Vérification des enquêtes de sécurité ministérielle menées par les Services de sécurité communs (rapport final)

Vérification des enquêtes de sécurité ministérielle menées par les Services de sécurité communs
(rapport final) (PDF, 793Ko)

Le 29 juin 2017

Sur cette page

Résumé

i. Selon la Politique sur la sécurité du gouvernement de 2009, la sécurité du gouvernement est définie comme étant « l’assurance que l’information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail. » L’alinéa 6.1.8 de la politique énonce que les administrateurs généraux de tous les ministères doivent « s’assurer que les enjeux importants concernant la conformité à la politique, les allégations d’inconduite, les activités criminelles soupçonnées, les incidents liés à la sécurité ou la violence en milieu de travail fassent l’objet d’une enquête, d’une intervention et d’un signalement à l’organisme approprié chargé de l’application de la loi, à l’organisme de sécurité nationale ou à l’organisme principal responsable de la sécurité ».

ii. La sous-ministre de Services publics et Approvisionnement Canada a subdélégué le pouvoir de mener des enquêtes administratives officielles sur des incidents de sécurité à la Direction générale de la surveillance. Dans la direction générale, la responsabilité de mener des enquêtes était partagée entre la Direction de la sécurité ministérielle et la Direction des enquêtes spéciales et de la divulgation interne, selon la nature de l’incident faisant l’objet de l’enquête.

iii. En date d’octobre 2015, la Direction des enquêtes spéciales et de la divulgation interne était autorisée à mener toutes les enquêtes administratives liées à des incidents de sécurité. La responsabilité de la réception, du triage et de l’examen préliminaire des incidents de sécurité fut par la suite attribuée aux Services de sécurité communs nouvellement constitués, anciennement l’unité d’enquêtes de sécurité au sein de la Direction de la sécurité ministérielle.

iv. La vérification avait pour objectif de déterminer si des éléments déterminés du Cadre de responsabilisation de gestion sont en place et fonctionnent comme prévu afin de soutenir le rôle que jouent les Services de sécurité communs relativement aux incidents de sécurité. La période visée par la portée de la vérification allait du 1er avril 2015 au 30 novembre 2016. La portée excluait les enquêtes administratives liées à des incidents de sécurité menées par la Direction des enquêtes spéciales et de la divulgation interne. La fonction d’enquête a été évaluée dans le cadre de la vérification de la fonction d’enquête administrative spéciale et de la vérification du processus de divulgation interne.

v. Dans l’ensemble, nous avons relevé de grandes faiblesses de contrôle au chapitre de certains éléments du Cadre de responsabilisation de gestion relatif aux enquêtes de sécurité ministérielles menées par les Services de sécurité communs. Nous avons en outre constaté qu’il serait possible d’améliorer le processus d’enquête en assurant une meilleure concordance entre les politiques et le contexte opérationnel de Services publics et Approvisionnement Canada. L’établissement de procédures, la conduite d’examens de la gestion et la réalisation d’activités d’assurance de la qualité pourraient accroître la qualité et la cohérence des activités menées par les Services de sécurité communs. Par ailleurs, nous avons relevé des problèmes de gestion de l’information liés à l’utilisation de l’application Site-Secure par les Services de sécurité communs. L’apport d’améliorations dans les secteurs repérés permettrait de s’assurer que les Services de sécurité communs effectuent leur travail selon le pouvoir qui leur a été conféré, que ce travail est effectué en conformité avec les exigences du Secrétariat du Conseil du Trésor et qu’il appuie adéquatement l’atteinte des objectifs de Services publics et Approvisionnement Canada.

Réponse de la gestion

Depuis que les observations de vérification ont été portées à son attention à l’été et à l’automne 2016, la direction estime que ses initiatives d’amélioration continue ont permis de répondre à la majorité des préoccupations soulevées au cours de la vérification. De plus, la direction estime que, d’ici à ce que l’application Site-Secure soit remplacée, les mesures provisoires prises atténuent les risques. Le plan d’action de la gestion ci-après met en évidence les mesures prises par la Direction générale de la surveillance pour donner suite aux recommandations de la vérification.

Recommandations et plan d’action de la gestion

Recommandation 1 :
La sous-ministre adjointe, Direction générale de la surveillance, doit, par suite de consultations appropriées avec les intervenants en sécurité, a) mettre à jour les politiques relatives aux enquêtes de sécurité pour s’assurer que les rôles et les responsabilités sont clairement définis et concordent avec le contexte opérationnel actuel; b) établir de meilleurs contrôles pour assurer l’intégrité des renseignements sur la sécurité qui sont recueillis; et c) effectuer des analyses permanentes des tendances de l’environnement de risque de la sécurité du Ministère à l’aide des données recueillies sur les incidents de sécurité.
Plan d’action de la gestion 1.1 :

La fonction d’enquête de sécurité ministérielle qui relève des services de sécurité communs était une mesure temporaire, en novembre 2015, pour répondre aux préoccupations organisationnelles et aux difficultés de gestion. En décembre 2016, l’unité a été transférée à la Direction de la sécurité ministérielle, l’autorité en matière de politiques pour les activités d’enquête.

Services publics et Approvisionnement Canada compte environ 500 agents de sécurité de l’unité ayant une formation et des manuels fournis par le Secteur de la sécurité et de la gestion des urgences. Leurs responsabilités sont bien définies, documentées et communiquées.

Tous les agents de la sécurité régionaux connaissent leurs rôles et responsabilités (lesquels sont renforcés lors de rencontres mensuelles).

Un plan intégré triennal de sensibilisation et de formation en matière de sécurité (2016 à 2019) a été établi, lequel visait à changer la culture et à communiquer les responsabilités des employés à l’égard de la sécurité dans l’ensemble.

Un exercice et programme sur le confinement, la conception d’un abri sur place et les intrusions armées a été créé dans le but de communiquer les responsabilités des employés et des gestionnaires à l’égard des incidents de sécurité et de les former en la matière.

Une stratégie d’amélioration de la conformité en matière de ratissages de sécurité concernant les infractions et les récidivistes a été élaborée pour renforcer la conformité à la politique chez les employés et les gestionnaires.

Des mises à jour, ainsi qu’un cadre de référence et des mandats précisés au niveau du directeur général et du sous-ministre adjoint, ont été fournies aux comités de gouvernance de la sécurité et de la planification de la continuité des activités. Les membres des deux comités se sont réunis en mars 2017.

Les nouveaux contrôles de sécurité énoncés dans la Politique sur la sécurité du gouvernement ont fait l’objet d’un examen, et des lacunes en matière de sécurité ont été relevées, lesquelles doivent être traitées par la politique.

Deux cycles de consultations sur la sécurité ministérielle auprès d’experts en la matière (dont trois cycles d’examens régionaux) ont été menés pour harmoniser les politiques sur la sécurité de Services publics et Approvisionnement Canada avec la nouvelle Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada. La mise en œuvre de la politique a été retardée en raison, en partie, des propres retards du Secrétariat du Conseil du Trésor du Canada. La mise en œuvre est maintenant prévue après 2017.

Des réunions bimensuelles du Comité sur les enquêtes de sécurité portant sur la sécurité (incluant des membres des Ressources humaines, des technologie de l'information (TI), des Enquêtes spéciales et de la Sécurité ministérielle) ont été tenues pour assurer la production de rapports cohérents et l’harmonisation avec le contexte opérationnel actuel.

Plan d’action de la gestion 1.2 :

Toutes les données liées aux renseignements sur la sécurité d’une personne, à une enquête, à la résolution des doutes ou à un examen justifié sont désormais stockées dans GCDocsNote de bas de page 1. L’application Site-Secure sert seulement à émettre un numéro de suivi d’incident.

D’ici à ce que l’application Site-Secure soit remplacée (un chef de projet a été embauché en février 2017), des procédures opérationnelles normalisées prévoyant des contrôles procéduraux ont été mises en œuvre, et les employés responsables de l’entrée de données sont mieux formés.

Le dernier examen trimestriel de tous les comptes et des contrôles de l’application Site-Secure remonte à avril 2017.

Plan d’action de la gestion 1.3 :

L’agent de la sécurité ministérielle et le directeur de la Direction de la sécurité ministérielle examinent et surveillent le tableau de suivi des incidents qui décrit les catégories d’incidents. Il y a également un tableau de suivi distinct pour les examens justifiés, la résolution des doutes, le renseignement électromagnétique et les enquêtes menées par la Direction des enquêtes spéciales et de la divulgation interne.

L’application remplaçant Site-Secure intégrera une fonction de renseignements opérationnels pour permettre la réalisation d’analyses des tendances sophistiquées.

Recommandation 2 :
La sous-ministre adjointe, Direction générale de la surveillance, doit a) concevoir et mettre en œuvre des procédures opérationnelles normalisées qui visent le cycle de vie complet d’une enquête de sécurité et b) veiller à ce que les examens de gestion et les activités d’assurance de la qualité soient effectués afin de garantir le respect des procédures établies.
Plan d’action de la gestion 2.1 :

Des procédures opérationnelles normalisées pour la gestion des incidents ont été établies et la schématisation des processus opérationnels a été effectuée afin de garantir l’équité procédurale du processus de résolution des doutes et d’examen justifié :

  • L’équipe juridique a examiné les procédures opérationnelles normalisées et les modèles. L’intégration de leurs commentaires est en cours
  • Tous les processus ont été validés dans le cadre d’un exercice de simulation
  • Les procédures de résolution des doutes et d’examen justifié ont été schématisées et mises à l’essai aux fins du couplage informatique et du suivi automatisé du processus lié à l’application qui remplacera Site-Secure

Conformément au renouvellement de l’ensemble des politiques ministérielles mentionnés ci-dessus, tous les rôles et responsabilités liés au cycle de vie d’une enquête de sécurité seront officialisés. Dans l’intervalle :

  • Tous les responsables régionaux de la sécurité savent que les incidents de sécurité sont signalés à la Direction de la sécurité ministérielle, sous les auspices de l’agent de la sécurité ministérielle, au moyen d’un rapport général d’incident, et que toutes les activités d’établissement des faits pour évaluer ou ouvrir une enquête administrative officielle doivent être coordonnées par la Direction
  • La Direction de la sécurité ministérielle tient des téléconférences mensuelles avec les responsables régionaux de la sécurité pour discuter des incidents de sécurité et renforcer les rôles et les responsabilités
  • De la formation et des communications semblables seront rehaussées en vue de leur mise en œuvre et mise en application auprès des 500 agents de sécurité d’unité du Ministère
Plan d’action de la gestion 2.2 :

Les examens et la surveillance de la gestion et de l’agent de la sécurité ministérielle ont été intégrés dans les procédures opérationnelles normalisées décrites ci-dessus.

Une fois le remplacement de Site-Secure effectué, les examens et la surveillance de la gestion et de l’agent de la sécurité ministérielle seront intégrés comme éléments de l’analyse des renseignements opérationnels.

Recommandation 3 :
La sous-ministre adjointe, Direction générale de la surveillance, doit concevoir, documenter et communiquer de façon claire aux employés de Services publics et Approvisionnement Canada leurs droits et responsabilités en ce qui concerne le signalement des incidents de sécurité et la participation aux enquêtes liées à la sécurité.
Plan d’action de la gestion 3.1 :

Les mécanismes de réception pour le signalement des incidents de sécurité ont été consolidés et mis à jour en avril 2017, sur le site Web de Services publics et Approvisionnement Canada.

Les procédures opérationnelles normalisées pour les enquêtes comprennent un protocole visant à informer les individus de leurs droits et responsabilités et des répercussions liées à la Loi sur la protection des renseignements personnels.

Les formulaires de rapport général d’incident indiquent également le fichier de renseignements personnels applicable.

L’équipe juridique a examiné les procédures opérationnelles normalisées et les modèles connexes. L’intégration de ses commentaires est en cours.

Le cours obligatoire de sensibilisation à la sécurité sera mis à jour pour inclure dans les responsabilités des employés le signalement des incidents de sécurité.

Recommandation 4 :
La sous-ministre adjointe, Direction générale de la surveillance, doit a) concevoir et mettre en œuvre des indicateurs de rendement appropriés et b) réviser les normes de service afin de mieux tenir compte de la nature et de la complexité du travail effectué à l’heure actuelle par les Services de sécurité communs.
Plan d’action de la gestion 4.1 :
On conçoit actuellement des indicateurs de rendement clés mis à jour dans toutes les fonctions liées aux services de sécurité, conformément aux nouvelles procédures opérationnelles normalisées pour les enquêtes.
Plan d’action de la gestion 4.2 :

Les procédures opérationnelles normalisées pour la fonction d’enquête comprennent désormais un schéma de processus opérationnels, qui illustre la complexité et les échéances. Il sera intégré à la Direction des enquêtes spéciales et de la divulgation interne afin de saisir le cycle de vie complet d’une enquête de sécurité, à partir de la réception de l’incident jusqu’à la fermeture du dossier.

La fonction d’enquête de sécurité ministérielle qui relève des Services de sécurité communs était une mesure temporaire, en novembre 2015, pour répondre aux préoccupations organisationnelles et aux difficultés de gestion. En décembre 2016, l’unité a été transférée à la Direction de la sécurité ministérielle, l’autorité en matière de politiques pour les activités d’enquête.

Recommandation 5 :

En raison des risques importants pour la sécurité, la sous-ministre adjointe, Direction générale de la surveillance, doit réexaminer l’utilisation de l’application Site-Secure à titre d’outil de gestion de l’information pour les fonctions d’enquête.

S’il est déterminé que l’application Site-Secure demeure l’outil de choix, la sous-ministre adjointe doit alors a) établir des contrôles pour faire en sorte que l’information dans l’application Site-Secure est correctement protégée afin d’empêcher l’utilisation, la divulgation et la modification des données sans autorisation ou encore la détérioration ou la perte de données et b), que l’application demeure ou non l’outil de choix, veiller à ce que les Services de sécurité communs utilisent les dispositifs de stockage de données approuvés par le gouvernement du Canada pour traiter l’information d’enquête.

Plan d’action de la gestion 5.1 :

Examiné et approuvé précédemment à la réunion du Comité de vérification et d’évaluation du 23 janvier 2017.

On estime que tous les risques pour la sécurité sont atténués adéquatement, jusqu’au remplacement de Site-Secure.

Un plan d’action de la gestion distinct est en place pour assurer la surveillance.

Introduction

1. Cette vérification a été entreprise à la demande du Comité de vérification et d’évaluation en juin 2015, dans le cadre de la vérification horizontale du Cadre de responsabilisation de gestion des enquêtes de Services publics et Approvisionnement Canada, afin de donner l’assurance de l’efficacité des contrôles de gestion et des pratiques d’enquête au sein du Ministère.

2. La Politique sur la sécurité du gouvernement de 2009 du Secrétariat du Conseil du Trésor définit la sécurité du gouvernement comme « l’assurance que l’information, les biens et les services ne sont pas compromis et que les personnes sont protégées contre la violence en milieu de travail ». En vertu de l’alinéa 6.1.8 de la politique, les administrateurs généraux de tous les ministères doivent « s’assurer que les enjeux importants concernant la conformité à la politique, les allégations d’inconduite, les activités criminelles soupçonnées, les incidents liés à la sécurité ou la violence en milieu de travail fassent l’objet d’une enquête, d’une intervention et d’un signalement à l’organisme approprié chargé de l’application de la loi, à l’organisme de sécurité nationale ou à l’organisme principal responsable de la sécurité. »

3. Au sein de Services publics et Approvisionnement Canada, le sous-ministre a subdélégué le pouvoir de mener des enquêtes administratives officielles liées à des incidents de sécurité à la Direction générale de la surveillance. Jusqu’à récemment, les autorités et les domaines de responsabilité pour les enquêtes étaient divisés entre la Direction de la sécurité ministérielle et la Direction des enquêtes spéciales et de la divulgation interne selon la nature de l’enquête. À titre d’exemple, la Direction de la sécurité ministérielle était chargée d’enquêter dans le cas d’incidents liés à la sécurité, comme le vol, le vandalisme, la violence en milieu de travail et l’utilisation inadéquate des biens gouvernementaux et des biens liés à la technologie de l’information, tandis que la Direction des enquêtes spéciales et de la divulgation interne était chargée d’enquêter sur la divulgation en vertu de la Loi sur la protection des fonctionnaires divulgateurs d’actes répréhensibles, les conflits d’intérêts et l’usage abusif des fonds et des biens publics.

4. En date d’octobre 2015, la Direction des enquêtes spéciales et de la divulgation interne était autorisée à mener toutes les enquêtes administratives liées à des incidents de sécurité. La responsabilité de la réception des demandes, du triage, de l’examen préliminaire et de l’enquête concernant les incidents de sécurité peu complexes a été assignée aux Services de sécurité communs nouvellement constitués, anciennement l’unité d’enquêtes de sécurité au sein de la Direction de la sécurité ministérielle. En date du 30 novembre 2016, les Services de sécurité communs étaient composés d’un directeur, d’un gestionnaire et de deux enquêteurs. Lorsqu’on lui a demandé de produire son budget de fonctionnement pour l’exercice 2016 à 2017, l’unité n’a pas été en mesure de le faire.

Objectif(s) de la vérification

5. La vérification interne avait pour objectif de déterminer si des éléments déterminés du Cadre de responsabilisation de gestion sont en place et fonctionnent comme prévu afin de soutenir le rôle que jouent les Services de sécurité communs relativement aux incidents de sécurité. La période visée par la portée de la vérification allait du 1er avril 2015 au 30 novembre 2016. La portée excluait les enquêtes administratives liées à des incidents de sécurité menées par la Direction des enquêtes spéciales et de la divulgation interne. La fonction d’enquête a été évaluée dans le cadre de la vérification de la fonction d’enquête administrative spéciale et de la vérification du processus de divulgation interne.

6. De plus amples renseignements sur l’(les) objectif(s), l’étendue et la méthode ainsi que les critères sont fournis dans la partie intitulée « À propos de la vérification » qui se trouve à la fin du présent rapport.

Énoncé de conformité

7. La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité.

8. Des procédures de vérification suffisantes et pertinentes ont été suivies et des éléments probants ont été recueillis afin d’étayer l'exactitude des constatations et des conclusions présentées dans ce rapport et de fournir une assurance de niveau de vérification. Les constatations et les conclusions reposent sur une comparaison entre les conditions qui prévalaient au moment de la vérification et les critères de vérification préétablis et acceptés par la direction. Les constatations et les conclusions ne s'appliquent qu'aux entités examinées, pour l’étendue et la période visées par la vérification.

Observations

9. Les observations de vérification se développent à travers un processus de comparaison entre les critères (l’état idéal) avec condition (état actuel). Les observations suivantes peuvent noter un rendement satisfaisant, où l’état actuel répond aux critères de l’état idéal, ou elles peuvent noter des points à améliorer, où ils y avaient des différences entre l’état actuel et les critères de l’état idéal.

Les politiques ministérielles ne reflètent pas le contexte opérationnel actuel

10. La Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada définit l’exigence selon laquelle l’agent de la sécurité ministérielle doit établir un Programme de sécurité du Ministère pour gérer et coordonner les activités de sécurité au sein du Ministère. Dans le cadre de ce rôle, l’agent de la sécurité ministérielle doit s’assurer que les pouvoirs délégués, les rapports hiérarchiques ainsi que les rôles et les responsabilités des employés qui ont des responsabilités en matière de sécurité sont clairement définies, documentés et communiqués.

11. Nous nous attendions à ce que Services publics et Approvisionnement Canada ait des politiques en place pour appuyer les exigences susmentionnées du Secrétariat du Conseil du Trésor du Canada et à ce que ces politiques définissent clairement la structure de gouvernance et les responsabilités du Ministère en ce qui concerne le Programme de sécurité du Ministère, y compris les enquêtes liées à la sécurité. Nous nous attendions aussi à ce que ces politiques soient à jour et à ce qu’elles reflètent avec exactitude le contexte opérationnel actuel de Services publics et Approvisionnement Canada.

12. Nous avons constaté que Services publics et Approvisionnement Canada dispose de deux principales politiques qui définissent la structure de gouvernance et les responsabilités liées au Programme de sécurité du Ministère : la politique relative au Programme de sécurité du Ministère et la politique relative au Programme de la sécurité ministérielle. Notre examen de ces politiques a révélé qu’il n’y avait pas eu de mise à jour importante depuis mai 1997, et que les responsabilités définies n’étaient pas conformes aux changements organisationnels. À titre d’exemple, nous avons observé que des responsabilités étaient attribuées à des postes de direction qui n’existaient plus au sein de l’organisation. Nous avons aussi remarqué qu’il n’y avait pas de directives ni de normes ministérielles en place pour appuyer ces politiques. Par ailleurs, aucune des politiques liées à la sécurité de Services publics et Approvisionnement Canada que nous avons examinées ne mentionnait l’existence des Services de sécurité communs, ni leurs rôles ou leurs responsabilités.

13. Lors d’entrevues avec l’agent de la sécurité ministérielle et d’autres cadres supérieurs, nous avons appris que ces politiques de sécurité faisaient actuellement l’objet d’une mise à jour. Nous avons aussi appris que le roulement des gestionnaires, une charge de travail accrue, des changements organisationnels et le renouvellement prévu de l’ensemble des politiques sur la sécurité du Secrétariat du Conseil du Trésor du Canada qui devrait être terminée au printemps 2017 avaient contribué à retarder la révision.

14. On nous a fourni un exemplaire de l’ébauche de la politique sur les enquêtes de la Direction générale de la surveillance. À l’examen de cette politique, nous n’avons trouvé aucune donnée probante confirmant que le Comité ministériel sur la sécurité, formé de certains directeurs généraux et de directeurs qui exercent le pouvoir d’approuver pour tous les instruments stratégiques liés à la sécurité, avait contribué à son élaboration. Étant donné que la mise en œuvre de la politique aurait des conséquences directes sur la façon de gérer les enquêtes liées à la sécurité, nous nous attendions à une plus grande participation du secteur de la sécurité à l’élaboration de la politique. Par ailleurs, à l’examen de la politique, nous avons remarqué qu’il n’y avait aucune mention des Services de sécurité communs et de leur rôle pour la réception et le triage des rapports d’incident de sécurité à la Direction des enquêtes spéciales et de la divulgation interne dans le cadre des enquêtes.

Limites des renseignements utilisés pour l’évaluation des risques de sécurité

15. La Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor du Canada précise que l’agent de la sécurité ministérielle est responsable d’élaborer, de surveiller et de tenir à jour le plan de sécurité ministérielle et de rendre compte de la gestion de la sécurité au sein des ministères. Au sein de Services publics et Approvisionnement Canada, l’agent de la sécurité ministérielle est aussi chargé de rendre compte annuellement de l’état du programme de sécurité au Comité directeur des sous-ministres adjoints sur la sécurité ministérielle.

16. Nous nous attendions à ce que l’agent de la sécurité ministérielle utilise les données recueillies sur les incidents de sécurité afin d’effectuer l’analyse des tendances pour prendre des décisions en temps opportun et pour cerner, évaluer et atténuer les risques potentiels pour la sécurité. Nous nous attendions également à ce que les Services de sécurité communs produisent des rapports exacts sur les incidents de sécurité et à ce qu’ils en assurent le suivi pour permettre à l’agent de la sécurité ministérielle de remplir toutes les exigences internes et externes en matière de rapports.

17. Nous avons remarqué que les Services de sécurité communs utilisent actuellement une application appelée Site-Secure pour faire le suivi des incidents de sécurité. L’agent de la sécurité ministérielle et d’autres membres clés du personnel ont indiqué que la capacité de production de rapports du système est insuffisante pour effectuer l’analyse des tendances. Toutefois, notre analyse des rapports d’incidents liés à la sécurité a permis de constater que l’information contenue dans l’application pourrait permettre l’analyse des tendances, notamment le suivi en fonction de la catégorie d’incident au fil du temps.

18. Les répondants ont aussi révélé qu’ils étaient préoccupés par l’exactitude de l’information saisie dans l’application. Cette préoccupation a été justifiée lorsque nous avons constaté certains problèmes dans la façon de consigner les incidents de sécurité dans le système. À titre d’exemple, on utilisait le terme « autre » de façon inappropriée pour désigner des incidents de nature très précise, comme une infraction à la sécurité. Cette pratique entraîne une sous-représentation du nombre d’incidents de sécurité qui se produisent dans une catégorie précise ou au cours d’une période précise. De plus, dans notre échantillonnage, nous avons examiné deux dossiers qui avaient été résolus en un jour selon le rapport. Un examen plus approfondi de ces dossiers a révélé qu’il y avait un délai considérable entre le signalement des incidents aux Services de sécurité communs et la saisie des dossiers dans l’application Site-Secure, soit 18 et 50 jours ouvrables, respectivement. Cette pratique donne l’impression inexacte que les incidents sont résolus plus rapidement qu’ils le sont réellement.

19. Nous avons aussi été avisés que depuis la réorganisation de la fonction d’enquête de sécurité, certains incidents de sécurité ont été signalés directement à la Direction des enquêtes spéciales et de la divulgation interne, qui s’est chargée du suivi. Nous n’avons trouvé aucune donnée probante indiquant que les renseignements sur les incidents de sécurité étaient ensuite signalés à l’agent de la sécurité ministérielle de façon systématique.

20. L’analyse des tendances fondée sur des données erronées ou incomplètes peut fausser la détermination et l’évaluation du contexte en matière de risques liés à la sécurité et l’élaboration de stratégies appropriées pour atténuer ces risques.

Des procédures opérationnelles doivent être élaborées pour favoriser la cohérence dans la portée et la nature des activités d’enquête

21. La Politique sur la sécurité du gouvernement et la Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor du Canada énoncent que les ministères doivent élaborer et mettre en œuvre des procédures établissant les conditions qui régissent la conduite d’enquêtes administratives. Nous nous attendions à ce que des activités d’enquête soient menées systématiquement, en conformité avec les procédures opérationnelles normalisées et les lignes directrices opérationnelles documentées.

22. Nous n’avons trouvé aucune donnée probante indiquant que des procédures opérationnelles normalisées documentées étaient en place. Nous avons remarqué qu’il existe une ambiguïté considérable au sein de la division, surtout parmi les enquêteurs, quant à leur rôle et aux activités qu’ils devraient mener depuis la réorganisation. Dans la nouvelle structure organisationnelle, la division est responsable de mener l’examen préliminaire et les enquêtes peu complexes. Toutefois, il n’y avait aucune procédure pour guider la conduite d’un examen préliminaire ou pour déterminer le degré de complexité d’une enquête. En outre, les personnes interrogées n’avaient pas la même opinion sur ce que constitue un « examen préliminaire » ou une « enquête peu complexe », comparativement à une vraie enquête. Ce sentiment a par ailleurs été confirmé par notre évaluation des dossiers, au cours de laquelle nous avons relevé des incohérences dans les activités que menaient les enquêteurs lors du traitement des incidents de sécurité. Par exemple, dans certains dossiers, l’enquêteur transférait immédiatement le dossier à la Direction des enquêtes spéciales et de la divulgation interne, mais dans d’autres cas, il recueillait des données probantes au moyen d’entrevues et d’analyse des données avant de transférer le dossier à la Direction. Nous n’avons trouvé aucun motif dans les dossiers qui expliquerait pourquoi les enquêteurs ont adopté des approches si différentes.

23. De plus, nous n’avons trouvé aucune procédure expliquant les exigences en matière d’examen de la gestion avant de conclure l’exercice. Des 39 dossiers examinés dans notre échantillon, 34 ont été fermés. Parmi ces 34 dossiers fermés, seulement 9 d’entre eux indiquaient qu’ils avaient fait l’objet d’un examen de la gestion et d’une approbation.

24. La politique et la directive du Secrétariat du Conseil du Trésor du Canada, mentionnées ci-dessus, exigent aussi de signaler aux organismes compétents chargés de l’application de la loi tous les incidents de nature criminelle soupçonnée. Nous avons constaté que les Services de sécurité communs n’ont pas établi de protocole pour le renvoi d’incidents de nature criminelle soupçonnée aux organismes chargés de l’application de la loi. Le renvoi de ces incidents se fait au cas par cas. De plus, 12 des 39 dossiers dans notre échantillon portaient sur des incidents potentiellement de nature criminelle, mais ils n’ont pas été renvoyés aux organismes chargés de l’application de la loi. Nous n’avons pas pu trouver de raison ni d’approbation documentée d’un gestionnaire principal pour appuyer la décision de ne pas signaler l’incident aux organismes chargés de l’application de la loi.

25. En l’absence de procédures opérationnelles normalisées et de lignes directrices, les enquêteurs des Services de sécurité communs ont utilisé plusieurs approches pour trier et évaluer les incidents de sécurité. Compte tenu de cette observation, combinée aux pratiques non uniformes concernant les examens de la gestion, il se pourrait que des incidents de sécurité nécessitant une enquête ne soient pas relevés et examinés adéquatement dans le cadre d’un processus officiel d’enquête administrative.

Aucune activité d’assurance de la qualité n’a été menée

26. Nous nous attendions à ce que des activités d’assurance de la qualité soient menées pour veiller au respect des politiques et des exigences en matière de rapports, ainsi que pour cerner les secteurs où il est possible d’améliorer les processus en général. Durant notre examen des dossiers, nous n’avons trouvé aucune donnée probante indiquant que des activités d’assurance de la qualité avaient été menées.

27. Le fait de mettre en œuvre des activités d’assurance de la qualité correspondant à la complexité du travail effectué et aux ressources disponibles donnerait à l’agent de la sécurité ministérielle une certaine assurance que les activités des Services de sécurité communs sont adéquates et menées de manière uniforme.

L’examen préliminaire et les enquêtes ont parfois été menés par des employés régionaux qui ne sont pas des enquêteurs

28. Le Programme de sécurité du Ministère énonce que l’agent de la sécurité ministérielle est responsable de diriger et de fournir une orientation fonctionnelle aux autorités régionales de sécurité. De plus, le Programme de la sécurité ministérielle énonce que l’agent délégué de la sécurité ministérielle assume des responsabilités précises pour la coordination du Programme de sécurité ministérielle dans chaque région.

29. Les entrevues avec l’agent de la sécurité ministérielle et l’agent délégué de la sécurité ministérielle ont confirmé que les régions doivent signaler les incidents de sécurité et collaborer avec les enquêteurs de l’administration centrale, au besoin. Ces entrevues ont aussi permis de préciser que les régions n’ont pas le pouvoir ou la formation pour mener des enquêtes sur des incidents de sécurité, indépendamment de l’administration centrale.

30. Par conséquent, nous nous attendions à constater, en cas d’incidents de sécurité dans les régions, que les fonctionnaires régionaux informent sans tarder les Services de sécurité communs, l’agent de la sécurité ministérielle ou l’agent délégué de la sécurité ministérielle, et qu’ils fournissent un soutien d’enquête à l’administration centrale sur demande.

31. Nous avons constaté que certaines régions se livraient à un examen préliminaire ou à des activités d’enquête avant d’informer l’administration centrale. De notre échantillon, six dossiers d’incident de sécurité de notre échantillon concernaient des régions. Nous avons trouvé que pour trois de ces dossiers, certaines régions ont recueilli des données probantes, par exemple, en demandant les journaux de TI et en interrogeant des témoins avant de signaler l’incident de sécurité aux Services de sécurité communs.

32. Afin de ne pas mettre en péril l’intégrité du processus d’enquête, le rôle des régions doit être précisé pour faire en sorte que les régions se livrent uniquement aux activités qui sont de leur ressort, tout en se conformant aux politiques et aux directives applicables relatives aux enquêtes de sécurité.

Présence d’obstacles pour les employés de Services publics et Approvisionnement Canada de la région de la capitale nationale au moment de signaler des incidents de sécurité

33. La Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor du Canada énonce que les employés ont la responsabilité de signaler les incidents de sécurité par les voies officielles. Par conséquent, nous nous attendions à trouver des lignes directrices claires et des mécanismes de réception accessibles par lesquels les employés signaleraient des incidents de sécurité.

34. Durant la phase d’examen, nous avons passé en revue les mécanismes de réception figurant dans la page intranet de Services publics et Approvisionnement Canada et avons trouvé que l’adresse physique et l’adresse électronique générique servant à communiquer avec les Services de sécurité communs n’étaient pas valides. De plus, lorsque nous avons tenté de laisser un message au numéro de téléphone du site intranet, rien n’indiquait que nous avions bien joint les Services de sécurité communs. Après avoir fait le suivi, nous avons été informés que ce numéro n’avait pas été mis à jour.

35. Des filières de signalement dont les coordonnées sont inexactes peuvent créer des obstacles, empêcher un employé de signaler des incidents de sécurité et nuire au suivi approprié des Services de sécurité communs. Les incidents de sécurité pourraient ne pas être signalés ou traités, ce qui réduirait la capacité de l’agent de la sécurité ministérielle de bien évaluer le contexte de risques, et ferait en sorte que des incidents nécessitant un examen plus poussé ne fassent pas l’objet d’une enquête.

36. Après la phase d’examen de la vérification, les mécanismes de réception pour le signalement d’incidents de sécurité ont été consolidés et mis à jour dans la page intranet de Services publics et Approvisionnement Canada. Il conviendrait de maintenir cette mesure de façon continue pour encourager les employés à remplir leur obligation de signalement.

Les parties impliquées dans l’enquête n’étaient pas toujours bien informées de leurs droits et obligations

37. Selon la Directive sur la gestion de la sécurité ministérielle du Secrétariat du Conseil du Trésor du Canada, laquelle cite en référence la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels, les parties impliquées dans une enquête sur les incidents de sécurité doivent être bien informées de leurs droits et obligations. Cela comprend notamment le droit de connaître le motif de l’entrevue, de savoir que tous les renseignements fournis pendant l’entrevue peuvent être accessibles conformément aux lois mentionnées ci-dessus et de savoir qu’ils ont l’obligation de préserver la confidentialité des discussions. Nous nous attendions à trouver un processus en place visant à assurer le respect de la directive et à garantir que les employés qui participent à une enquête sont informés de leurs droits et obligations.

38. Dans notre échantillon, six dossiers faisaient état d’entrevues avec des employés de Services publics et Approvisionnement Canada. Pour ces dossiers, nous avons écouté des enregistrements audio d’entrevues et nous avons examiné des notes d’entrevue afin d’y repérer des données probantes indiquant que des parties impliquées dans l’enquête avaient été informées de leurs droits et obligations. Dans seulement trois de ces six dossiers, nous avons trouvé des données probantes indiquant que les employés avaient été informés de certains droits avant l’entrevue. Dans aucun des dossiers examinés, les employés n’ont été informés de leur droit d’obtenir l’information qu’ils ont fournie durant l’enquête conformément à Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels. De plus, nous n’avons trouvé aucune donnée probante indiquant que les employés ont été informés de leur obligation de préserver la confidentialité des discussions.

Les indicateurs de rendement existants ne reflètent pas le contexte opérationnel actuel

39. Les indicateurs de rendement sont utilisés pour surveiller le rendement et aider la direction et les employés dans leur quête d’amélioration continue. Pour être efficace, les ministères devront élaborer des indicateurs de rendement qui permettent de définir clairement les résultats voulus, de mesurer et d’évaluer le rendement, et d’apporter les changements nécessaires pour accroître à la fois l’efficacité et l’efficience de leurs activités. Nous nous attendions à trouver des indicateurs de rendement appropriés et à ce que la direction tienne compte de ces résultats pour éclairer la prise de décision et améliorer les activités au sein des Services de sécurité communs.

40. Nous avons constaté que les Services de sécurité communs avaient établi une norme de service de 90 jours pour ouvrir et fermer des dossiers d’incidents de sécurité, et un indicateur de rendement de 85 %. Nous avons remarqué que les indicateurs n’ont pas changé depuis la réorganisation de la fonction, et qu’ils sont identiques à ce qu’ils étaient lorsqu’ils menaient des enquêtes plus complexes. Nous avons évalué les indicateurs actuels et constaté qu’ils ne tiennent pas compte de la nature et de la complexité du travail qu’effectuent maintenant les Services de sécurité communs; nous doutons donc qu’ils soient utiles pour éclairer les améliorations et les gains d’efficience des activités.

41. De plus, suite à notre consultation auprès de la Direction des enquêtes spéciales et de la divulgation interne, nous avons appris qu’il n’existe aucune norme de service en place qui saisit le cycle de vie complet d’une enquête de sécurité, c’est-à-dire de la réception de l’incident de sécurité jusqu’à la fermeture du dossier d’enquête. Bien que la Direction des enquêtes spéciales et de la divulgation interne ait confirmé qu’elle disposait également d’une norme de service de 90 jours, cette norme n’inclut pas le délai requis par les Services de sécurité communs pour recevoir et traiter le dossier d’incident de sécurité. Nous avons constaté qu’aucun effort n’a été déployé, par l’une ou l’autre des directions générales, pour regrouper ou communiquer les résultats de normes de service dans le but de rehausser l’efficacité opérationnelle.

42. Le fait de tenter d’établir un lien plus fort entre les normes de service des deux directions générales permettrait de comprendre de façon plus exhaustive la durée requise pour achever une enquête sur les incidents de sécurité. L’intégrité du processus d’enquête s’en trouverait renforcée, cela rehausserait la capacité de trouver des occasions de simplifier les processus d’enquête de sécurité, et les parties qui participent à une longue enquête en ressentiraient moins les répercussions.

Des problèmes de système liés à l’application Site-Secure sont susceptibles de compromettre l’intégrité des dossiers électroniques concernant les incidents de sécurité

43. Selon les politiques et directives sur la gestion de l’information du Secrétariat du Conseil du Trésor du Canada, l’information liée aux enquêtes est considérée comme étant de nature délicate et doit être protégée en conséquence et transmise seulement aux personnes directement concernées.

44. Nous nous attendions à ce que les incidents de sécurité ministérielle et les dossiers d’enquête soient adéquatement protégés et tenus conformément aux politiques et directives sur la gestion de l’information afin de maintenir la confidentialité et de protéger l’information contre un accès ou usage non autorisé.

45. Nous avons constaté que les documents papier étaient conservés dans des classeurs sécurisés approuvés par la Gendarmerie royale du Canada et qu’ils sont situés dans une zone protégée; cette démarche est conforme à la Norme opérationnelle sur la sécurité matérielle du Secrétariat du Conseil du Trésor du Canada. Nous avons aussi constaté que les Services de sécurité communs disposaient d’un processus de conservation et d’élimination de ces documents; cette démarche est conforme avec le calendrier de conservation et d’élimination du Ministère. Les dossiers électroniques sont stockés dans l’application Site-Secure. Cette application permet de faire le suivi et la consignation de l’information sur les enquêtes et les incidents liés à la sécurité. Nous avons effectué une révision structurée de l’application Site-Secure et nous avons pris acte de plusieurs problèmes de sécurité en matière de gestion de l’information.

46. Premièrement, des membres du personnel de sécurité, détenant des droits d’administrateur, ont été en mesure d’accéder à des dossiers de nature possiblement délicate portant sur des enquêtes ministérielles, bien que cet accès ne soit pas requis dans le cadre de leurs fonctions. De plus, les administrateurs peuvent supprimer des partitions du système qui divisent les renseignements contenus dans les divers modules qu’utilisent les autres directions, et empêcher l’accès non autorisé à ces renseignements. Il existe actuellement des méthodes limitées de surveillance et de contrôle, comme la séparation des droits en vigueur, pour examiner et garantir la pertinence des mesures prises par les administrateurs. En outre, nous avons été informés qu’il n’y a pas de pistes de vérification ni de journal de sécurité pour consigner les fichiers qui ont été consultés et le nom de personnes qui les ont visionnés. Les capacités actuelles du système sont limitées et elles ne permettent pas la mise en fonction de tels journaux.

47. Deuxièmement, l’alinéa 12.3.3 de la Norme opérationnelle de sécurité : Gestion de la sécurité des technologies de l’information du Secrétariat du Conseil du Trésor du Canada oblige les ministères à certifier et à accréditer leurs systèmes de technologies de l’information. Dans les cas où cette exigence ne serait pas respectée, une exception doit être obtenue et autorisée. Aucune accréditation, certification ou exception n’a été octroyée pour l’application Site-Secure. De plus, aucune analyse des facteurs relatifs à la vie privée n’a été réalisée en ce qui a trait à cette application. Nous avons déterminé que l’utilisation de cette application a beaucoup évolué, utilisation qui est passée du suivi des incidents de sécurité au stockage de rapports pouvant contenir des renseignements personnels de nature délicate. Cette évolution indique qu’il est nécessaire d’effectuer une analyse des facteurs relatifs à la vie privée.

48. Troisièmement, la sauvegarde des systèmes et les activités de rétablissements ne sont pas effectuées. Dans le cas d’un événement système, comme la défaillance d’un disque dur, un plantage informatique ou une contamination par virus, les données d’origine peuvent être perdues, et les utilisateurs pourraient être incapables de reconstituer ou restaurer les renseignements perdus. Il n’y a pas d’entente ni de contrat sur les niveaux de service en vigueur pour assurer le soutien du fournisseur. Cette situation place le ministère dans une situation précaire dans l’éventualité où une telle défaillance du système se produirait.

49. Quatrièmement, nous avons pris acte du fait que les paramètres pour les mots de passe afin d’accéder à Site-Secure sont faibles. Nous avons remarqué que le système pourrait ne pas être en mesure d’établir des paramètres plus sécuritaires. De même, les postes de travail semblent être configurés avec un compte local qui a le même nom d’utilisateur et aucun mot de passe. De plus, les postes de travail et les moniteurs semblent ne pas se verrouiller après une certaine période d’inactivité. Ces conditions menacent la sécurité et la confidentialité de l’information stockée dans les divers postes de travail dans l’ensemble du Ministère.

50. Cinquièmement, au cours de notre révision du système, nous avons découvert que Site-Secure n’est pas un système autonome, comme le présument les administrateurs de système, mais que le système est relié à un autre serveur ayant accès à l’Internet. Bien que des logiciels antivirus soient installés sur les postes de travail, ces logiciels n’ont pas été mis à jour ou activés, ce qui rend le système vulnérable.

51. Finalement, il n’y a actuellement aucune procédure en vigueur pour accorder, modifier ou supprimer l’accès au système. De plus, il n’existe aucune procédure documentée portant sur la façon appropriée d’utiliser le système, et précisant les rôles et les responsabilités des administrateurs de système et des utilisateurs. Les droits d’accès sont accordés aux utilisateurs selon les profils existants employés par les administrateurs qui ne sont pas nécessairement liés aux exigences particulières de l’emploi ou au principe du besoin de connaître.

52. Les dispositifs de contrôle veillent à ce que l’information stockée dans Site-Secure soit adéquatement protégée afin d’empêcher l’utilisation, la divulgation ou la modification non autorisée des données, ainsi que toute perte ou altération de ces dernières.

Des dispositifs de stockage de données portatifs non gouvernementaux ont été utilisés pour transmettre ou stocker de l’information

53. Le Secrétariat du Conseil du Trésor du Canada décrit la bonne façon d’utiliser et de manipuler les dispositifs de stockage de données portatifs dans un Avis de mise en œuvre de la Politique sur les technologies de l’information qui est entrée en vigueur le 20 mai 2014. Plus précisément, l’avis indique qu’à compter de septembre 2014, tous les dispositifs de stockage de données portatifs doivent comporter un mot de passe ou un dispositif de contrôle biométrique, et que l’information qui y est stockée doit être cryptée. Par conséquent, nous nous attendions à ce que les Services de sécurité communs respectent cet avis.

54. Lors de nos entrevues et de nos observations sur le terrain, nous avons remarqué que les clés USB utilisées par les Services de sécurité communs pour stocker et transmettre l’information de nature délicate du gouvernement du Canada n’étaient pas protégées par un mot de passe ou par un dispositif de contrôle biométrique, ce qui risque d’introduire des logiciels malveillants dans les réseaux des TI du gouvernement du Canada ou d’entraîner la perte d’information de nature délicate.

55. En janvier 2017, le Bureau de la vérification et de l’évaluation a envoyé une lettre à l’intention de la direction au sujet des problèmes indiqués ci-dessus. La Direction générale de la surveillance a élaboré un plan d’action de la gestion afin de résoudre les problèmes soulevés.

Conclusion

56. Les enquêtes sur les incidents de sécurité sont une responsabilité partagée au sein de la Direction générale de la surveillance. Les Services de sécurité communs, la Direction des enquêtes spéciales et de la divulgation interne, les régions et l’ensemble des employés de Services publics et Approvisionnement Canada ont tous un rôle important à jouer pour garantir l’intégrité du processus d’enquête. Par conséquent, il est important d’avoir une compréhension commune des fonctions que chacun doit remplir et des mesures à prendre pour que les enquêtes liées aux incidents de sécurité respectent les politiques de Services publics et Approvisionnement Canada et le cadre législatif qui régit leurs rôles.

57. Dans l’ensemble, nous avons relevé d’importantes faiblesses concernant les politiques et les procédures, la gestion de l’information, la surveillance du rendement et la production de rapports. Il est nécessaire d’apporter des améliorations dans ces secteurs pour garantir l’intégrité du processus d’enquête de sécurité ministérielle.

58. Une des façons de limiter la confusion qui découle de ce changement consiste à établir des politiques et des procédures en matière d’enquête de sécurité ministérielle, et à les communiquer. Qui plus est, le renforcement des mesures de contrôle, plus particulièrement dans le secteur de la surveillance du rendement et de la production de rapports, améliorera la qualité et la précision de ces activités et soutiendra la capacité de l’agent de la sécurité ministérielle à effectuer l’analyse des tendances et à tirer des leçons des incidents de sécurité. Finalement, il convient de noter que les problèmes concernant la gestion des dossiers électroniques dans l’application Site-Secure ont été portés à l’attention de la haute direction dans une lettre à l’intention de la direction et qu’on s’emploie à remédier à la situation.

Réponse de la gestion

Depuis que les observations de vérification ont été portées à son attention à l’été et à l’automne 2016, la direction estime que ses initiatives d’amélioration continue ont permis de répondre à la majorité des préoccupations soulevées au cours de la vérification. De plus, la direction estime que, d’ici à ce que l’application Site-Secure soit remplacée, des mesures provisoires atténuent les risques. Le plan d’action de la gestion ci-après met en évidence les mesures de la Direction générale de la surveillance visant à répondre aux recommandations de la vérification.

Recommandations et plan d’action de la gestion

Recommandation 1 :
La sous-ministre adjointe, Direction générale de la surveillance, doit, par suite de consultations appropriées avec les intervenants en sécurité, a) mettre à jour les politiques relatives aux enquêtes de sécurité pour s’assurer que les rôles et les responsabilités sont clairement définis et concordent avec le contexte opérationnel actuel; b) établir de meilleurs contrôles pour assurer l’intégrité des renseignements sur la sécurité qui sont recueillis; et c) effectuer des analyses permanentes des tendances de l’environnement de risque de la sécurité du Ministère à l’aide des données recueillies sur les incidents de sécurité.
Plan d’action de la gestion 1.1 :

La fonction d’enquête de sécurité ministérielle qui relève des Services de sécurité communs était une mesure temporaire, en novembre 2015, pour répondre aux préoccupations organisationnelles et aux difficultés de gestion. En décembre 2016, l’unité a été transférée à la Direction de la sécurité ministérielle, l’autorité en matière de politiques pour les activités d’enquête.

Services publics et Approvisionnement Canada compte environ 500 agents de sécurité de l’unité ayant une formation et des manuels fournis par le Secteur de la sécurité et de la gestion des urgences. Leurs responsabilités sont bien définies, documentées et communiquées.

Tous les agents de la sécurité régionaux connaissent leurs rôles et responsabilités (lesquels sont renforcés lors de rencontres mensuelles).

Un plan intégré triennal de sensibilisation et de formation en matière de sécurité (2016 à 2019) a été établi, lequel visait à changer la culture et à communiquer les responsabilités des employés à l’égard de la sécurité dans l’ensemble.

Un exercice et programme sur le confinement, la conception d’un abri sur place et les intrusions armées a été créé dans le but de communiquer les responsabilités des employés et des gestionnaires à l’égard des incidents de sécurité et de les former en la matière.

Une stratégie d’amélioration de la conformité en matière de ratissages de sécurité concernant les infractions et les récidivistes a été élaborée pour renforcer la conformité à la politique chez les employés et les gestionnaires.

Des mises à jour, ainsi qu’un cadre de référence et des mandats précisés au niveau du directeur général et du sous-ministre adjoint, ont été fournies aux comités de gouvernance de la sécurité et de la planification de la continuité des activités. Les membres des deux comités se sont réunis en mars 2017.

Les nouveaux contrôles de sécurité énoncés dans la Politique sur la sécurité du gouvernement ont fait l’objet d’un examen, et des lacunes en matière de sécurité ont été relevées, lesquelles doivent être traitées par la politique.

Deux cycles de consultations sur la sécurité ministérielle auprès d’experts en la matière (dont trois cycles d’examens régionaux) ont été menés pour harmoniser les politiques sur la sécurité de Services publics et Approvisionnement Canada avec la nouvelle Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor du Canada. La mise en œuvre de la politique a été retardée en raison, en partie, des propres retards du Secrétariat du Conseil du Trésor du Canada. La mise en œuvre est maintenant prévue après 2017.

Des réunions bimensuelles du Comité sur les enquêtes de sécurité portant sur la sécurité (incluant des membres des Ressources humaines, des TI, des Enquêtes spéciales et de la Sécurité ministérielle) ont été tenues pour assurer la production de rapports cohérents et l’harmonisation avec le contexte opérationnel actuel.

Plan d’action de la gestion 1.2 :

Toutes les données liées aux renseignements sur la sécurité d’une personne, à une enquête, à la résolution des doutes ou à un examen justifié sont désormais stockées dans GCDocsNote de bas de page 1. L’application Site-Secure sert seulement à émettre un numéro de suivi d’incident.

D’ici à ce que l’application Site-Secure soit remplacée (un chef de projet a été embauché en février 2017), des procédures opérationnelles normalisées prévoyant des contrôles procéduraux ont été mises en œuvre, et les employés responsables de l’entrée de données sont mieux formés.

Le dernier examen trimestriel de tous les comptes et des contrôles de l’application Site-Secure remonte à avril 2017.

Plan d’action de la gestion 1.3 :

L’agent de la sécurité ministérielle et le directeur de la Direction de la sécurité ministérielle examinent et surveillent le tableau de suivi des incidents qui décrit les catégories d’incidents. Il y a également un tableau de suivi distinct pour les examens justifiés, la résolution des doutes, le renseignement électromagnétique et les enquêtes menées par la Direction des enquêtes spéciales et de la divulgation interne.

L’application remplaçant Site-Secure intégrera une fonction de renseignements opérationnels pour permettre la réalisation d’analyses des tendances sophistiquées.

Recommandation 2 :
La sous-ministre adjointe, Direction générale de la surveillance, doit a) concevoir et mettre en œuvre des procédures opérationnelles normalisées qui visent le cycle de vie complet d’une enquête de sécurité et b) veiller à ce que les examens de gestion et les activités d’assurance de la qualité soient effectués afin de garantir le respect des procédures établies.
Plan d’action de la gestion 2.1 :

Des procédures opérationnelles normalisées pour la gestion des incidents ont été établies et la schématisation des processus opérationnels a été effectuée afin de garantir l’équité procédurale du processus de résolution des doutes et d’examen justifié.

  • L’équipe juridique a examiné les procédures opérationnelles normalisées et les modèles. L’intégration de leurs commentaires est en cours
  • Tous les processus ont été validés dans le cadre d’un exercice de simulation
  • Les procédures de résolution des doutes et d’examen justifié ont été schématisées et mises à l’essai aux fins du couplage informatique et du suivi automatisé du processus lié à l’application qui remplacera Site-Secure

Conformément au renouvellement de l’ensemble des politiques ministérielles mentionnés ci-dessus, tous les rôles et responsabilités liés au cycle de vie d’une enquête de sécurité seront officialisés. Dans l’intervalle :

  • Tous les responsables régionaux de la sécurité savent que les incidents de sécurité sont signalés à la Direction de la sécurité ministérielle, sous les auspices de l’agent de la sécurité ministérielle, au moyen d’un rapport général d’incident, et que toutes les activités d’établissement des faits pour évaluer ou ouvrir une enquête administrative officielle doivent être coordonnées par la Direction
  • La Direction de la sécurité ministérielle tient des téléconférences mensuelles avec les responsables régionaux de la sécurité pour discuter des incidents de sécurité et renforcer les rôles et les responsabilités
  • De la formation et des communications semblables seront rehaussées en vue de leur mise en œuvre et mise en application auprès des 500 agents de sécurité d’unité du Ministère
Plan d’action de la gestion 2.2 :

Les examens et la surveillance de la gestion et de l’agent de la sécurité ministérielle ont été intégrés dans les procédures opérationnelles normalisées décrites ci-dessus.

Une fois le remplacement de Site-Secure effectué, les examens et la surveillance de la gestion et de l’agent de la sécurité ministérielle seront intégrés comme éléments de l’analyse des renseignements opérationnels.

Recommandation 3 :
La sous-ministre adjointe, Direction générale de la surveillance, doit concevoir, documenter et communiquer de façon claire aux employés de Services publics et Approvisionnement Canada leurs droits et responsabilités en ce qui concerne le signalement des incidents de sécurité et la participation aux enquêtes liées à la sécurité.
Plan d’action de la gestion 3.1 :

Les mécanismes de réception pour le signalement des incidents de sécurité ont été consolidés et mis à jour en avril 2017, sur le site Web de Services publics et Approvisionnement Canada.

Les procédures opérationnelles normalisées pour les enquêtes comprennent un protocole visant à informer les individus de leurs droits et responsabilités et des répercussions liées à la Loi sur la protection des renseignements personnels.

Les formulaires de rapport général d’incident indiquent également le fichier de renseignements personnels applicable.

L’équipe juridique a examiné les procédures opérationnelles normalisées et les modèles connexes. L’intégration de ses commentaires est en cours.

Le cours obligatoire de sensibilisation à la sécurité sera mis à jour pour inclure dans les responsabilités des employés le signalement des incidents de sécurité.

Recommandation 4 :
La sous-ministre adjointe, Direction générale de la surveillance, doit a) concevoir et mettre en œuvre des indicateurs de rendement appropriés et b) réviser les normes de service afin de mieux tenir compte de la nature et de la complexité du travail effectué à l’heure actuelle par les Services de sécurité communs.
Plan d’action de la gestion 4.1 :
On conçoit actuellement des indicateurs de rendement clés mis à jour dans toutes les fonctions liées aux services de sécurité, conformément aux nouvelles procédures opérationnelles normalisées pour les enquêtes.
Plan d’action de la gestion 4.2 :

Les procédures opérationnelles normalisées pour la fonction d’enquête comprennent désormais un schéma de processus opérationnels, qui illustre la complexité et les échéances. Il sera intégré à la Direction des enquêtes spéciales et de la divulgation interne afin de saisir le cycle de vie complet d’une enquête de sécurité, à partir de la réception de l’incident jusqu’à la fermeture du dossier.

La fonction d’enquête de sécurité ministérielle qui relève des Services de sécurité communs était une mesure temporaire, en novembre 2015, pour répondre aux préoccupations organisationnelles et aux difficultés de gestion. En décembre 2016, l’unité a été transférée à la Direction de la sécurité ministérielle, l’autorité en matière de politiques pour les activités d’enquête.

Recommandation 5 :

En raison des risques importants pour la sécurité, la sous-ministre adjointe, Direction générale de la surveillance, doit réexaminer l’utilisation de l’application Site-Secure à titre d’outil de gestion de l’information pour les fonctions d’enquête.

S’il est déterminé que l’application Site-Secure demeure l’outil de choix, la sous-ministre adjointe doit alors a) établir des contrôles pour faire en sorte que l’information dans l’application Site-Secure est correctement protégée afin d’empêcher l’utilisation, la divulgation et la modification des données sans autorisation ou encore la détérioration ou la perte de données et b), que l’application demeure ou non l’outil de choix, veiller à ce que les Services de sécurité communs utilisent les dispositifs de stockage de données approuvés par le gouvernement du Canada pour traiter l’information d’enquête.

Plan d’action de la gestion 5.1 :

Examiné et approuvé précédemment à la réunion du Comité de vérification et d’évaluation du 23 janvier 2017.

On estime que tous les risques pour la sécurité sont atténués adéquatement, jusqu’au remplacement de Site-Secure.

Un plan d’action de la gestion distinct est en place pour assurer la surveillance.

À propos de la vérification

Autorité

Cet engagement a été entrepris à la demande du Comité de vérification et d’évaluation en juin 2015, dans le cadre de la vérification horizontale du Cadre de responsabilisation de gestion des enquêtes de Services publics et Approvisionnement Canada, afin de donner l’assurance de l’efficacité des contrôles de gestion et des pratiques d’enquête au sein du Ministère.

Objectif(s)

Déterminer si des éléments déterminés du Cadre de responsabilisation de gestion sont en place et fonctionnent comme prévu afin de soutenir le rôle que jouent les Services de sécurité communs relativement aux incidents de sécurité.

Étendue et méthode

Cette vérification a porté sur les incidents de sécurité signalés dans le Ministère, d’avril 2015 à novembre 2016, en se concentrant sur les types d’incidents et d’enquêtes suivants qui ont été gérés par les Services de sécurité communs : le vol ou la perte de biens du gouvernement, le vandalisme, l’utilisation inappropriée du matériel et des biens informatiques du gouvernement, les atteintes à la sécurité et les infractions.

Les enquêtes administratives officielles liées à des incidents de sécurité ministérielle menées par la Direction des enquêtes spéciales et de la divulgation interne ont été exclues de la portée de la vérification.

La présente vérification a été réalisée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des vérificateurs internes.

Des entrevues ont été réalisées avec du personnel clé du Ministère. Les documents pertinents du Secrétariat du Conseil du Trésor du Canada et de Services publics et Approvisionnement Canada ont été examinés. Nous avons évalué les dossiers au moyen d’un échantillon de 39 rapports choisis de façon discrétionnaire parmi les 293 rapports d’incidents de sécurité signalés. Par ailleurs, nous avons rédigé un cheminement témoin et un organigramme pour le processus lié aux incidents de sécurité. Une carte de pointage pour la conformité a également été utilisée au cours l’évaluation des dossiers. De plus, une observation sur place et un cheminement témoin dans le système de gestion des dossiers ont été effectués pour appuyer nos constatations.

Selon les analyses de l’information et des éléments de preuve recueillis, nous avons fait des constatations et formulé des conclusions, qui ont été validées auprès des gestionnaires appropriés. Le rapport sera présenté au sous-ministre adjoint, Direction générale de la surveillance, aux fins d’acceptation et il sera ensuite déposé devant le Comité de vérification et d’évaluation en vue d’une recommandation d’approbation par la sous-ministre.

Critères

Les critères utilisés pour évaluer les enquêtes de sécurité ministérielles menées par les Services de sécurité communs étaient fondés sur une évaluation des risques. Les critères étaient axés sur des éléments du Cadre de responsabilisation de gestion qui sont jugés comme étant pertinents et importants dans la mesure où ils se rapportent au rôle joué par les Services de sécurité communs pour appuyer les enquêtes administratives officielles menées par la Direction des enquêtes spéciales et de la divulgation interne.

Les critères de la présente vérification sont les suivants :

  1. Pouvoir, rôles et responsabilités : Les pouvoirs, les rôles et les responsabilités liés aux enquêtes de sécurité ministérielle sont bien définis, documentés, communiqués et mis en application :
    • Les pouvoirs, les rôles et les responsabilités en ce qui concerne l’examen préliminaire et l’ouverture d’enquêtes administratives officielles liées à des incidents de sécurité ministérielle sont bien définis, documentés, communiqués et mis en application
  2. Processus et procédures : Les processus et les procédures liés à l’examen préliminaire et à l’ouverture d’enquêtes de sécurité sont établis et systématiquement mis en application afin de garantir le respect des politiques et des lois applicables :
    • Les processus et les procédures sont officiellement établis pour l’examen préliminaire et l’ouverture d’enquêtes administratives officielles, et ils respectent les politiques et les lois fédérales applicables
    • Les processus et les procédures offrent aux intervenants les directives nécessaires pour qu’ils puissent exécuter correctement leurs tâches
    • Les processus et les procédures sont respectés pour veiller à ce que l’examen préliminaire et l’ouverture d’enquêtes officielles soient effectués correctement
  3. Assurance de la qualité : Les activités d’assurance de la qualité sont effectuées pour favoriser l’uniformité et la qualité des rapports de sécurité :
    • Les activités d’assurance de la qualité sont exécutées
  4. Ressources humaines : Les ressources humaines sont suffisantes et appropriées pour qu’on s’acquitte des responsabilités liées à l’examen préliminaire et à l’ouverture d’enquêtes de sécurité :
    • Un plan de ressources humaines est documenté et comprend les éléments suivants :
      • une analyse des ressources et des besoins actuels et futurs en matière de compétences
      • une analyse des principaux postes et de la planification de la relève
  5. Surveillance du rendement et production de rapports : Une approche de surveillance est en place pour évaluer le rendement actuel par rapport aux résultats prévus dans l’examen préliminaire et l’ouverture d’enquêtes de sécurité, et pour modifier l’orientation, au besoin :
    • Des indicateurs de rendement appropriés ont été élaborés et sont utilisés pour effectuer le suivi du rendement et prendre les mesures correctives qui s’imposent, selon le cas
  6. Gestion de l’information : Les dossiers d’examen préliminaire et d’enquête sont tenus conformément aux politiques et aux lois :
    • Les dossiers d’information sont tenus et protégés conformément aux exigences des politiques et des lois

Fin des travaux de vérification

Les travaux de vérification menés aux fins de cette vérification ont été pour l’essentiel terminés en novembre 2016.

Équipe de vérification

La vérification a été menée par le personnel du Bureau de la vérification et de l’évaluation ainsi que par un expert-conseil en vérification, supervisé par le directeur des Services continus de vérification et de consultation, et sous la direction générale de la dirigeante principale de la vérification et de l’évaluation.

La vérification a été passée en revue par la Direction de l'examen de la qualité et des activités stratégiques du Bureau de la vérification et de l’évaluation.

Date de modification :