Menu secondaire

Vérification de la gestion de la sécurité

3.  Évaluation globale

3.1 Conclusions de la vérification

Cette section fait état de la conclusion globale pour chacun des objectifs de la vérification.

Objectif 1 – La gestion du programme de sécurité

Orbis Consulting a trouvé que la plupart des aspects du programme de sécurité d'Élections Canada visés par la portée de la vérification exigent une grande attention et des améliorations importantes afin qu'ils respectent les exigences de la Politique sur la sécurité du gouvernement du Conseil du Trésor et fournissent l'assurance que les renseignements, les biens et les services ne sont pas compromis.

À Élections Canada, la sécurité est gérée de façon ponctuelle et réactive, au quotidien : l'organisme n'a pas mis en œuvre de système de gestion qui cadre avec les exigences du Conseil du Trésor et qui se fonde sur l'établissement d'objectifs, la définition des risques et des menaces, la planification, le suivi et la surveillance de la part de la haute direction. Il y a d'importantes lacunes dans la gouvernance et la coordination du programme de sécurité, ainsi que dans les principales fonctions de sécurité (définition et gestion des risques, enquêtes administratives, enquêtes de sécurité, activités de formation et de sensibilisation sur la sécurité et suivi du rendement du programme de sécurité).

Ces lacunes montrent que l'attention et les ressources consacrées à la sécurité ne sont pas suffisantes. L'ASM devrait réattribuer les ressources aux aspects les plus à risque et les plus importants.

Objectif 2 – Les contrôles relatifs aux enquêtes de sécurité sur le personnel

Bien que les contrôles relatifs aux enquêtes de sécurité sur le personnel soient efficaces, des lacunes ont été relevées sur le plan des contrôles exercés pour les entrepreneurs. Les employés des bureaux locaux et des bureaux de scrutin (exception faite des directeurs du scrutin) ne font pas l'objet d'enquêtes de sécurité. De nombreuses personnes travaillant lors d'un scrutin ont accès à de l'information de nature délicate et à des systèmes de TI et occupent des postes de confiance. En l'absence d'une évaluation de gestion, nous avons conclu que ces employés doivent faire l'objet d'une enquête de sécurité pour que la Politique sur la sécurité du gouvernement et la Politique de sécurité d'Élections Canada soient respectées.

Objectif 3 – La sécurité pendant une élection générale

Nous avons constaté que l'ASM joue un rôle minimal dans la direction et la surveillance de la sécurité dans les bureaux locaux et les bureaux de scrutin. Des évaluations détaillées de la menace et des risques liées aux scrutins, visant notamment les bureaux locaux et les bureaux de scrutin, n'ont pas été effectuées. L'ASM ne fournit pas de formation ni de soutien adéquat en matière de sécurité aux directeurs du scrutin pour voir à ce que des mesures de sécurité soient mises en œuvre dans les bureaux locaux et dans les bureaux de scrutin.

Objectif 4 – Activités supplémentaires de vérification

La vérification a révélé plusieurs aspects présentant des risques plus élevés, mais qui n'étaient pas visés par la portée de la vérification. Il faudrait songer à effectuer une vérification ou un examen à l'égard de ces aspects, qui touchent notamment les TI au niveau opérationnel, la sécurité matérielle (y compris la réinstallation prévue de l'organisme dans de nouveaux locaux en 2013), la planification de la continuité des activités et la classification et protection de l'information.

3.2 Tableau de bord

Le tableau de bord suivant résume les constatations qui étayent la cote attribuée aux trois premiers objectifs de la vérification, ainsi que les recommandations connexes. Pour obtenir une description de chaque critère, veuillez consulter l'annexe A.

Objectif 1
Les contrôles en place pour appuyer la gestion du programme de sécurité
sont appropriés, complets et efficaces.
Critère de vérification Cote attribuée à l'admin. centrale d'EC1 Cote attribuée aux bureaux locaux Explication Recommandation
Critère de vérification 1 :
Un programme de gestion de la sécurité est en place, et ses objectifs, rôles, responsabilités et obligations redditionnelles sont bien définis et appropriés.
R Sans objet, car il s'agit d'une fonction relevant de l'administration centrale Le programme de gestion de la sécurité ne respecte pas les exigences du CT en ce qui concerne :
  • le rapport hiérarchique fonctionnel entre l'ASM et l'administrateur général ou le Comité exécutif
  • la position de l'ASM à titre de chef du programme de sécurité dans son ensemble (sécurité de la TI, SST, PCA, etc.)
  • la politique de sécurité actuelle de l'organisme (la politique de 2005 est désuète, et la version provisoire de la politique de 2010 n'a toujours pas été présentée à la haute direction)
  • la nécessité d'établir un plan de sécurité de l'organisme (exigé par la Politique sur la sécurité du gouvernement du CT)
R1 – Corriger les principales lacunes relatives au programme de gestion de la sécurité
Critère de vérification 2 :
Un nombre suffisant et approprié d'employés contribuent à la mise en œuvre du programme de gestion de la sécurité.
O O
  • Les cadres hiérarchiques et les employés des Services de sécurité et de la Sécurité des TI ont les connaissances et l'expérience nécessaires.
  • Il y a un roulement régulier des employés occupant le poste d'ASM et, au sein des Services de sécurité, des postes restent vacants pendant de longues périodes et l'on compte de nombreuses affectations intérimaires.
  • L'ASM n'est pas formé à titre de professionnel de la sécurité.
  • Les directeurs du scrutin n'ont pas tous les outils dont ils ont besoin pour veiller à la sécurité dans leurs bureaux, et ils reçoivent un soutien minime de la part de l'ASM.
R2 – Fournir de la formation en sécurité et du soutien aux directeurs du scrutin.
Critère de vérification 3 :
Un programme efficace de sensibilisation à la sécurité est en place.
J J
  • Plus de la moitié des employés interrogés (60 %) ne comprenaient pas bien leurs responsabilités en matière de sécurité.
  • Le programme de sensibilisation à la sécurité à l'intention des employés de l'administration centrale et des bureaux locaux n'est pas adéquat (portée limitée et inefficacité générale).
R3 – Établir un programme officiel de sensibilisation à la sécurité (le programme s'inscrirait dans le plan de sécurité de l'organisme)
Critère de vérification 4 :
La gestion des risques en matière de sécurité fait partie intégrante des pratiques d'Élections Canada et lui permet de s'adapter systématiquement aux besoins et aux menaces en évolution.
O R
  • L'ASM ne dirige et ne supervise pas la définition des risques et des menaces. Cette fonction est assumée par les gestionnaires opérationnels et les directeurs du scrutin.
  • Certains gestionnaires opérationnels ont effectué leur propre EMR.
  • Aucun des quatre bureaux locaux visés par la vérification n'a effectué d'évaluation officielle de la menace et des risques, et seul un bureau avait explicitement tenu compte des menaces possibles.
  • Des EMR n'ont pas été effectuées pour les installations et les opérations critiques, y compris les scrutins.
  • La Sécurité des TI procède régulièrement à des EMR et à l'accréditation des systèmes de TI, mais l'ASM n'y participe pas.
R4 – Établir un plan pour la tenue d'évaluations de la menace et des risques.
Critère de vérification 5 : Les enquêtes administratives liées aux incidents de sécurité sont menées en conformité avec la Politique sur la sécurité du gouvernement. O Sans objet, car il s'agit d'une fonction relevant de l'administration centrale
  • L'ASM et les employés des Services de sécurité ne reçoivent pas de formation sur la façon de mener des enquêtes administratives, et des procédures sur la tenue d'enquêtes administratives n'ont pas été établies.
  • Parmi les 10 enquêtes que nous avons examinées, 8 étaient jugées inadéquates (très informelles et mal documentées). De plus, la plupart des enquêtes n'ont pas fait l'objet d'un suivi adéquat ou de mesures correctives.
R5 – Établir des procédures et assurer la disponibilité d'enquêteurs qualifiés pouvant mener des enquêtes administratives.
Critère de vérification 6 :
Le programme de gestion de la sécurité, y compris la sécurité des TI, fait l'objet d'activités de surveillance et d'évaluation visant à comparer les résultats obtenus aux résultats attendus.
R Sans objet, car il s'agit d'une fonction relevant de l'administration centrale
  • L'ASM surveille les activités de sécurité de façon minimale seulement et, par conséquent, ne peut pas fournir au DGE des conseils sur l'efficacité globale du programme.
  • Une évaluation globale du programme de sécurité a été effectuée en janvier 2011, mais les résultats et les recommandations n'ont pas été présentés à la haute direction.
R1 – Corriger les principales lacunes relevées à l'égard du programme de gestion de la sécurité.

R6 – Assurer une meilleure surveillance de l'efficacité du programme de sécurité dans son ensemble.
Objectif 2
Les contrôles relatifs aux enquêtes de sécurité sur le personnel
sont appropriés, complets et efficaces.
Critère de vérification Cote attribuée à l'admin. centrale d'EC Cote attribuée aux bureaux locaux Explication Recommandation
Critère de vérification 7 : Avant d'entrer en fonction, toute personne qui a accès aux renseignements et aux biens du gouvernement doit se soumettre à une enquête de sécurité. B R
  • Les contrôles relatifs aux enquêtes de sécurité sur le personnel sont efficaces.
  • Certaines lacunes ont été relevées en ce qui concerne l'enquête de sécurité sur les entrepreneurs, et ces lacunes peuvent être facilement corrigées grâce à une formation donnée aux employés des Services de l'approvisionnement et des contrats.
  • La plupart des personnes travaillant dans les bureaux locaux (exception faite des directeurs du scrutin) et qui ont accès à de l'information de nature délicate ne font pas l'objet d'une enquête de sécurité.
R7 – Évaluer les exigences en matière d'enquête de sécurité pour les employés des bureaux locaux et des bureaux de scrutin et établir un plan pour assurer le respect de la Politique sur la sécurité du gouvernement.
Objectif 3
Les contrôles liés à la définition et à la gestion des risques de sécurité
lors d'une élection générale sont appropriés.
Critère de vérification Cote attribuée à l'admin. centrale d'EC Cote attribuée aux bureaux locaux Explication Recommandation
Critère de vérification 8 : Tous les risques menaçant la sécurité des bureaux locaux et des bureaux de scrutin sont cernés, et des mesures de sécurité appropriées sont en place pour en protéger le personnel et les biens. Sans objet, car il s'agit d'une fonction relevant des bureaux locaux. R Ce critère est englobé dans les sept premiers critères (ci-dessus).
  • L'ASM ne surveille et ne supervise pas la sécurité dans les bureaux locaux et dans les bureaux de scrutin.
  • Les directeurs de scrutin font de leur mieux pour mettre en œuvre des mesures de sécurité, mais ils n'ont pas les compétences, les connaissances et le soutien de la part de l'ASM dont ils ont besoin pour veiller à ce que des mesures de sécurité suffisantes soient mises en place.
  • La plupart des personnes travaillant dans les bureaux locaux (exception faite des directeurs de scrutin) et qui ont accès à de l'information et à des biens de nature délicate ne sont pas soumises à une enquête de sécurité.
  • Aucun des quatre bureaux locaux visés par la vérification n'a effectué d'évaluation officielle de la menace et des risques, et seul un bureau avait explicitement tenu compte des menaces possibles.
R1, R2, R3, R4, R6 et R7
V
Satisfaisant
B
Des améliorations mineures s'imposent
J
Des améliorations modestes s'imposent
O
Des améliorations importantes s'imposent
R
Insatisfaisant
G
Inconnu, impossible de mesurer