ANNEXE 1
SUIVI DE LA RÉPONSE DU GOUVERNEMENT À LA RECOMMANDATION 1 DU CINQUIÈME RAPPORT SUR LA PROTECTION DES RENSEIGNEMENTS ET DES BIENS DU GOUVERNEMENT LORS DE L’OCTROI DES CONTRATS
Le Secrétariat du Conseil du Trésor présente au Comité des comptes publics les résultats consolidés de la prochaine évaluation du cadre de responsabilisation de gestion de la conformité des ministères et organismes aux exigences en matière de sécurité.
RÉSULTATS CONSOLIDÉS DES ÉVALUATIONS DU CADRE DE RESPONSABILISATION DE GESTION DE LA CONFORMITÉ DES MINISTÈRES ET ORGANISMES AUX EXIGENCES EN MATIÈRE DE SÉCURITÉ
Contexte
Le cadre de responsabilisation de gestion (CRG) énonce les attentes du Conseil du Trésor auxquelles les cadres supérieurs de l’administration fédérale doivent répondre pour assurer une gestion efficace de la fonction publique. Il définit les conditions qui doivent être en place pour assurer une saine gestion de l’administration gouvernementale et pour promouvoir l’excellence en gestion. Le processus du CRG comprend des évaluations annuelles des ministères et organismes, la participation des administrateurs généraux et du Secrétariat du Conseil du Trésor du Canada (SCT), une entente conjointe sur des plans d’action précis visant à améliorer la gestion et, en fin de compte, l’établissement de rapports destinés au public sur l’état de la gestion. Les évaluations du CRG sont importantes et utiles pour déterminer les points forts et les faiblesses de la gestion globale des ministères et organismes de même que de l’ensemble de l’administration gouvernementale, en définitive.
Le CRG est composé de 10 éléments intégrés qui définissent collectivement la « gestion » en plus d’établir les attentes sur ce qui constitue une saine gestion. Chacun de ces éléments est étayé d’un énoncé définissant les attentes connexes en matière de gestion ainsi que d’un ensemble de « composantes de gestion » précisant la portée et la signification des attentes de la direction. La collecte et l’analyse des données liées à chacun des éléments du CRG reposent sur ces composantes de gestion, qui guident les évaluations annuelles du CRG.
Un des éléments du CRG, la Gérance, sert à établir les attentes relatives à la création d’un régime de contrôle ministériel intégré efficace (biens, fonds, personnes, services, etc.) et aux mesures nécessaires afin que ses principes sous‑jacents soient clairs pour tous les fonctionnaires. Une nouvelle composante de gestion a été créée pour la ronde V (2007‑2008), sous l’élément Gérance : la composante de gestion 19 (CG 19), Sécurité et continuité des activités, en vue d’établir des attentes claires et d’évaluer le rendement ministériel en matière de sécurité et de continuité des activités.
Avec l’introduction de la CG 19, le SCT a pu accroître la visibilité de la sécurité et de la continuité des activités et en rehausser l’importance aux yeux de la haute direction des ministères et organismes, surveiller plus efficacement la conformité et tenir les ministères et organismes responsables de leur gestion des pratiques de sécurité et de continuité des activités. La nouvelle CG 19 a également mené à l’introduction et à l’échange de pratiques exemplaires dans ces domaines d’intérêt.
Les résultats du CRG ont déjà contribué à introduire ou à appuyer certains changements stratégiques. Un important exemple de ce phénomène en ce qui concerne la sécurité et la continuité des activités a été l’introduction de la planification de la sécurité ministérielle dans la Politique sur la sécurité du gouvernement révisée ainsi que dans la Directive sur la gestion de la sécurité ministérielle qui est entrée en vigueur le 1er juillet 2009.
CG 19 - Méthode d’évaluation
Jusqu’à la ronde VII du CRG, la CG 19 était évaluée en fonction de trois éléments de preuve (EP) :
COMPOSANTE DE GESTION 19 : Sécurité et continuité des activités
La sécurité et la continuité des activités contribuent à l’efficacité du gouvernement en protégeant les employés, l’information et les biens et en assurant l’accès continu aux services critiques, ce qui est mesuré par :
ÉLÉMENT DE PREUVE 19.1 : Programme ministériel de sécurité (PMS)
Mesure dans laquelle un programme ministériel de sécurité est en place et géré conformément à la Politique sur la sécurité du gouvernement (PSG), afin d’assurer la coordination de toutes les fonctions stratégiques et la mise en œuvre des exigences des politiques.
ÉLÉMENT DE PREUVE 19.2 : Gestion de la sécurité des technologies de l’information (GSTI)
Mesure dans laquelle un programme de sécurité de la technologie de l’information (TI) est établi et géré conformément à la Norme de sécurité opérationnelle de GSTI pour assurer une protection adéquate des renseignements et des systèmes de TI délicats.
ÉLÉMENT DE PREUVE 19.3 : Programme de planification de la continuité des activités (PCA)
Mesure dans laquelle un programme de PCA est établi et géré conformément à la Norme de sécurité opérationnelle du programme de PCA pour veiller à la mise en place de mesures propres à assurer la continuité des services critiques.
L’annexe 1 est un aperçu du cadre d’évaluation de la CG 19 dans les rondes V et VI.
Les résultats obtenus pour les domaines clés de chaque EP ont servi à déterminer la cote d’ensemble pour l’EP. On a ensuite compilé ces résultats pour aboutir à la cote globale de la CG 19. L’échelle d’évaluation commune suivante est utilisée pour toutes les CG du CRG :
- Attention requise : Importantes lacunes et/ou attention insuffisante accordée aux lacunes.
- Possibilité d’amélioration : Lacunes modérées et indication d’attention accordée aux lacunes, avec progrès.
- Acceptable : Pas de grosses lacunes; répond aux attentes du SCT.
- Fort : Pas de lacune, rendement soutenu dépassant les attentes du SCT et laissant entendre qu’il se maintiendra.
- Résultats globaux du CRG pour la CG 19
Dans la ronde V du CRG, un total de 47 organisations, dont huit petites, ont été évaluées en fonction de la CG 19. Dans la ronde VI, on a évalué un total de 49 organisations, dont 10 petites.
Un total de 39 organisations de l’administration publique centrale ont été évaluées à chacune des deux années de la ronde V et de la ronde VI du CRG, ce qui a permis d’établir une solide base de comparaison des résultats d’une année à l’autre.
Dans l’ensemble, pour la CG 19, on a constaté une amélioration des résultats, la ronde VI, les organisations ayant obtenu une cote Acceptable ou Fort étant passées de 51 % à 63 % de toutes les organisations de la ronde V à la ronde VI (et de 54 % à 67 % de l’ensemble des organisations dans le cas des organisations de la fonction publique centrale). La Figure 1 indique les améliorations globales observées entre la ronde V et la ronde VI.
19.1 Programme ministériel de sécurité
La comparaison des résultats a révélé, en ce qui concerne l’EP 19.1, que les organisations ayant obtenu une cote Acceptable ou Fort sont passées de 57 % à 69 % de l’ensemble de la ronde V à la ronde VI (figure 2). Cette amélioration est attribuable aux progrès substantiels réalisés à l’égard de l’Organisation de sécurité et gouvernance de programme.
En général, en ce qui concerne la composante Organisation de sécurité et gouvernance de programme du CRG, la plupart des organisations avaient des programmes de sécurité bien établis. En outre, de nombreuses organisations ont prouvé qu’elles avaient établi ou renouvelé leurs politiques et leurs structures de gouvernance pour gérer leur programme de sécurité. Le rôle des responsables ministériels de la sécurité était également mieux défini, et ils étaient de mieux en mieux placés stratégiquement dans leur organisation. Ces améliorations montrent que les organisations sont bien placées pour mettre en œuvre la nouvelle Politique sur la sécurité du gouvernement du Conseil du Trésorainsi que la Directive sur la gestion de la sécurité ministérielle qui est entrée en vigueur le 1er juillet 2009.
19.2 Gestion de la technologie de l’information (GSTI)
Une comparaison d’une année à l’autre de l’évaluation globale de la GSTI a révélé une tendance à la baisse entre les rondes V et VI du CRG, le pourcentage des organisations ayant obtenu une cote Acceptable ou Fort étant passé d’environ 76 % à 59 % (Figure 3). C’est digne de mention, surtout si l’on tient compte du fait qu’il n’y a eu aucun changement important de la méthode d’évaluation ni des exigences des politiques. Dans bien des cas, les reculs peuvent être attribués à des vérifications internes récentes ou à des incidents liés à la sécurité ayant révélé des lacunes jusque‑là inconnues qui se sont reflétées dans les rapports du CRG.
La baisse des cotes globales avec l’EP 19.2 a résulté de changements observés dans des domaines clés. Les résultats pour la Gestion du risque ont chuté, ce qui indique que les processus réputés appropriés ne sont peut‑être pas suffisants pour garantir l’identification des risques en matière de sécurité de l’information et la prise des mesures nécessaires.
La Planification de la continuité a révélé un important changement du ratio des organisations ayant obtenu des cotes Attention requise/Possibilité d’amélioration plutôt qu’Acceptable entre la ronde V et la ronde VI, ce qui indique que de nombreuses organisations ont peut-être des processus et des mesures limités en place afin de s’assurer de disposer des systèmes d’importance critique pour leur continuité ou de pouvoir les remettre en état de fonctionner dans un délai acceptable.
Les ministères et organismes ont généralement connu un bon rendement sous certains aspects. On a constaté qu’une Politique de sécurité de la technologie de l’information approuvée était en place dans presque toutes les organisations. La sensibilisation et la formation en matière de sécurité de la technologie de l’informationétaient des éléments communs, puisqu’on fournissait aux employés la formation nécessaire en matière de sécurité de la technologie de l’information pour leur permettre de se servir des ressources de TI en toute sécurité pour mener leurs activités à bien.
Des Mesures de protection technique et opérationnelle ont également été observées dans toutes les évaluations des rondes V et VI dans la plupart des organisations.
19.3 Programme de planification de la continuité des activités (PPCA)
La comparaison directe de la PCA entre les rondes V et VI a souffert du fait que 11 organisations n’ont pas pu être évaluées, car elles n’avaient pas de « services critiques » (conformément à la Norme opérationnelle de sécurité du programme de PCA, les services d’importance critique pour la santé, la sécurité, la protection ou le bien‑être économique de la population, ou le fonctionnement efficace du gouvernement).
Quand la CG 19 a été créée, dans la ronde V du CRG, les ministères et organismes ont généralement eu de mauvaises évaluations avec cet élément de preuve, puisqu’environ un tiers ont obtenu la cote Attention requise (Figure 4). Toutefois, des changements significatifs ont été constatés entre les rondes V et VI, puisque le pourcentage des organisations ayant obtenu la cote Acceptable ou Fort est passé de 32 % à 47 %, tandis que celui des organisations ayant obtenu la cote Attention requise a chuté, passant d’environ 32 % à 5 %. Certaines améliorations évidentes peuvent être attribuées au fait que plusieurs organisations n’ont pas été évaluées au cours de la ronde VI en fonction de cet élément de preuve.
En ce qui concerne les exigences associées à l’EP 19.3, des progrès ont été constatés à plusieurs égards. La Gouvernance du programme de PCA a révélé une amélioration sensible d’une année à l’autre dans les organisations évaluées. De même, on a constaté un progrès quant au nombre d’analyses des répercussions sur les activités (ARA) menées à bien entre les rondes V et VI.
Les organisations ont aussi nettement amélioré leur rendement en ce qui concerne les exercices effectués et la formation offerte pour valider et appuyer les plans dans le contexte de la Capacité opérationnelle du programme de PCA. En outre, elles ont poursuivi l’établissement d’un cycle de maintenance visant à assurer l’examen et la révision en permanence des plans, ainsi que des mesures périodiques d’exercices et de formation.
En dépit de ces améliorations, de nombreux ministères et organismes continuent d’avoir des faiblesses au chapitre des mesures et des arrangements nécessaires pour appuyer la mise en application des plans en ce qui concerne les Plans et arrangements de la PCA.
.
Les évaluations détaillées de chaque ministère et organisme évalués dans ces rondes sont accessibles à partir des sites Web suivants : ronde V – http://www.tbs-sct.gc.ca/maf-crg/assessments-evaluations/2007/menu-fra.asp et ronde VI – http://www.tbs-sct.gc.ca/maf-crg/assessments-evaluations/2008/menu-fra.asp
Annexe 1 – Ventilation des éléments de preuve utilisés pour évaluer la CG 19
EP 19.1 – Programme ministériel de sécurité
- Organisation de sécurité et gouvernance de programme
- Partage de l’information et des biens
- Formation en matière de sécurité
- Sensibilisation en matière de sécurité
- Séances d’information sur la sécurité
- Sécurité dans les situations d’urgence et de menace accrue (évalué seulement dans la ronde V)
- Gestion des incidents
- Leadership pangouvernemental
- Harmonisation stratégique
EP 19.2 – Gestion de la sécurité de la technologie de l’information
- Organisation de sécurité de la TI
- Politique sur la STI
- Ressources et cycle de développement des systèmes de la STI
- Identification des biens
- Gestion des risques
- Gestion des incidents
- Gestion de la vulnérabilité
- Planification de la continuité
- Vérification, surveillance et évaluation
- Sensibilisation
- Autres mesures de protection technique et opérationnelle
- Leadership pangouvernemental
EP 19.3 – Programme de planification de la continuité des activités
- Gouvernance du programme de PCA
- Réalisation de l’analyse des répercussions sur les activités
- Plans et arrangements pour assurer la continuité des activités
- Capacité opérationnelle du programme de PCA
- Plan de préparation pour assurer la continuité de la GI/TI en cas de pandémie
Annexe 2 – Liste des organisations évaluées au titre de la CG 19 dans les rondes V et VI du CRG
Ronde V du CRG
Secteur de programmes |
Ministères et petits organismes |
Secteur des affaires internationales, de la sécurité et de la justice |
Agence des services frontaliers du Canada |
Comité des griefs des Forces canadiennes |
|
Agence canadienne de développement international |
|
Service canadien du renseignement de sécurité |
|
Citoyenneté et Immigration |
|
Commission des plaintes du public contre la Gendarmerie royale du Canada |
|
Service correctionnel du Canada |
|
Affaires étrangères et Commerce international |
|
Justice Canada |
|
Défense nationale |
|
Bureau de l’enquêteur correctionnel |
|
Bureau du registraire de la Cour suprême |
|
Sécurité publique Canada |
|
Gendarmerie royale du Canada |
|
Secteur économique |
Agriculture et Agroalimentaire Canada |
Agence de promotion économique du Canada atlantique |
|
Agence canadienne d’inspection des aliments |
|
Commission canadienne des grains |
|
Agence spatiale canadienne |
|
Agence de développement économique du Canada pour les régions du Québec |
|
Environnement Canada |
|
Pêches et Océans |
|
Industrie Canada |
|
Office national de l’énergie |
|
Conseil national de recherches du Canada |
|
Ressources naturelles Canada |
|
Statistique Canada |
|
Transports Canada |
|
Diversification de l’économie de l’Ouest |
|
Secteur des opérations gouvernementales |
Agence du revenu du Canada |
Finances Canada |
|
Bureau du Conseil privé |
|
Travaux publics et Services gouvernementaux Canada |
|
École de la fonction publique du Canada |
|
Agence de la fonction publique du Canada |
|
Commission de la fonction publique |
|
Secrétariat du Conseil du Trésor |
|
Secteur social et culturel |
Patrimoine canadien |
Conseil de contrôle des renseignements relatifs aux matières dangereuses |
|
Santé Canada |
|
Ressources humaines et Développement social Canada |
|
Affaires indiennes et du Nord Canada |
|
Bibliothèque et Archives Canada |
|
Office national du film |
|
Parcs Canada |
|
Agence de la santé publique du Canada |
|
Anciens Combattants Canada |
Ronde VI du CRG
Secteur de programmes |
Ministères et petits organismes |
Secteur des affaires internationales, de la sécurité et de la justice |
Agence des services frontaliers du Canada |
Agence canadienne de développement international |
|
Service canadien du renseignement de sécurité |
|
Citoyenneté et Immigration Canada |
|
Service correctionnel du Canada |
|
Ministère des Affaires étrangères et du Commerce international |
|
Justice Canada |
|
Défense nationale |
|
Sécurité publique Canada |
|
Gendarmerie royale du Canada |
|
Service administratif des tribunaux judiciaires |
|
Bureau du commissaire à la magistrature fédérale |
|
Secteur économique |
Agriculture et Agroalimentaire Canada |
Agence de promotion économique du Canada atlantique |
|
Agence canadienne d’inspection des aliments |
|
Agence spatiale canadienne |
|
Agence de développement économique du Canada pour les régions du Québec |
|
Environnement Canada |
|
Pêches et Océans |
|
Industrie Canada |
|
Conseil national de recherches du Canada |
|
Ressources naturelles Canada |
|
Statistique Canada |
|
Transports Canada |
|
Diversification de l’économie de l’Ouest |
|
Agence canadienne d’évaluation environnementale |
|
Office des transports du Canada |
|
Infrastructure Canada |
|
Secteur des opérations gouvernementales |
Agence de la fonction publique du Canada |
Agence du revenu du Canada |
|
École de la fonction publique du Canada |
|
Finances Canada |
|
Bureau du Conseil privé |
|
Travaux publics et Services gouvernementaux Canada |
|
Commission de la fonction publique |
|
Secrétariat du Conseil du Trésor |
|
Tribunal canadien du commerce extérieur |
|
Bureau du surintendant des institutions financières |
|
Secteur social et culturel |
Patrimoine canadien |
Santé Canada |
|
Ressources humaines et Développement social Canada |
|
Affaires indiennes et du Nord Canada |
|
Bibliothèque et Archives Canada |
|
Parcs Canada |
|
Agence de la santé publique du Canada |
|
Anciens Combattants Canada |
|
Conseil canadien des relations industrielles |
|
Conseil de la radiodiffusion et des télécommunications canadiennes |
|
Bureau de la coordonnatrice de la situation de la femme |
ANNEXE 2
SUIVI DE LA RÉPONSE DU GOUVERNEMENT À LA RECOMMANDATION 3 DU CINQUIÈME RAPPORT, LA PROTECTION DES RENSEIGNEMENTS ET DES BIENS DU GOUVERNEMENT LORS DE L’OCTROI DES CONTRATS
Que Travaux publics et Services gouvernementaux Canada (TPSGC) et le Secrétariat du Conseil du Trésor (SCT) effectuent un examen en vue de déterminer si tous les marchés faisant l’objet d’une exigence de sécurité « Secret » ou plus élevée devraient être traités par le Programme de la sécurité industrielle (PSI) et informent le Comité des comptes publics des résultats de cet examen.
RAPPORT SUR L’ÉTAT DE L’EXAMEN DE LA SÉCURITÉ DANS L'OCTROI DES CONTRATS
Objet
Le Comité permanent des comptes publics (CCP) a examiné le rapport d’octobre 2007 du Bureau du vérificateur général(BVG) du Canada intitulé « La protection des renseignements et des biens du gouvernement lors de l’octroi des contrats » et a fait plusieurs recommandations visant à remédier aux lacunes des processus d’assurance de la sécurité et d’adjudication des marchés. Plus précisément, sa recommandation 3 stipulait :
Que Travaux publics et Services gouvernementaux Canada (TPSGC) et le Secrétariat du Conseil du Trésor (SCT) effectuent un examen en vue de déterminer si tous les marchés faisant l’objet d’une exigence de sécurité « Secret » ou plus élevée devraient être traités par le Programme de la sécurité industrielle (PSI) et informent le Comité des comptes publics des résultats de cet examen.
Contexte
Le processus d’assurance de la sécurité de l’information et des biens confiés à des entreprises privées comprend des activités distinctes qui sont accomplies pendant toutes les phases du processus d’acquisition. Ces phases comprennent la définition et la préparation des marchés (rédaction de l’énoncé de travail), l’appel d’offres/demande de propositions, la négociation, l’adjudication, l’exécution et la résiliation. Les exigences de sécurité s’appliquent également et communément aux services, aux marchandises ou à la construction, que le marché soit adjugé par une autorité ministérielle ou par un fournisseur de services communs, ainsi qu’à tous les types de marchés, soit aux marchés d’approvisionnement de l’État, aux arrangements en matière d’approvisionnement (AA), aux offres à commandes, aux commandes subséquentes, à la sous‑traitance à des tiers et aux marchés internationaux.
Approche et méthode de l’examen
Le SCT et TPSGC ont convenu d’appliquer la recommandation du CCP et d’effectuer un examen en recueillant et en analysant de l’information tirée d’études et de consultations portant sur les mesures de sécurité applicables aux activités contractuelles du gouvernement. Les lois, les règlements et les politiques susceptibles d’influer sur la situation du service commun du PSI de TPSGC ou au contraire d’en ressentir l’influence et les autres initiatives des organismes centraux qui pourraient également avoir une incidence seront examinés. En plus d’envisager des moyens de renforcer la sécurité contractuelle, l’information recueillie servira à évaluer les avantages, les inconvénients et les efficiences opérationnels, de même que les conséquences potentielles de l’imposition de l’obligation d’avoir recours aux services du PSI/TPSGC pour le traitement des marchés faisant l’objet d’exigences de sécurité « Secret » ou plus élevées. On tiendra compte des intérêts de chaque partie, le fournisseur de services communs (PSI/TPSGC), les ministères, le secteur privé et le gouvernement dans son ensemble.
État de l’examen
Le SCT et TPSGC ont entrepris des consultations avec les ministères de diverses manières allant de les inviter officiellement à présenter leurs commentaires dans des réunions de groupe de travail et de comité, par courriel et dans des discussions bilatérales à les leur demander de façon informelle dans des conversations téléphoniques. Les structures de gouvernance existantes telles le Groupe de travail (GT) sur la sécurité dans l’adjudication des marchés et les comités de la sécurité au niveau des directeurs généraux (DG) et des sous‑ministres adjoints (SMA) ont été informées de l’examen et invitées à donner leur rétroaction sur les questions importantes et sur les prochaines étapes. Ces consultations ont eu lieu à diverses occasions :
- GT sur la sécurité dans l’adjudication des marchés : les 10 juin et 27 juillet 2010
- Comité des DG sur la sécurité : les 26 mai et 26 août 2010
- Comité des SMA sur la sécurité : le 18 juin 2010
Le GT et les comités continueront d’être consultés durant tout l’examen.
Le 26 juillet 2010, un questionnaire a été envoyé par courriel à 33 ministères pour recueillir des données fraîches afin de mettre les statistiques à jour. Les résultats de ce sondage nous aideront à déterminer dans quelle mesure on a recours aux services du PSI/TPSGC pour traiter des exigences de sécurité des marchés et dans quelle mesure également les ministères se chargent de la sécurité dans le cadre de leurs activités contractuelles, au-delà du filtrage de sécurité des personnes. Des discussions bilatérales avec un échantillon de petits, moyens et grands ministères et organismes, ainsi que de ministères et d’organismes chargés de l’application de la loi qui participent au sondage, ont également été prévues afin de recueillir des renseignements supplémentaires sur les mesures ministérielles de sécurité précises appliquées dans le cadre des pratiques contractuelles.
De plus, le SCT et TPSGC ont entrepris une analyse initiale de l’information et des données reçues de diverses sources telles que des études, des vérifications, des lettres et d’autres examens portant sur la sécurité dans l’adjudication des marchés et sur les régimes de filtrage de sécurité.
Nous tiendrons compte aussi des résultats des consultations auprès des parties intéressées de l’extérieur. Ces consultations ont eu lieu à l’occasion des rencontres annuelles entre les représentants de TPSGC et les dirigeants des grandes associations professionnelles, où l’on a discuté du processus de sécurité industrielle et du modèle de prestation des services.
Enfin, en parallèle, le Programme de la sécurité industrielle de TPSGC mène actuellement une étude interne du Secteur de la sécurité industrielle (SSI) en préparation à la mise en œuvre d’un régime de recouvrement des coûts à compter du 1er avril 2011, afin d’examiner des questions comme les opérations commerciales, les problèmes de gouvernance et d’organisation, la mesure des coûts et du rendement et les processus opérationnels. Le SCT tiendra des consultations avec TPSGC tout au long du présent processus afin de déterminer quels renseignements sont pertinents pour l’examen, le cas échéant.
Rapport final
Le rapport final de l’examen sera remis au Comité au cours des prochaines semaines.