre par les Services de gestion du COD du recensement, et elles tiennent compte des objectifs du Centre, de l'équipement à installer et du nombre d'employés qui y travailleront.
Les objectifs de cette mission d'assurance étaient de fournir au statisticien en chef (SC) et au Comité ministériel de vérification (CMV) une assurance raisonnable que la gouvernance relative à la sécurité du COD du recensement est appropriée et efficace et que le COD du recensement se conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle qui sont prescrites par le Secrétariat du Conseil du Trésor (SCT).
La vérification a été effectuée par les Services de vérification interne, conformément à la Politique sur la vérification interne du gouvernement du Canada.
Principales constatations
La vérification a permis de constater qu'un mécanisme de supervision est en place pour assurer la coordination et l'intégration des activités de sécurité, en vue de la prise de décisions, et que des plans ont été établis pour protéger les données de nature délicate. Les diverses zones du COD du recensement ont été bien définies et entretenues pour protéger les actifs et les données de nature délicate de Statistique Canada. On a tenu compte des exigences en matière de sécurité tout au long du processus contractuel et on les a décrites dans les documents fournis aux entrepreneurs. Le processus d'enquête de sécurité sur le personnel était conforme aux politiques et aux procédures pertinentes en matière de sécurité du personnel, et la majorité des recommandations comprises dans l'Évaluation de la menace et des risques (EMR) effectuée par un conseiller technique tiers ont été acceptées et mises en œuvre.
Le programme du recensement comporte une structure d'organisation matricielle. Les rôles et responsabilités décrivant les rapports et la répartition des responsabilités entre la Gestion des installations (GI), la sécurité ministérielle (SM) et le COD du recensement ayant des responsabilités en matière de sécurité matérielle n'étaient pas clairement définis, documentés et communiqués. Le Manuel des pratiques de sécurité de Statistique Canada est désuet et ne comporte pas de référence aux emplacements externes, comme le COD du recensement. Les responsabilités du coordonnateur du plan de continuité des activités (PCA) ne rendent pas compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT. Par ailleurs, des plans d'urgence doivent être mis au point et affichés dans le COD du recensement.
Conclusion générale
La gouvernance en matière de sécurité matérielle du COD du recensement est appropriée et efficace et elle est conforme aux exigences pertinentes en matière de sécurité matérielle prescrites par le SCT.
Même si les deux objectifs de la vérification sont respectés, les résultats de la vérification font ressortir des possibilités d'amélioration en ce qui a trait à la gouvernance de la SM. Parmi les domaines à améliorer figurent les suivants : 1) mettre à jour le Manuel des pratiques de sécurité pour rendre compte de la situation organisationnelle actuelle, définir les rôles et responsabilités pour l'ensemble de la sécurité matérielle dans toutes les installations de Statistique Canada et inclure les processus et les procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans toutes les installations de Statistique Canada; 2) assurer la répartition des tâches, de la SM devant approuver la mise en œuvre des exigences en matière de sécurité matérielle appliquées par les programmes du Bureau; 3) élargir les responsabilités du coordonnateur du PCA pour rendre compte de celles comprises dans la politique du SCT.
Introduction
Contexte
Le Recensement de la population est le programme d'enquête le plus important de Statistique Canada. Tous les cinq ans, les responsables du recensement obtiennent des renseignements de l'ensemble de la population du Canada. Le recensement figure parmi les activités les plus importantes et visibles de Statistique Canada; il a été classé comme comportant un risque élevé dans les ateliers de gestion. Le Centre des opérations des données du Recensement de 2011 (COD du recensement) est une composante essentielle de la collecte et du traitement des données du recensement.
En 2011, le jour du recensement a été fixé au 10 mai. Un énorme effort de collecte et de traitement est requis pour traiter les 13 millions de questionnaires du recensement de façon efficace et rapide. Afin d'atteindre les objectifs du recensement, le programme du recensement se divise en 14 projets, dont fait partie le COD du recensement qui comporte un budget de 28,9 millions de dollars. L'équipe de projet du COD du recensement est responsable de la mise en œuvre des systèmes et des procédures requis pour traiter les données du recensement dans un emplacement de traitement centralisé. Cela comprend l'aménagement et l'infrastructure de l'immeuble proprement dit, ainsi que le recrutement de personnel temporaire pour mener à bien les activités et les opérations.
Le personnel du COD du recensement de Statistique Canada est en place depuis le début de juillet 2010, tout comme celui de la Division des services de technologie informatique (DSTI) du recensement, de la Division du développement des systèmes (DDS) et de la Gestion des installations (GI). Environ 1 200 employés temporaires travailleront pendant plusieurs quarts de travail, de 6 h 30 à 23 h 30, sept jours par semaine, au cours de la période de mai à août 2011, certaines activités de suivi étant prévues d'août à octobre 2011. Des procédures de sécurité matérielle ont été élaborées, en vue d'être mises en œuvre par les Services de gestion du COD du recensement, en tenant compte des objectifs du Centre, de l'équipement à installer et du nombre d'employés qui travailleront au COD du recensement.
Ces procédures décrivent les mesures de sécurité matérielle visant à protéger le matériel, l'équipement et le personnel travaillant dans le COD du recensement. Elles englobent en outre la sécurité du personnel dans le cas :
- du personnel temporaire recruté à l'étape opérationnelle;
- des visiteurs du site;
- du personnel de service de l'extérieur et de l'intérieur de Statistique Canada;
- des entrepreneurs; et
- des employés d'autres divisions qui doivent avoir accès au COD du recensement.
Objectifs
Les objectifs de cette vérification étaient de fournir au statisticien en chef (SC) et au CMV une assurance raisonnable que :
- la gouvernance du COD du recensement en matière de sécurité est appropriée et efficace;
- le COD du recensement se conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle prescrites par le Secrétariat du Conseil du Trésor (SCT).
Portée et approche
La mission de vérification a été menée en conformité avec les normes du gouvernement du Canada et de l'Institut des vérificateurs internes (IVI) concernant la vérification interne, ainsi que la Politique sur la vérification interne du Conseil du Trésor du Canada. Tous les travaux ont été menés en collaboration avec des cadres supérieurs et des employés clés. L'approche de vérification a été inspirée par les Lignes directrices sur les contrôles de gestion fondamentaux du Conseil du Trésor, publiées par le Bureau du contrôleur général.
La portée de la vérification a été axée sur la sécurité matérielle du COD du recensement, sur le processus d'enquête de sécurité sur le personnel temporaire et sur les activités d'approvisionnement liées à la sécurité, afin d'assurer la conformité aux exigences du SCT. La vérification a aussi permis d'examiner l'efficacité et la pertinence de la structure actuelle de gouvernance en matière de sécurité du COD du recensement. Les travaux de vérification comprenaient un examen des documents, des entrevues avec les cadres supérieurs et le personnel clés, et un examen de la conformité aux politiques et aux lignes directrices pertinentes.
Les travaux sur le terrain ont été menés en deux étapes :
- la première a consisté en un examen et une évaluation de la structure de gouvernance en matière de sécurité, ainsi que des processus et des procédures liés à la sécurité matérielle, aux autorisations de sécurité et aux activités d'approvisionnement; et
- la deuxième étape a suivi et comportait un essai détaillé des domaines mentionnés précédemment.
Autorité
La vérification a été menée par les Services de vérification interne, conformément au Plan de vérification axé sur les risques (PVAR) de Statistique Canada pour les exercices 2010-2011 et 2012-2013. Le PVAR a été approuvé par le Comité ministériel de vérification (CMV), le 15 avril 2010.
Constatations, recommandations et réponses de la direction
Une gouvernance appropriée et efficace du COD du recensement en matière de sécurité matérielle permettrait d'établir des mécanismes de gouvernance dans le domaine de la sécurité (p. ex., des comités, des groupes de travail), afin d'assurer la coordination des activités de sécurité et leur intégration aux opérations, plans, priorités et fonctions du Bureau, afin de faciliter la prise de décisions. Par ailleurs, cela permettrait de faire en sorte que les responsabilités, délégations, rapports hiérarchiques et rôles et responsabilités des employés du Bureau ayant des responsabilités en matière de sécurité soient définis, documentés et communiqués aux personnes compétentes.
La vérification a permis de déterminer qu'il existe des mécanismes de surveillance pour assurer la coordination et l'intégration des activités de sécurité, en vue de la prise de décisions, et que des plans sont en place pour protéger les données de nature délicate. Les rôles et responsabilités décrivant les rapports et la répartition des responsabilités entre la GI, la SM et le COD du recensement ayant des responsabilités en matière de sécurité n'étaient pas clairement définis, documentés et communiqués; le Manuel des pratiques de sécurité est désuet et ne comporte pas de référence aux emplacements externes, comme le COD du recensement; les responsabilités affectées au rôle de coordonnateur du PCA ne rendent pas compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT; et des plans d'urgence doivent être mis au point et affichés dans le COD du recensement.
La conformité du COD du recensement aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle prescrites par le SCT ferait en sorte que l'installation soit conçue et gérée pour créer des conditions qui, conjuguées à des mesures de sécurité matérielle particulières, réduiraient les risques de violence à l'endroit des employés, protégeraient contre les accès non autorisés, permettraient de déceler les tentatives ou les incidents réels d'accès non autorisé et donneraient lieu à une réponse efficace.
La vérification a permis de déterminer que les zones de sécurité du COD du recensement sont bien établies et entretenues pour protéger les actifs et les données de nature délicate à Statistique Canada. Les exigences en matière de sécurité ont été prises en compte tout au long du processus contractuel et ont été décrites dans les documents fournis aux entrepreneurs, et le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel. L'EMR finale a permis de déterminer que toutes les lacunes et préoccupations en matière de sécurité matérielle déterminées dans l'EMR initiale ont été prises en compte de façon appropriée pour atténuer les risques connexes.
Toutes les recommandations, ainsi que la réponse et le plan d'action de la direction, qui sont énoncés dans les sections ci-après devraient être envisagés dans le contexte de la structure de gestion existante à Statistique Canada.
Gouvernance
La gouvernance en matière de sécurité matérielle du COD du recensement est appropriée et efficace. Des économies peuvent être réalisées grâce au raffermissement de certains éléments du cadre de gestion de la SM.
Rôles et responsabilités, responsabilisation et processus et procédures relatives aux exigences en matière de sécurité matérielle
Le programme du recensement, qui comporte 14 projets dont fait partie le projet du COD du recensement, comporte une structure d'organisation matricielle. Il devrait y avoir une délimitation claire des responsabilités, des pouvoirs délégués et des voies de communication, en vue d'appuyer une coordination efficace entre toutes les parties des opérations du recensement, afin d'assurer des opérations efficientes et efficaces. Les processus et les procédures servant à déterminer si les exigences en matière de sécurité matérielle sont conformes aux politiques pertinentes devraient être pleinement intégrés et documentés dans le processus de planification pour la sélection et la modification de l'installation du COD du recensement. Ainsi, les gestionnaires pourraient déterminer les risques pouvant nuire à l'atteinte des objectifs et y donner suite.
Rôles et responsabilités
Les postes compris dans le projet du COD du recensement ont été documentés de façon officielle et les pouvoirs délégués ont été alignés sur les rôles et responsabilités de chaque poste. L'organigramme du COD du recensement est à jour et permet la détermination de voies claires et efficaces pour la communication et les rapports, tant au niveau des opérations du recensement que du projet du recensement.
La vérification a révélé qu'il existait des inefficacités à l'étape préliminaire de mise en œuvre du projet. Cela vient du fait que les responsabilités de la SM et les rapports et les liens entre la SM et la GI n'ont pas été définis, documentés ou communiqués. Compte tenu de la connaissance et de l'expérience limitée du gestionnaire du projet du COD en ce qui a trait aux questions et aux exigences de sécurité, il a fallu déployer des efforts significatifs pour faire préciser les rôles et les responsabilités de chacun tout au long du processus. Grâce à des discussions avec les gestionnaires de la SM, le gestionnaire de projet du COD du recensement a déterminé que celle-ci jouait un rôle « consultatif » uniquement et que personne ne fournissait de « lignes directrices ni de conseils » comme il était prévu. Par ailleurs, et plus particulièrement à l'étape de la planification du projet, des réunions régulières se sont tenues avec tous les intervenants compétents des services intégrés; toutefois, le représentant de la SM n'a pas participé aux réunions sur une base régulière, ce qui a entraîné d'autres inefficacités au moment de l'obtention des données sur la sécurité.
Séparation des tâches
La répartition des tâches, une mesure de contrôle interne clé, est inexistante entre la GI et la SM. La GI est chargé de l'infrastructure matérielle, comme la conception, les questions environnementales et la mise en œuvre. La SM est chargé d'assurer la conformité aux normes et mesures de sécurité requises. Les gestionnaires de projet du COD du recensement ont déterminé les exigences en matière de sécurité matérielle devant être appliquées à l'installation du COD du recensement. Par la suite, la GI a mis en œuvre les exigences et a approuvé ses propres travaux, étant donné que personne d'autre n'était chargé de cette fonction. Une surveillance, vérification et approbation indépendantes, en fonction des politiques en matière de sécurité du SCT et de Statistique Canada, auraient dû être assurées par la SM, étant donné que c'est elle qui a les pouvoirs délégués en matière de sécurité.
Responsabilité
L'équipe de vérification a passé en revue le Manuel des pratiques de sécurité, afin de déterminer les postes à l'intérieur de la SM qui étaient directement responsables de l'orientation et des conseils concernant le programme de sécurité matérielle du projet du recensement. L'équipe de vérification a déterminé que le chef de la SM est celui qui est responsable de gérer le programme de sécurité matérielle pour le complexe de Statistique Canada. Le complexe est défini comme incluant les trois immeubles de Tunney's Pasture, mais excluant le COD du recensement. Par conséquent, le chef de la SM fournit uniquement des conseils aux gestionnaires de programme et aux gestionnaires régionaux pour les questions de sécurité et les situations d'urgence.
Selon le Manuel des pratiques de sécurité, les directeurs régionaux sont les agents de sécurité régionaux (ASR). De ce fait, ils sont chargés de l'administration des programmes de sécurité dans leurs régions et sont responsables de la sécurité matérielle, y compris la protection et la sécurité des employés et des locaux, le contrôle de l'accès et le contrôle des visiteurs. Le manuel n'est toutefois pas clair en ce qui a trait à la responsabilité de fournir une orientation et des conseils aux ASR, aux programmes et aux gestionnaires de projet de Statistique Canada concernant les mesures et les normes de sécurité requises, particulièrement en ce qui a trait aux emplacements externes, comme le COD du recensement, les Centres de données de recherche (CDR) et les Centres de données dans les régions. Il faut donc des précisions concernant les emplacements externes. Par ailleurs, le Manuel, qui a été rédigé à l'origine en 1986, ne rend pas compte de la structure organisationnelle actuelle de Statistique Canada.
Processus et procédures
Compte tenu du fait que Statistique Canada mène un recensement tous les cinq ans, l'examen du Manuel des pratiques de sécurité et de la fonction de la SM a révélé qu'ils ne comprennent pas de renseignements sur les processus et les procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans la sélection des locaux opérationnels à l'extérieur du complexe de Statistique Canada, comme l'emplacement du COD du recensement. Par ailleurs, il n'existe pas de documentation de sécurité de base uniformisée pouvant être utilisée comme outil de référence et pour fournir un cadre, des conseils et une orientation concernant les mesures et les normes de sécurité matérielle, par exemple, des renseignements sur la façon de traiter les « colis suspects » et la nécessité d'une salle distincte ventilée pour la manutention et le traitement du courrier. Une telle documentation améliorerait l'efficacité et l'efficience de l'utilisation des ressources intégrées, grâce à la réduction du chevauchement des efforts, chaque fois qu'un nouvel emplacement opérationnel est acquis à l'extérieur du complexe de Statistique Canada.
Néanmoins, en l'absence de documentation pour ce type de renseignements, la SM suit la Politique sur la sécurité du gouvernement (PSG) du SCTFootnote 1, les lignes directrices de la GRC et d'autres politiques de Statistique Canada qui sont conformes à la PSG.
Par ailleurs, les gestionnaires de projet du COD du recensement ont déterminé et inclus les exigences en matière de sécurité matérielle comprises à la fois dans le document des exigences de base du Recensement de 2011 et dans le plan des exigences en matière d'occupation fournis à TPSGC comme guide pour déterminer les emplacements possibles pour les installations du COD du recensement au bureau central. Ces exigences ont été fondées sur ce qui suit :
- un document sur la sécurité matérielle préparé par la GI, qui fait état des exigences minimales en matière de sécurité pour les locaux opérationnels de Statistique Canada, à l'extérieur du complexe du bureau central, et fournit des lignes directrices pour les niveaux de sécurité, qui ont des répercussions sur les coûts d'aménagement;
- les exigences de base du Recensement de 2006;
- les expériences passées des employés acquises dans leurs postes respectifs pendant de nombreuses années; et
- les conseils et les recommandations reçus de la SM.
Recommandations nos 1 et 2
Il est recommandé que le statisticien en chef adjoint, Recensement et Opérations, s'assure que :
- Le Manuel des pratiques de sécurité soit mis à jour pour rendre compte de la structure organisationnelle actuelle; que les rôles et responsabilités en matière de sécurité matérielle dans toutes les installations de Statistique Canada soient répartis entre la GI, la SM et les Opérations du recensement; et que les processus et procédures à suivre pour l'intégration des exigences en matière de sécurité matérielle dans toutes les installations de Statistique Canada soient inclus.
- La SM approuve la mise en œuvre des exigences en matière de sécurité matérielle s'appliquant aux programmes du Bureau, afin d'assurer la répartition des tâches.
Réponse de la direction
La direction est d'accord avec la recommandation no 1. Le Manuel des pratiques de la SM sera mis à jour en fonction de l'orientation qui sera établie dans le Plan de la SM, qui doit être approuvé par le Comité des politiques, au printemps de 2012. Le manuel révisé rendra compte de la gouvernance et fournira des lignes directrices claires concernant les ressources et les normes requises pour les emplacements externes. En outre, au début de projets particuliers, les rôles et responsabilités de la Gestion des installations et de la SM seront établis, dans le contexte de la définition et de la mise en œuvre des exigences en matière de sécurité. Ils seront revus et approuvés par le Comité de coordination de la SM.
Produit livrable
Manuel des pratiques de sécurité mis à jour et rôles et responsabilités définis et approuvés pour la mise en œuvre des exigences en matière de sécurité.
Responsabilité
Le directeur, Division des services de soutien intégrés, est chargé de veiller à ce que le Manuel des pratiques de sécurité soit mis à jour, comme il est stipulé.
Le directeur général, Direction des opérations, est chargé de s'assurer que les rôles et responsabilités définis pour la mise en œuvre des exigences de sécurité soient établis au début de chaque nouveau projet, étant donné qu'ils doivent être revus et approuvés par le Comité de coordination de la SM.
Échéancier
Immédiatement : Procédure d'établissement des rôles et responsabilités définis pour la mise en œuvre des exigences en matière de sécurité au début des nouveaux projets.
Juin 2012 : Mise à jour et approbation par le Comité des politiques du Manuel des procédures de sécurité.
La direction est d'accord avec la recommandation no 2. La Sécurité matérielle fera partie intégrante de l'équipe de projet et des directives seront fournies concernant les exigences en matière de sécurité matérielle, afin d'assurer la conformité avec les normes et exigences du Bureau, conformément au Manuel des pratiques de sécurité. Le Comité de coordination de la SM approuvera la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet. L'approbation figurera dans le compte rendu de la réunion du comité.
Produit livrable
La Sécurité matérielle assurera l'orientation des projets concernant les exigences en matière de sécurité matérielle, afin d'assurer la conformité aux normes et aux exigences du Bureau.
Approbation documentée par le Comité de la SM de la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet.
Responsabilité
Le directeur, Division des services de soutien intégrés, veillera à ce que la Sécurité matérielle assure l'orientation des projets concernant les exigences en matière de sécurité matérielle.
Le président du Comité de coordination de la sécurité veillera à ce que le Comité de la SM approuve la mise en œuvre des exigences en matière de sécurité matérielle pour chaque projet.
Échéancier
Immédiatement.
Surveillance, objectifs, procédures et plans relatifs à la sécurité matérielle du COD
Une supervision indépendante devrait être assurée pour contrôler et assurer la conformité avec les objectifs, priorités, procédures et toutes les politiques et normes pertinentes du gouvernement en ce qui a trait à la sécurité matérielle du COD du recensement. Des plans devraient être en place pour répondre aux situations d'urgence et pour assurer la continuité des activités opérationnelles essentielles.
Surveillance
La vérification a permis de déterminer qu'il existe une surveillance indépendante, tant au niveau opérationnel que du Bureau. Au niveau opérationnel, le Comité directeur du recensement, l'équipe de projet du recensement et l'Équipe de projet intégrée (EPI) assurent la surveillance. L'EPI a tenu une réunion, comme convenu, pour discuter de toutes les exigences opérationnelles liées au COD du recensement. Le gestionnaire du recensement, à titre d'autorité responsable, a été informé des discussions et a reçu des mises au point régulières concernant la situation. Au niveau du Bureau, le Comité de coordination de la sécurité (CCS), qui relève en dernier ressort du Comité des politiques, a mis en place des processus officiels.
Objectifs, procédures et plans
Des manuels et des guides ont été rédigés par l'équipe de gestion de projet du COD du recensement et portent de façon détaillée sur les procédures de sécurité matérielle visant à protéger les données de nature délicate, les actifs et les employés. Le Processus de gestion des opérations de traitement du Recensement de 2011 – Centre des opérations des données porte sur les buts opérationnels, objectifs, rôles, responsabilités, processus, outils et gouvernance, ainsi que sur les politiques et procédures pour la gestion des opérations du COD du recensement.
Les Procédures de sécurité matérielle du COD du Recensement de 2011 portent sur les exigences en matière de sécurité matérielle, les procédures de santé et de sécurité pour l'étape pré opérationnelle, l'étape opérationnelle et l'étape de la clôture et du démantèlement. Par ailleurs, la section 2.8 du Guide des employés du Recensement de 2011 a été consacrée à la « sécurité », dans tous ses aspects liés aux employés du Recensement de 2011.
La vérification a permis de déterminer que l'équipe de gestion du projet du recensement a élaboré une ébauche de plan de continuité des activités (PCA) pour le COD du recensement et qu'elle a l'intention d'y mettre la dernière main et de le présenter au Comité des politiques pour approbation avant que les activités commencent, en avril 2011. Par ailleurs, la vérification a confirmé, par suite d'un examen du document de PCA du Bureau, que le COD du recensement, qui doit faire l'objet d'un bail permanent, tant pour le Recensement de 2011 que pour celui de 2016, est inclus dans le PCA. Des procédures détaillées pour la continuité des opérations essentielles de l'emplacement du COD du recensement sont en voie d'être élaborées en vue d'être incluses.
L'examen de la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités du SCT et les discussions avec les gestionnaires de la Division des services de soutien intégrés (DSSI) ont révélé que les responsabilités affectées au coordonnateur du PCA ne rendent pas compte de celles établies dans la politique du SCT.
Une visite au COD du recensement par l'équipe de vérification, en novembre 2010, a révélé que les plans d'urgence approuvés du gouvernement du Canada, c'est-à-dire les procédures d'évacuation et les exercices d'évacuation en cas d'incendie, n'étaient pas prêts. Il s'agit d'une exigence, et ces plans doivent être fournis à Statistique Canada par le ministère des Travaux publics et Services gouvernementaux Canada (TPSGC), en tant qu'agent de location de l'emplacement du COD du recensement. À l'heure actuelle, certaines procédures d'urgence, comme les procédures d'évacuation, ont été fournies par le propriétaire et affichées un peu partout dans l'immeuble. En date de janvier 2011, l'équipe de vérification a été informée par l'équipe de gestion de projet du COD du recensement que les plans d'urgence avaient été soumis par TPSGC pour approbation par la ville de Gatineau.
Recommandation no 3
Il est recommandé que le statisticien en chef adjoint, Recensement et Opérations, veille à ce que les responsabilités du coordonnateur du PCA rendent compte de celles comprises dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA).
Réponse de la direction
La direction est d'accord avec la recommandation no 3. Le Comité de coordination de la SM s'assurera que le rôle et les responsabilités du coordonnateur du PCA du Bureau correspondent à la politique du SCT Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA), dans le Plan de la SM. Un coordonnateur du PCA sera désigné.
Produit livrable
Plan de la SM approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA, en conformité avec la politique du SCT Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA).
Nomination d'un coordonnateur du PCA pour le Bureau.
Responsabilité
Le président du Comité de coordination de la sécurité est responsable de s'assurer que le Bureau a un Plan de sécurité approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA , en conformité avec la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) du SCT. Le président doit aussi s'assurer qu'un coordonnateur du PCA du Bureau est désigné.
Échéancier
Été 2011 : Coordonnateur du PCA du Bureau désigné.
Novembre 2011 : Plan de la SM approuvé, qui définit les rôles et responsabilités du coordonnateur du PCA, en conformité avec la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (PCA) du SCT.
Contrôle et évaluation
Les changements et les risques liés aux exigences en matière de sécurité matérielle au COD du recensement devraient faire l'objet d'un contrôle et d'un examen proactifs, et les renseignements recueillis devraient servir à prendre des décisions éclairées et des mesures correctives.
Contrôle
La vérification a révélé que la documentation élaborée par les gestionnaires des Opérations du recensement, c'est-à-dire le Processus de gestion des opérations de traitement du Recensement de 2011 – Centre des opérations de données, comporte suffisamment de directives et de conseils concernant la détermination des risques pour le contrôle du rendement réel par rapport aux résultats prévus.
Trois systèmes différents mais interreliés de Statistique Canada ont servi à consigner les risques et les problèmes. Une de ces applications est le Système des questions en suspens, un système distinct, qui est toutefois lié au deuxième et au troisième systèmes, à savoir le Système de gestion des risques (SGR) et le Système de gestion des changements (SGC) respectivement. Lorsqu'un risque a été déterminé, il a été affiché dans le SGR et catégorisé en ce qui a trait à sa probabilité, son incidence et son échéance. Un rapport comportant un numéro d'identification du risque, le nom du gestionnaire de projet du recensement compétent, une description et un énoncé de la situation du risque pourrait être produit au niveau du programme du recensement ou du projet du recensement, pour examen et contrôle par les gestionnaires du programme du recensement. Les énoncés de décision concernant chaque risque ou problème ont aussi été intégrés dans le SQS, pour un contrôle continu par les gestionnaires du programme du recensement. Un examen de problèmes sélectionnés de façon aléatoire a révélé que l'équipe compétente du projet du recensement y a donné suite, en vue de les résoudre.
Évaluation
À titre de mécanisme de gouvernance, une Évaluation de la menace et des risques (EMR) effectuée par un conseiller technique tiers, en septembre 2010, a servi de processus formel pour valider les exigences en matière de sécurité matérielle. Dans le cadre de l'évaluation, le conseiller technique a procédé à une inspection, a passé en revue les mécanismes de protection déterminés et a effectué une analyse des risques concernant la sécurité matérielle du COD du recensement. Un examen de suivi ou examen supplémentaire de la sécurité matérielle a été effectué en décembre 2010, afin de veiller à ce que les recommandations comprises dans l'EMR initiale soient approuvées et mises en œuvre. Le rapport de l'EMR a été finalisé par la suite, soit en décembre 2010.
Dans le cadre de l'évaluation, il a été déterminé que, pour le projet du Recensement de 2011, certaines activités comme la responsabilité du contrôle et de la mise à jour des mesures de sécurité par l'équipe de projet du recensement, étaient claires et bien communiquées. Des mesures correctives ont été prises pour les problèmes de sécurité, et elles ont été documentées de façon appropriée et ont fait l'objet d'un rapport et d'un suivi par les responsables autorisés.
Sécurité matérielle
Les zones de sécurité du COD du recensement étaient bien définies et entretenues pour protéger les données et les actifs de nature délicate de Statistique Canada. On a tenu compte des exigences en matière de sécurité tout au long du processus contractuel et on les a décrites dans les documents fournis aux entrepreneurs. Le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel. L'EMR finale a déterminé que toutes les lacunes et préoccupations en matière de sécurité matérielle comprises dans l'EMR initiale ont été prises en compte de façon appropriée, afin d'atténuer les risques connexes.
Gérance
Le deuxième objectif de la présente vérification était d'évaluer si l'installation du COD du recensement était conforme aux politiques et aux lignes directrices pertinentes en matière de sécurité matérielle. À cette fin, on a examiné les éléments suivants :
- les zones de sécurité du COD du recensement ont été définies et entretenues au moyen de mécanismes appropriés de contrôle de l'accès, afin de protéger les actifs et les données de nature délicate, conformément à la Politique sur la sécurité du gouvernement (PSG) du SCT;
- les exigences en matière de sécurité ont été prises en compte tout au long du processus contractuel et ont été décrites dans les documents fournis aux entrepreneurs;
- le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel. Des procédures étaient en place pour protéger les actifs de Statistique Canada, par suite du changement de fonctions d'un employé travaillant au projet du COD du recensement; et
- la version finale de l'EMR, afin de veiller à ce que les pratiques de gestion de la sécurité et de la sécurité matérielle soient appliquées en conformité avec les politiques et les lignes directrices pertinentes en matière de sécurité matérielle.
Exigences de zonage
Parallèlement à un examen de l'EMR, une visite de l'emplacement du COD du recensement a permis de déterminer que les zones de sécurité – accès public, réception, opérations, zones de sécurité et zones très sécuritaires, étaient bien définies et entretenues, conformément à la PSG du SCT, afin de protéger les actifs et les données de nature délicate de Statistique Canada.
Processus contractuel
Statistique Canada a pris possession du COD du recensement en octobre 2010. Jusque-là, TPSGC était responsable de tous les aspects du processus contractuel, en tant qu'agent de location. La vérification a déterminé que les fichiers et la documentation de soutien du contrat, en date d'octobre 2010, comprenaient les exigences en matière de sécurité et étaient pris en compte dans le processus contractuel. On a examiné les données de sécurité des employés travaillant pour les entrepreneurs ayant accès au COD du recensement. La cote de sécurité de chaque employé, ainsi que les dates d'entrée en vigueur et d'échéance des autorisations, respectivement, ont été consignées et confirmées.
Enquête de sécurité sur le personnel et protection des actifs
Afin d'évaluer si le processus d'enquête de sécurité sur le personnel était conforme aux politiques et procédures pertinentes en matière de sécurité du personnel, les fichiers personnels de 15 des 25 employés au total (60 %) de Statistique Canada, et de l'ensemble des 5 (100 %) employés préposés au nettoyage travaillant au COD du recensement ont été évalués. Six des 15 fichiers concernaient des employés des services intégrés travaillant au projet du COD du recensement et ont été considérés par l'équipe de vérification comme essentiels aux opérations globales du projet. Les fichiers restants ont été choisis de façon aléatoire. Les résultats des essais et les entrevues de suivi ont permis de déterminer que Statistique Canada a pris les mesures nécessaires pour s'assurer que les autorisations de sécurité étaient valides pour tous les employés et travailleurs liés aux entrepreneurs. Un examen de la documentation fournie par les Ressources humaines (RH) a révélé que les lignes directrices et les procédures nécessaires étaient en place pour protéger les actifs de Statistique Canada, par suite du changement de fonctions d'un employé travaillant au COD du recensement.
Évaluation de la menace et des risques
L'EMR finale a déterminé que toutes les lacunes et préoccupations en matière de sécurité matérielle comprises dans l'EMR initiale ont été prises en compte de façon appropriée pour atténuer les risques connexes et a conclu « que le COD de Statistique Canada était suffisamment sécuritaire pour répondre aux besoins opérationnels du Recensement de 2011Footnote 2».
Il convient de souligner que deux risques et recommandations connexes subsistent et que les gestionnaires des Opérations du recensement ont déterminé que la probabilité que ces événements se produisent était faible.
Le premier est le risque d'accès non autorisé au COD du recensement. Dans l'EMR, il était recommandé qu'une caméra vidéo soit installée sur l'immeuble pour contrôler l'accès non autorisé au toit. La GI nous a informés que les gestionnaires du projet du recensement avaient décidé d'accepter ce risque, en contrepartie d'autres mesures d'atténuation.
Le deuxième risque est lié à la partie non louée de l'installation. Il n'existe pas d'assurance que l'autre locataire sera un ministère ou un organisme du gouvernement du Canada, le COD du recensement étant installé dans un local commercial. La GI et les gestionnaires de projet du COD du recensement nous ont informés qu'un comité de locataires sera établi au besoin, conformément à la politique du SCT, pour résoudre les problèmes et les préoccupations en matière de sécurité, si un nouveau locataire est identifié et quand il le sera.
Compte tenu des preuves recueillies et de nos constatations en ce qui a trait aux questions à poser concernant la sécurité matérielle du COD, aucune recommandation n'est nécessaire.
Annexes
Annexe A : Critères de vérification
Élément du CRG | Critère |
---|---|
Secteur à examiner no 1 : La gouvernance en matière de sécurité du COD du recensement est appropriée et efficace | |
Gouvernance : | Des organismes de surveillance efficaces sont établis. Le COD du recensement dispose de plans et d'objectifs opérationnels visant à atteindre ses objectifs stratégiques. Les gestionnaires ont élaboré des plans pour protéger les données de nature délicate, les actifs et les employés advenant tous les types d'urgence et en situation de menace accrue. Des plans sont élaborés pour assurer la continuité des activités opérationnelles essentielles, des services et des actifs, par suite d'une interruption non prévue. |
Responsabilisation: | Les pouvoirs, la responsabilité et la responsabilisation sont clairs et bien communiqués. Une structure organisationnelle claire et efficace est établie et documentée. |
Gestion des risques : | La direction a déterminé les risques qui pourraient nuire à l'atteinte de ses objectifs et y a donné suite. |
Résultats et rendement : | Les gestionnaires contrôlent le rendement réel par rapport aux résultats prévus et donnent suite aux risques en ce qui a trait à la sécurité matérielle du COD du recensement. |
Secteur à examiner no 2 : Le COD se conforme aux exigences pertinentes en matière de sécurité matérielle qui sont prescrites par le Secrétariat du Conseil du Trésor (SCT) | |
Gérance : | Les gestionnaires ont établi des processus pour déterminer et gérer les contrats. Les actifs sont protégés. Les procédures s'appliquant à la sécurité du personnel au COD du recensement sont appropriées. |
Annexe B : Politiques, normes et lignes directrices
Pour appuyer la section de l'évaluation de la sécurité matérielle du rapport d'EMR, on a déterminé que les normes, politiques et lignes directrices suivantes du gouvernement du Canada étaient utilisées :
- Politique sur la sécurité du gouvernement (PSG) du gouvernement du Canada;
- Norme opérationnelle sur la sécurité matérielle du gouvernement du Canada;
- Méthodologie harmonisée d'évaluation des menaces et des risques du gouvernement du Canada;
- GRC G1-001 – Guide d'équipement de sécurité;
- GRC G1-004 – Construction d'une aire protégée;
- GRC G1-005 – Guide pour la préparation d'un énoncé de sécurité matérielle;
- GRC G1-006 – Cartes d'identité/insignes d'accès;
- GRC G1-009 – Transport et transmission de renseignements protégés ou classifiés;
- GRC G1-013 – Besoins en espace des centres de surveillance;
- GRC G1-024 – Contrôle de l'accès;
- GRC G1-025 – Protection, détection et intervention;
- GRC G1-026 – Établissement des zones de sécurité matérielle.
Notes :
- Footnote 1
-
Auparavant appelée Politique du gouvernement sur la sécurité (PGS) du SCT.
- Footnote 2
-
Évaluation de la menace et des risques de l'installation, Examen supplémentaire, version finale 1.0 Date : 15 décembre 2010