Menu secondaire

Vérification de la gestion de la sécurité

4.  Observations et recommandations

La présente section explique en détail les conclusions de la vérification ainsi que les recommandations.

4.1 Gestion du programme de sécurité

4.1.1  Programme de gestion de la sécurité

Critère de vérification 1 : Un programme de gestion de la sécurité est en place, et ses objectifs, rôles, responsabilités et obligations redditionnelles sont bien définis et appropriés.

La Politique sur la sécurité du gouvernement du Conseil du Trésor confie aux administrateurs généraux (le DGE dans le cas d'Élections Canada) la responsabilité d'établir un programme de sécurité au titre duquel seront coordonnées et gérées des activités de sécurité :

La Directive du Conseil du Trésor sur la gestion de la sécurité ministérielle décrit la gestion de la sécurité comme « une composante essentielle de la gestion efficace d'un ministère » et exige l'établissement d'un « programme coordonné de sécurité » englobant notamment la sécurité des TI, la sécurité matérielle, les enquêtes de sécurité sur le personnel, la planification de la continuité des activités et les activités de sécurité régionales.

L'ASM, qui doit relever fonctionnellement, au besoin, de l'administrateur général ou du Comité exécutif de l'organisme, est chargé de gérer tous les aspects du programme de sécurité. Selon la directive, les organismes devraient faire de la gestion de la sécurité « une partie définie et intégrante de la gouvernance, des programmes et des services » et adopter « une approche systématique et uniforme dans la planification, la réalisation et la supervision des activités de sécurité ».

Observations

Le programme de gestion de la sécurité d'Élections Canada ne satisfait pas aux exigences du Conseil du Trésor à plusieurs égards :

  • L'ASM ne relève pas fonctionnellement de l'administrateur général ni du Comité exécutif.
  • L'ASM n'est pas en mesure de gérer le programme de sécurité dans son intégralité. D'autres agents sont principalement chargés de la gestion de la sécurité des TI, de la classification de l'information et de la protection des documents ainsi que de la santé et de la sécurité au travail. Aussi, l'ASM ne s'occupe pas de la sécurité des scrutins, des bureaux locaux et des bureaux de scrutin.
  • La Politique d'Élections Canada sur la sécurité est désuète et ne traite pas du soutien à apporter à l'occasion des scrutins. Le Comité exécutif n'a ni examiné ni approuvé la mise à jour provisoire de la politique préparée en 2010.
  • Élections Canada n'a pas élaboré de plan de sécurité de l'organisme.
Les fonctions de l'ASM

Quatre unités organisationnelles assument des responsabilités à l'égard de la gestion de la sécurité à Élections Canada :

Le directeur adjoint de la Sécurité et de l'administration (DGPI), qui relève sur le plan fonctionnel et administratif du directeur de la DGPI, agit actuellement à titre d'ASM. Cela le place deux postes hiérarchiques sous l'administrateur général. Conformément à la Politique sur la sécurité du gouvernement, l'ASM peut relever directement du DGE lorsque des circonstances exceptionnelles le justifient, bien que la vérification n'en ait trouvé aucune.

La Politique sur la sécurité du gouvernement conclut que le soutien de la haute direction est indispensable pour assurer la sécurité. Aucun comité de la haute direction d'Élections Canada ne reçoit régulièrement de rapports sur le programme de sécurité.

L'ASM ne fournit ni orientation ni surveillance significatives sur le plan de la sécurité des TI à Élections Canada. Le coordonnateur de la sécurité des TI relève, sur le plan administratif, du directeur des Services de sécurité, d'innovation et de technologie en région, mais il entretient une relation hiérarchique fonctionnelle avec l'ASM sur des questions liées à la sécurité. Notre vérification a établi que les relations entre le coordonnateur de la sécurité des TI et l'ASM sont inappropriées et ne permettent pas d'assurer la coordination globale du programme de sécurité d'Élections Canada. Aucun comité sur la sécurité n'est en place, qui permettrait aux représentants de diverses fonctions liées à la sécurité de se réunir et de discuter d'enjeux liés à la sécurité, et les rapports entre le coordonnateur de la sécurité des TI et l'ASM sont ponctuels et informels.

En raison de cette division entre les responsabilités liées à la sécurité des TI et celles qui ne le sont pas, qui est monnaie courante au gouvernement, la mise en œuvre et l'intégration d'un programme de gestion de la sécurité exigent des communications solides et régulières. L'ASM et le coordonnateur de la sécurité des TI reconnaissent les lacunes actuelles dans leur relation de travail et ont pris des mesures afin de corriger le tir, mais il reste du travail en vue de renforcer et d'officialiser ces liens.

L'ASM ne fournit aussi ni orientation ni surveillance sur le plan de la classification de l'information et de la protection des documents ainsi que des fonctions liées à la santé et la sécurité au travail. L'ASM n'entretient aucun rapport hiérarchique fonctionnel avec les responsables de ces fonctions de sécurité.

L'organigramme de la sécurité à Élections Canada est présenté ci-dessous. Des lignes pointillées indiquent les relations fonctionnelles.

L'organigramme de la sécurité à Élections Canada
La description du graphique « Organigramme de la sécurité à Élections Canada »

Politique sur la sécurité

La Politique d'Élections Canada sur la sécurité décrit les objectifs, les rôles, les responsabilités et les obligations redditionnelles en matière de sécurité. La politique actuelle, élaborée en 2005, ne répond plus aux besoins de l'organisme et ne se conforme pas à la Politique sur la sécurité du gouvernement du Conseil du Trésor ni aux directives connexes entrées en vigueur en juillet 2009. En janvier 2010, l'ASM a préparé une politique révisée à l'intention de la haute direction, mais celle-ci n'a jamais été présentée au comité de la haute direction d'Élections Canada, qui n'en a jamais discuté.

Nous sommes d'avis que la politique révisée préparée en 2010 répond aux exigences du Conseil du Trésor, et que les objectifs, rôles, responsabilités et obligations redditionnelles liés à la sécurité sont généralement clairs et bien définis. Il existe une exception cependant : la politique révisée (ainsi que la politique de 2005) confie aux directeurs du scrutin, et non à l'ASM, la responsabilité de diriger et de surveiller la sécurité dans les bureaux locaux et les bureaux de scrutin. Cette approche va à l'encontre des attentes du Conseil du Trésor, selon lesquelles les ASM soutiennent le DGE en gérant et en surveillant le programme de sécurité d'un ministère ou d'un organisme dans son intégralité.

Planification de la sécurité

Au titre de la Politique sur la sécurité du gouvernement, les administrateurs généraux doivent approuver un plan de sécurité offrant une vision intégrée des exigences relatives à la sécurité, qui précise les « décisions en matière de gestion de risques liés à la sécurité et expose les stratégies, les buts, les objectifs, les priorités et les échéanciers élaborés en vue d'améliorer la sécurité ministérielle », et en soutenir la mise en œuvre. L'ASM est chargé d'élaborer, de mettre en œuvre, de surveiller et de tenir à jour le plan.

Nous avons constaté qu'Élections Canada n'a pas encore mis au point un plan de sécurité. En janvier 2011, l'ASM a reçu d'un consultant externe un rapport intitulé Examen organisationnel général de la sécurité à Élections Canada. Cet examen complet des lacunes dans le programme de sécurité était une première étape positive du processus de planification. Il a permis de cerner bon nombre des faiblesses du programme et de formuler des recommandations en vue de l'améliorer en plus d'être assorti d'un plan d'action. Jusqu'à maintenant, ni les résultats de l'examen ni le plan d'action n'ont été présentés à la haute direction d'Élections Canada. En outre, Élections Canada n'a pris aucune mesure pour le mettre en œuvre.

Le DPI et le coordonnateur de la sécurité des TI préparent un plan sur la sécurité des TI tous les ans dans le cadre du plan d'exploitation de leur secteur. Ce plan met l'accent sur les activités opérationnelles, en particulier la réalisation des EMR et les accréditations de système. Le plan sur la sécurité des TI n'est pas intégré à la planification de l'organisme en matière de sécurité, et l'ASM ne l'examine pas ni ne contribue à son élaboration.

Recommandation

1.Le directeur général des élections (DGE) devrait voir au renforcement du programme de gestion de la sécurité et du cadre de gouvernance en se fondant sur la Politique sur la sécurité du gouvernement et la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor. Pour ce faire, il devra notamment :

  • renforcer et clarifier les rapports hiérarchiques et les responsabilités de l'ASM, y compris en ce qui concerne, d'une part, la sécurité des technologies de l'information, la classification de l'information, la protection des documents, la santé et la sécurité au travail et, d'autre part, le soutien à fournir aux directeurs du scrutin et à leurs employés, ainsi qu'à l'égard des locaux, lors d'un scrutin;
  • mettre sur pied un groupe de travail sur la sécurité composé de représentants de toutes les fonctions de sécurité afin de coordonner et d'intégrer les activités de sécurité;
  • établir un plan pluriannuel de sécurité pour Élections Canada;
  • voir à ce que la haute direction accorde une attention adéquate à la gestion de la sécurité et assure un soutien connexe.

Réponse de la direction

Responsables : dirigeant principal des finances, Secteur de l'administration (DPFA) (ASM), Secteur des scrutins et Secteur du DPI

De concert avec le Secteur des scrutins et le Secteur du DPI, le Secteur du DPFA entreprendra un examen complet des politiques de sécurité et de la structure de gouvernance. Un cadre et un plan de sécurité seront élaborés conformément aux politiques du Conseil du Trésor traitant de ces questions.

L'ASM clarifiera et renforcera ses rapports hiérarchiques avec les TI, la Gestion de l'information, la Santé et la sécurité au travail, les directeurs du scrutin et le personnel, ainsi que ses responsabilités à cet égard.

L'ASM informera le DGE deux fois par année de l'état de la sécurité dans l'organisme et obtiendra l'approbation et l'appui de la haute direction pour ce qui est de la Politique sur la sécurité.

Un groupe de travail sur la sécurité composé de divers intervenants sera créé en vue de renforcer et d'intégrer les activités de l'organisme liées à la sécurité. L'ASM surveillera ces activités.

Date d'achèvement prévue : octobre 2014

4.1.2  L'organisation de la sécurité

Critère de vérification 2 : Un nombre suffisant et approprié d'employés contribuent à la mise en œuvre du programme de gestion de la sécurité.

La sécurité est un domaine de spécialisation de plus en plus complexe dans le secteur public, et Élections Canada a des besoins uniques en la matière au sein du gouvernement du Canada. Pour être efficace, le programme de sécurité de l'organisme doit compter sur un nombre suffisamment élevé d'employés qualifiés à tous les niveaux et sur la stabilité de ces effectifs.

À cet égard, l'ASM joue un rôle de premier ordre : il est chargé de fournir le leadership global et d'assurer l'orientation du programme de sécurité d'Élections Canada.

Les gestionnaires et les effectifs travaillant sous l'autorité de l'ASM doivent avoir suivi une formation en matière de sécurité et posséder l'expérience voulue pour accomplir leurs fonctions. Ils doivent également s'investir dans l'apprentissage continu pour se tenir au fait des changements et des pratiques exemplaires. Même si les directeurs du scrutin sont des personnes nommées, et non des fonctionnaires, Élections Canada doit veiller à la sécurité de tout le processus électoral, y compris celle des directeurs du scrutin, de leur personnel et de leurs bureaux, ainsi que celle des bureaux de scrutin. Les directeurs de scrutin acceptent, dans le cadre de leurs conditions d'emploi, de respecter les directives du DGE. Par extension, ils acceptent de se conformer à la Politique d'Élections Canada sur la sécurité et aux directives qui en découlent.

Observations
  •  Le roulement régulier dans le poste d'ASM, conjugué au fait que des postes restent vacants longtemps et que les affectations intérimaires se prolongent dans l'organisation de la sécurité à Élections Canada, a miné le rendement global de l'organisme en matière de sécurité ainsi que son état de préparation.
  •   Les directeurs du scrutin n'ont pas les outils nécessaires pour accomplir leurs fonctions en matière de sécurité. Ils ne possèdent généralement pas l'expérience nécessaire, ne suivent pas de formation et ne reçoivent que très peu de directives et de soutien de la part de l'ASM.

L'ASM est le principal conseiller du DGE et de l'équipe de la haute direction d'Élections Canada en matière de sécurité. Pour remplir son rôle, il doit posséder une pleine compréhension de la sécurité que seules l'expérience, la formation et la certification professionnelle peuvent lui apporter. La continuité dans le poste d'ASM est également primordiale pour que celui-ci puisse acquérir une compréhension profonde des besoins de l'organisme en matière de sécurité et pour assurer une planification et une programmation efficaces de la sécurité.

Élections Canada a connu un taux de roulement important dans le poste d'ASM : trois personnes l'ont occupé à tour de rôle durant notre vérification (de septembre 2011 à mars 2012). Ces ASM ne possédaient que très peu d'expérience et n'avaient suivi que très peu de formation en matière de sécurité, et, dans certains cas, accomplissaient une vaste gamme de fonctions qui n'étaient pas liées à la sécurité (la sécurité n'était pas leur principale responsabilité).

L'ASM actuel prévoit consacrer près de 70 % de son temps à des questions de sécurité, et la direction s'est engagée à lui donner de la formation en la matière au cours de la prochaine année. L'ASM a suivi un cours en mars 2012 et prévoit en suivre deux autres et assister à des conférences sur la sécurité tout au long de l'année. Ces mesures positives lui donneront de solides connaissances en matière de sécurité, mais il aura quand même besoin d'une formation continue et d'une certification professionnelle.

Les Services de sécurité relevant de l'ASM sont chargés de l'information et de l'assurance de l'identité, des enquêtes de sécurité sur le personnel, de la sécurité matérielle, de la sécurité dans la passation des marchés ainsi que de la gestion des urgences et de la continuité des activités. Deux des huit postes y sont vacants, et deux autres sont dotés à titre intérimaire.

Nous avons constaté que le personnel opérationnel des Services de sécurité possédait généralement les connaissances et l'expérience nécessaires en matière de sécurité pour accomplir ses fonctions, et qu'il connaissait très bien les exigences de la politique du Conseil du Trésor. Le personnel qui ne possédait pas les connaissances et l'expérience nécessaires pour accomplir une fonction en particulier allait chercher du soutien auprès de fournisseurs de service externes, en fonction de chaque projet.

Néanmoins, parce que des postes sont restés vacants longtemps dans l'organisation de la sécurité, plusieurs fonctions de sécurité essentielles n'ont pas été accomplies. Parmi les lacunes observées figurent notamment une absence de procédures de sécurité documentées, un programme inefficace de sensibilisation à la sécurité (voir la section 4.1.3), une surveillance déficiente de l'efficacité du programme de sécurité (voir la section 4.1.6) et un rôle minimal dans la sécurité joué par les bureaux locaux et les bureaux de scrutin (voir la section 4.3).

Nous avons conclu que le coordonnateur de la sécurité des TI et son personnel possèdent les connaissances et l'expérience nécessaires en matière de sécurité pour accomplir les fonctions qui leur ont été assignées. À l'instar du personnel des Services de sécurité, le coordonnateur de la sécurité des TI et son personnel ont montré qu'ils comprenaient très bien les exigences de la politique du Conseil du Trésor.

Directeurs du scrutin

La Politique d'Élections Canada sur la sécurité confie aux directeurs du scrutin (qui sont nommés par le DGE) la responsabilité de mettre en œuvre la politique dans leur bureau et dans les bureaux de scrutin. Leurs fonctions comprennent la détermination des menaces et des vulnérabilités, la prise de dispositions appropriées en matière de sécurité à la suite d'EMR ainsi que la mise en œuvre d'exigences de sécurité de base, la protection de l'information et des biens, la tenue d'enquêtes et la production de rapports sur des incidents de sécurité et la sensibilisation de leur personnel à la sécurité.

Notre vérification a permis de constater que les directeurs du scrutin sont mal outillés pour accomplir leurs fonctions en matière de sécurité. Ils ne possèdent généralement pas d'expérience, ne suivent pas de formation et ne reçoivent que très peu de directives et de soutien de la part de l'ASM. Les nouveaux directeurs du scrutin prennent part à une séance de formation de cinq jours tenue à l'administration centrale d'Élections Canada, mais la sécurité ne fait pas partie du programme, faute de temps.

Les exigences en matière de sécurité sont plutôt communiquées dans le Manuel du directeur du scrutin, qui compte plus de 800 pages et qui traite des responsabilités, des fonctions et des activités du directeur du scrutin pendant un scrutin. L'information sur la sécurité, qui ne représente que quelques pages du manuel, décrit les exigences de base pour la sécurité matérielle, fournit des directives sur l'utilisation et l'entreposage de renseignements délicats et prévoit des mesures de sécurité générales à suivre (comme communiquer avec les services locaux de police et des incendies, choisir d'autres emplacements en cas de déménagement nécessaire et assurer l'approvisionnement en eau potable). Le manuel ne comprend pas de listes de vérification complètes des activités liées à la sécurité ni de directives précises sur la manière de réaliser une EMR ou d'évaluer les mesures de sécurité.

Nous avons interrogé quatre directeurs du scrutin et avons constaté qu'ils possédaient des connaissances variées sur la sécurité et qu'ils adoptaient également des pratiques variées en la matière. Bien qu'ils aient tous été au fait de la nécessité de mettre en œuvre un système de surveillance centrale et de placer des gardes de sécurité dans leur bureau en dehors des heures de travail, deux d'entre eux ne savaient pas qu'il fallait réaliser des EMR et communiquer avec les services de police et d'incendies avant le jour de l'élection. En outre, aucun d'entre eux ne connaissait la Politique d'Élections Canada sur la sécurité ni ses exigences. Tous les directeurs interrogés ont dit se fier au bon sens, et non aux conseils donnés par l'ASM, pour mettre en œuvre des mesures de sécurité pendant un scrutin.

Recommandation

2. L'ASM devrait voir à ce que les directeurs du scrutin aient reçu une formation adéquate en matière de sécurité et à ce que cette formation vise toutes les principales fonctions de sécurité. De plus, l'ASM devrait créer des outils pour appuyer la mise en œuvre de la politique de sécurité dans les bureaux locaux et les bureaux de scrutin (p. ex. liste de contrôle des activités de sécurité, gabarits, directives sur la façon d'effectuer une EMR, listes des incidents les plus probables en matière de sécurité et solutions connexes recommandées, directives sur l'évaluation des contrôles de sécurité).

Réponse de la direction

Responsables : dirigeant principal des finances, Secteur de l'administration (ASM), et Secteur des scrutins

L'ASM, de concert avec le Secteur des scrutins ainsi que Gestion et préparation des scrutins en région, intégrera un module de formation à l'intention des directeurs du scrutin qui portera sur la planification de l'état de préparation sur le terrain en vue de la 42e élection générale. Un outil, comme une liste de vérification de la sécurité, pourrait être intégré au Manuel du directeur du scrutin.

Même s'il serait dispendieux, et pas nécessairement pratique, de mener des EMR dans tous les bureaux locaux, des outils pourraient être mis au point (comme un guide/une liste de vérification de la sécurité comprenant des stratégies d'atténuation des risques, des mesures pour assurer la sécurité matérielle et personnelle et des pratiques exemplaires en matière de protection des documents et de TI) afin d'outiller les directeurs du scrutin et de leur permettre de réaliser des EMR et de régler les problèmes qui pourraient surgir pendant le scrutin.

Date d'achèvement prévue : septembre 2014

4.1.3  Programme de sensibilisation à la sécurité

Critère de vérification 3 : Un programme efficace de sensibilisation à la sécurité est en place.

La Politique sur la sécurité du gouvernement du Conseil du Trésor fait observer que pour assurer la sécurité, un organisme gouvernemental doit l'intégrer à sa culture, à ses activités quotidiennes ainsi qu'au comportement de ses employés. Un programme efficace de sensibilisation à la sécurité attire l'attention des employés sur la préservation de la confidentialité, l'intégrité et l'accessibilité de l'information et d'autres biens de valeur. Il encourage aussi les employés à se conformer à toutes les politiques, normes et procédures en matière de sécurité.

Observation

  • Aucun programme de sensibilisation à la sécurité n'existe à l'administration centrale d'Élections Canada ni dans les bureaux locaux et les bureaux de scrutin. Les activités menées actuellement à ce chapitre ont une portée limitée et sont généralement inefficaces. La plupart des employés interrogés ont fait preuve d'une compréhension inadéquate de leurs responsabilités en matière de sécurité.

Jusqu'à maintenant, les activités de sensibilisation à la sécurité menées par Élections Canada ont été passives, c'est-à-dire que l'organisme s'est limité à afficher de l'information sur la sécurité sur l'intranet, à envoyer des courriels deux fois par année pour demander aux employés de consulter le site intranet, à distribuer des affiches et des brochures à l'administration centrale ainsi que dans les bureaux locaux et les bureaux de vote et à tenir un comptoir de renseignements à l'occasion de la Semaine de la sensibilisation à la sécurité.

L'organisme n'organise pas d'activités de sensibilisation plus actives et efficaces, comme des colloques, de l'apprentissage en ligne, des groupes de discussion ou des séances d'information individuelles, autres que celles organisées pour les nouveaux employés. Des 15 employés que nous avons interrogés pour évaluer leur degré de sensibilisation à la sécurité, neuf ne connaissaient pas les pratiques de sécurité élémentaires, comme la manière de classifier, de protéger et d'entreposer des renseignements de nature délicate.

Les nouveaux employés ont reçu une brève introduction à la sécurité pendant leur orientation, mais notre examen de la documentation fournie pendant ces séances révèle que seul un aperçu très sommaire des enquêtes de sécurité, de la sécurité matérielle, des interventions d'urgence et des procédures d'évacuation en cas d'incendie leur a été donné. La sensibilisation des nouveaux employés à la sécurité n'est ni complète ni suffisante.

Recommandation

3. L'ASM devrait établir un programme officiel de sensibilisation à la sécurité à l'intention des employés d'Élections Canada et des employés des bureaux locaux et de scrutin. Le programme devrait faire usage de méthodes d'apprentissage actif (p. ex. présentations et séances d'information périodiques) et viser tous les aspects de la sécurité de l'organisme et du gouvernement.

Réponse de la direction

Responsable : dirigeant principal des finances, Secteur de l'administration (ASM)

Un programme de sensibilisation à la sécurité sera élaboré et intégré au programme d'orientation à l'intention des nouveaux employés. Il permettra d'informer les employés en tout temps sur la sécurité dans l'organisme. Divers moyens pourraient servir à communiquer avec les employés et les directeurs du scrutin, comme le bulletin interne et les courriels d'information d'Élections Canada.

Un module de formation à l'intention des directeurs du scrutin sera élaboré et intégré à la planification de Préparation des scrutins en région et au calendrier de formation en vue de la 42élection générale.

Date d'achèvement prévue : septembre 2014

4.1.4  Gestion des risques en matière de sécurité

Critère de vérification 4 : La gestion des risques en matière de sécurité fait partie intégrante des pratiques d'Élections Canada et lui permet de s'adapter systématiquement aux besoins et aux menaces en évolution.

Selon la politique et les directives du Conseil du Trésor, le plan de sécurité de l'organisme (que l'ASM devra élaborer et l'administrateur général, approuver) doit définir les menaces, les risques et les vulnérabilités en matière de sécurité qui serviront de base au choix des objectifs de contrôle.

Observation

À Élections Canada, l'ASM ne dirige ni ne supervise la définition des menaces, des risques et des vulnérabilités, et il n'est par conséquent pas en mesure d'indiquer à la haute direction si l'organisme gère ses risques en matière de sécurité de manière appropriée et efficace. Aucune EMR concernant les activités et les bureaux essentiels (y compris les scrutins) n'a été menée, comme l'exigent la Politique sur la sécurité du gouvernement et les normes connexes sur la sécurité opérationnelle.

Notre vérification a permis de constater qu'aucun processus systématique visant à définir, à évaluer et à gérer les risques en matière de sécurité à l'échelle de l'ensemble de l'organisme n'est en place. L'ASM et les Services de sécurité ne dirigent ni ne supervisent la définition des menaces et des risques; cette tâche appartient à des gestionnaires opérationnels non formés. Nous avons observé qu'aucune EMR n'est réalisée pour la plupart des biens et des activités d'Élections Canada. Ainsi, l'ASM n'est pas en mesure d'évaluer pleinement le bien-fondé des mesures de protection en place ni d'en faire rapport à la haute direction.

L'ASM n'a pas été en mesure de présenter les EMR en vigueur pour les neuf édifices qu'occupe Élections Canada. Plus particulièrement, il n'y avait aucune EMR pour l'entrepôt de distribution, où le matériel électoral est entreposé, ni pour le Bureau du commissaire aux élections fédérales, où les enquêtes sur les irrégularités électorales sont menées. Des EMR ont été réalisées pour l'administration centrale d'Élections Canada en 2002 et en 2005, mais elles n'ont pas été mises à jour à la suite de nouvelles menaces et vulnérabilités, comme l'exigent les normes du gouvernement en matière de sécurité. Élections Canada prévoit déménager dans un nouvel édifice en 2013. Nous croyons comprendre que des efforts sont déployés pour répondre aux préoccupations concernant la sécurité dans le nouvel édifice, mais nous ne nous sommes pas penchés sur ces efforts, puisqu'ils ne s'inscrivaient pas dans le cadre de notre mandat.

La Direction des programmes et des services en région a réalisé une EMR pour le traitement de l'information électorale en avril 2010. L'ASM n'y a pas participé et n'a pas été informé de son existence. Il n'a donc pris aucune mesure pour atténuer les risques cernés.

Nous n'avons pas évalué les mesures de contrôle opérationnel en matière de TI, mais la direction nous a informés que le DPI a réalisé neuf EMR et accrédité cinq systèmes de TI au cours des deux dernières années. L'ASM n'a joué aucun rôle dans le processus et n'a pas été informé des résultats des évaluations.

Notre vérification a également permis de constater que la gestion des incidents de sécurité et les enquêtes administratives, qui font toutes deux partie intégrante de la gestion continue des risques, ne sont pas effectuées de manière efficace. Cette question est examinée dans la section 4.1.5 ci-dessous.

Protection des appareils mobiles

Nous avons évalué les mesures de contrôle visant à protéger les renseignements de nature délicate se trouvant dans des appareils comme les portables, les tablettes et les téléphones intelligents.

Nous nous attendions à ce que des processus soient en place pour établir les responsabilités personnelles se rattachant aux appareils mobiles et pour donner de l'information sur les exigences concernant la protection de ceux-ci.

Nous avons constaté que les BlackBerry sont prêtés à des personnes moyennant une signature dans un registre et que celles-ci ne reçoivent aucune directive écrite sur leurs responsabilités à l'égard de la protection de l'appareil et de l'information qu'il contient. En outre, aucune directive n'est donnée à l'ASM sur la manière de signaler immédiatement la perte d'un tel appareil. Parce que la direction n'a pas été en mesure de fournir le registre de gestion des stocks des portables, nous n'avons pas pu procéder à la vérification de ceux-ci.

Recommandation

4. L'ASM devrait établir un plan fondé sur les risques pour permettre l'évaluation de la menace et des risques auxquels les activités et les biens d'Élections Canada sont exposés. Le plan devrait inclure un élément de certification et d'accréditation des systèmes de TI. Il faudrait accorder la priorité aux activités et aux biens destinés à appuyer un scrutin.

Réponse de la direction

Responsables : dirigeant principal des finances, Secteur de l'administration (ASM), et DPI

Nous donnerons suite à cette recommandation en élaborant un cadre de sécurité et un plan de sécurité de l'organisme. Élections Canada disposera donc d'une matrice des risques qui lui permettra d'établir son seuil de risque. Ce document nous donnera des outils pour réaliser des EMR des sites, de l'information, des biens et des systèmes d'Élections Canada.

En outre, au moyen du plan de sécurité de l'organisme, l'ASM veillera à ce que les systèmes de TI reçoivent leur certification et accréditation par l'intermédiaire du Comité directeur de la GI-TI (responsable du projet).

Des EMR ne seront pas menées pour les quatre autres édifices, puisque le déménagement au 30, rue Victoria, à Gatineau, est prévu pour juin 2013. Il faudra par contre en réaliser une pour le centre de distribution, une fois que le cadre de sécurité ministérielle, le plan de sécurité de l'organisme et la Politique sur la sécurité interne auront été achevés et approuvés par le Comité exécutif.

Date d'achèvement prévue : juin 2014

4.1.5  Enquêtes administratives

Critère de vérification 5 : Les enquêtes administratives liées aux incidents de sécurité sont menées en conformité avec la Politique sur la sécurité du gouvernement.

En vertu de la Politique sur la sécurité du gouvernement, les administrateurs généraux doivent veiller à ce que des enquêtes soient menées relativement aux questions importantes découlant du non-respect d'une politique, d'allégations d'inconduite, d'activités criminelles présumées, d'incidents de sécurité ou de violence au travail, à ce que des mesures soient prises en conséquence et à ce qu'un rapport soit présenté à l'organisme chargé de l'application de la loi, à l'autorité nationale de sécurité ou à l'organisme de sécurité concerné. Les enquêtes administratives sont un volet important de la surveillance de la sécurité : elles visent à cerner les risques courus en vue d'ajuster les mesures de protection dans le contexte d'une gestion continue du risque.

Observation

Les enquêtes administratives sont dans une large mesure non officielles et mal documentées et la plupart ne prévoient pas de mesures adéquates de suivi ou de redressement. L'ASM et le personnel des Services de sécurité n'ont pas reçu la formation nécessaire sur les enquêtes administratives et aucune procédure n'a été élaborée.

Chaque enquête devrait comprendre un mandat écrit, un plan d'enquête officiel décrivant la manière dont l'enquête sera réalisée, des documents de travail décrivant la tenue de l'enquête ainsi qu'un rapport faisant état des résultats.

À Élections Canada, les enquêtes administratives complexes sont menées par l'ASM. Les enquêtes de routine moins complexes sont habituellement effectuées par le personnel des Services de sécurité au nom de l'ASM. Les enquêtes concernant une éventuelle utilisation inappropriée des TI sont menées par les Ressources humaines, avec l'appui des responsables de la sécurité des TI, sans que l'ASM n'intervienne ni ne reçoive les résultats. Dans le cadre de la vérification, on a déterminé que l'ASM et le personnel des Services de sécurité n'ont pas reçu la formation nécessaire pour réaliser des enquêtes administratives et que les processus et procédures sont inexistants.

On a examiné 10 dossiers d'enquête (3 enquêtes complexes gérées par l'ASM et 7 enquêtes de routine gérées par le personnel des Services de sécurité). D'importantes lacunes ont été relevées dans huit de ces enquêtes : elles étaient dans une large mesure non officielles et mal documentées. Ces enquêtes ne comprenaient pas de mandat, de plan ni de rapport complet, et la plupart ne comprenaient pas de documents de travail adéquats ni de traces des mesures d'enquête prises (p. ex. entretiens avec des sujets ou des témoins, inspection matérielle des lieux, administration des preuves). En outre, 7 des 10 enquêtes ne prévoyaient pas de mesures adéquates de suivi ou de redressement (p. ex. évaluation des menaces contre la sécurité et des vulnérabilités découlant de l'incident, mise en œuvre des mesures de protection nécessaires pour prévenir de nouveaux cas semblables, rapport auprès de l'organisme d'application de la loi concerné).

Recommandation

5. L'ASM devrait établir des procédures pour la tenue d'enquêtes administratives et voir à ce que des enquêteurs qualifiés soient disponibles pour faire enquête sur tous les incidents de sécurité (y compris ceux liés à la sécurité matérielle, à la sécurité du personnel, à la santé et à la sécurité au travail, à la classification de l'information, à la protection des documents et aux TI).

Réponse de la direction

Responsable : dirigeant principal des finances, Secteur de l'administration (ASM)

L'ASM élaborera des procédures régissant la conduite des enquêtes administratives à la lumière de la Politique sur la sécurité du gouvernement et du guide préparé par le Secrétariat du Conseil du Trésor. Pour ce faire, il tiendra compte des commentaires des intervenants concernés, y compris les enquêteurs du Bureau du commissaire aux élections fédérales, les responsables de la sécurité des TI et tous les autres spécialistes.

Les gestionnaires et les agents de la sécurité recevront la formation nécessaire pour mener des enquêtes administratives. Cela pourrait faire partie de la formation donnée au personnel chargé de la sécurité à Élections Canada.

Date d'achèvement prévue : décembre 2014

4.1.6  Surveillance du programme de gestion de la sécurité

Critère de vérification 6 : Le programme de gestion de la sécurité, y compris la sécurité des TI, fait l'objet d'activités de surveillance et d'évaluation visant à comparer les résultats obtenus aux résultats attendus.

Dans le contexte de leurs responsabilités en matière de sécurité découlant de la Politique sur la sécurité du gouvernement, les administrateurs généraux doivent : voir à la tenue d'examens périodiques visant à évaluer l'efficacité du programme de sécurité de l'organisme; déterminer si les buts, les objectifs stratégiques et les objectifs en matière de contrôle énoncés dans le plan de sécurité sont atteints; vérifier que le programme demeure adapté aux besoins de l'organisme et du gouvernement dans son ensemble.

Observation

Une évaluation générale du programme de sécurité a été effectuée en janvier 2011, mais les résultats et recommandations n'ont pas encore été présentés à la haute direction. L'ASM n'assure qu'une surveillance minimale des activités de sécurité et n'est pas en mesure de conseiller le DGE au sujet de l'efficacité générale du programme de sécurité d'Élections Canada.

En janvier 2011, l'ASM a reçu un rapport d'un consultant externe intitulé Examen organisationnel général de la sécurité à Élections Canada. L'examen visait à évaluer la conformité du programme de sécurité à la Politique sur la sécurité du gouvernement, à relever les lacunes du programme et à formuler des recommandations quant aux améliorations à apporter. Il s'agit d'une première étape positive dans l'évaluation de la pertinence du programme de sécurité d'Élections Canada, mais les résultats n'ont pas été présentés à la haute direction et aucune mesure n'a été prise à l'égard des recommandations.

On a déterminé que l'ASM n'assure pas adéquatement la surveillance du programme de sécurité, notamment en ce qui concerne : le suivi de la mise en œuvre des recommandations découlant des EMR; les vérifications ponctuelles des enquêtes de sécurité en matière d'embauche et de contrats; le suivi des problèmes soulevés dans le cadre des ratissages de sécurité afin d'assurer leur résolution rapide; la surveillance des incidents et des atteintes à la sécurité des TI.

L'ASM effectue certaines activités de surveillance, mais elles visent principalement à mesurer les résultats et ne permettent pas de répondre aux normes du CT. En outre, la surveillance ne couvre pas toutes les fonctions de sécurité. En effet, elle exclut la sensibilisation à la sécurité, la sécurité des TI, la planification de la continuité des activités ainsi que la sécurité dans les bureaux des directeurs du scrutin et dans les bureaux de scrutin.

Voici certaines des activités de surveillance courantes de l'ASM :

L'ASM ne surveille pas le programme de sécurité des TI. Le coordonnateur de la sécurité des TI tient des registres des activités des utilisateurs, mais ces registres ne servent pas à évaluer l'efficacité des contrôles de sécurité. Ils sont plutôt conservés à des fins légales, en cas d'incident de sécurité relativement aux TI. Le coordonnateur ne présente pas de rapports à l'ASM concernant l'efficacité du programme. L'ASM ne se penche pas non plus sur la classification de l'information, sur la protection des documents ni sur la santé et la sécurité au travail.

Recommandation

6. L'ASM devrait améliorer le suivi de l'efficacité du programme de sécurité afin d'appuyer l'amélioration continue du programme. Les mesures de suivi devraient viser toutes les fonctions de sécurité et les scrutins.

Réponse de la direction

Responsable : dirigeant principal des finances, Secteur de l'administration (ASM)

On établira dans le plan de sécurité, le cadre de sécurité et la politique de sécurité d'Élections Canada les rôles et la structure hiérarchique de tous les services de sécurité, y compris la sécurité des TI, la sécurité matérielle, la sécurité du personnel, la sécurité en matière de passation de marchés, la gestion de l'information et la santé et la sécurité au travail. Voilà qui renforcera les pouvoirs de l'ASM pour ce qui est de gérer et de surveiller le programme de sécurité à Élections Canada ainsi que de présenter des rapports à cet égard.

Des visites dans les bureaux des directeurs du scrutin pendant les élections contribueront à renforcer la surveillance de la sécurité dans les bureaux locaux.

Date d'achèvement prévue : janvier 2014

4.2 Enquêtes de sécurité

Critère de vérification 7 : Avant d'entrer en fonction, toute personne qui a accès aux renseignements et aux biens du gouvernement doit se soumettre à une enquête de sécurité.

En vertu de la Politique sur la sécurité du gouvernement, les administrateurs généraux doivent veiller à ce que les personnes qui ont accès aux renseignements et aux biens du gouvernement détiennent la bonne cote de sécurité avant de commencer à travailler. Dans la politique de sécurité d'Élections Canada, il s'agit d'un objectif de contrôle de la sécurité : « Toutes les personnes qui doivent avoir accès à des renseignements (y compris les renseignements de la liste électorale), à des biens ou à des installations du gouvernement se soumettent à une vérification de leur fiabilité et de leur intégrité et, le cas échéant, de leur loyauté ou fiabilité quant à leur loyauté envers le Canada avant d'obtenir leur autorisation d'accès. »

Observation

Les mesures de contrôle relatives aux enquêtes de sécurité à Élections Canada fonctionnent bien. Cependant, la plupart des employés des bureaux locaux qui ont accès à des renseignements et biens de nature délicate ne font pas l'objet d'une enquête de sécurité.

À Élections Canada, toutes les enquêtes de sécurité sont réalisées de manière centralisée par les Services de sécurité, qui relèvent de l'ASM. Le personnel chargé des ressources humaines, de l'approvisionnement, des contrats, de la formation et de l'évaluation doit présenter les demandes d'enquête de sécurité aux Services de sécurité, qui traitent la demande et transmettent une confirmation une fois la cote de sécurité vérifiée ou décernée.

L'enquête de sécurité comprend normalement ce qui suit : contrôle des références, vérification des qualifications, vérification du casier judiciaire, vérification de la solvabilité (au besoin). Dans le cadre de la présente vérification, on a examiné les dossiers de 20 employés, de 15 entrepreneurs et de 16 membres du personnel de bureaux locaux et bureaux de scrutin afin de déterminer si :

Employés

Dans le cas des 20 employés dont le dossier a été examiné, l'enquête de sécurité a été effectuée avant l'entrée en poste. Les niveaux de sécurité concordaient avec les exigences des postes et la nature des renseignements et biens à protéger.

Entrepreneurs

Dans le cas des 15 entrepreneurs dont le dossier a été examiné, 3 n'avaient pas fait l'objet d'une enquête des Services de sécurité avant leur entrée en fonction. Dans tous les cas, les Services de l'approvisionnement et des contrats n'ont pas envoyé de demande aux Services de sécurité en raison d'une mauvaise compréhension des exigences applicables aux enquêtes de sécurité. Dans deux cas, les employés des Services de l'approvisionnement et des contrats pensaient que l'enquête de sécurité n'était nécessaire que si l'entrepreneur travaillait sur les lieux. Dans l'un de ces cas, il s'agissait d'un consultant en matière d'accès à l'information et de protection des renseignements personnels dont le contrat nécessitait une cote de sécurité de niveau Secret en raison de l'accès à des renseignements de nature délicate. La troisième exception concernait un entrepreneur qui avait fait l'objet d'une enquête de sécurité pour un contrat précédent, en 2009, mais dont la cote de sécurité n'avait pas été vérifiée avant le début du nouveau contrat, en 2011, et était échue depuis 2009.

Personnel des bureaux locaux et des bureaux de scrutin

Les directeurs du scrutin sont nommés par le DGE et reçoivent des directives de ce dernier. Ils assurent la gestion et le contrôle des scrutins fédéraux dans la circonscription où ils sont nommés.

À l'occasion d'un scrutin, les directeurs du scrutin embauchent environ 190 000 travailleurs temporaires pour pourvoir en personnel quelque 65 000 bureaux de vote répartis dans 308 circonscriptions. La plupart de ces travailleurs occupent des emplois de confiance et ont accès à des renseignements de nature délicate, dont le Registre national des électeurs (ou certaines parties de celui-ci) et les systèmes des TI sécurisés.

Au nombre de ces travailleurs temporaires, il y a :

Dans les bureaux locaux et les bureaux de scrutin, beaucoup d'autres employés disposent de divers niveaux d'accès aux renseignements de nature délicate sur les électeurs et sur des biens importants. Il s'agit notamment des coordonnateurs des bulletins de vote spéciaux, des greffiers du scrutin, des coordonnateurs de bureau, des recruteurs, des agents d'inscription et des commis de bureau.

La vérification des dossiers de 16 employés de bureaux locaux et de bureaux de scrutin a permis de déterminer que seuls les directeurs du scrutin sont assujettis aux enquêtes de sécurité. Aucune des personnes occupant les postes susmentionnés n'a été soumise à une enquête de sécurité, malgré leur situation de confiance et leur accès à des renseignements de nature délicate et à des systèmes des TI. Cette pratique, qui n'est pas conforme à la politique du CT ni à la politique de sécurité d'Élections Canada, a été mentionnée en tant que lacune dans l'EMR réalisée en avril 2010 par le Secteur des scrutins d'Élections Canada. Pendant la vérification, les représentants de la direction des Services de sécurité et des Scrutins ont déclaré être au courant de ce problème et étudier la possibilité de soumettre les directeurs adjoints du scrutin et les coordonnateurs de l'informatisation aux enquêtes de sécurité.

Séances d'information sur la sécurité

En vertu de la Directive sur la gestion de la sécurité ministérielle du CT, les personnes doivent être officiellement informées des privilèges et des interdictions d'accès qui se rattachent à leur niveau d'enquête de sécurité avant le début de leurs fonctions ainsi que chaque fois que leur cote de sécurité est mise à jour ou modifiée. Les formulaires d'autorisation de sécurité doivent être signés par la personne concernée et par un professionnel de la sécurité afin de confirmer qu'une séance d'information a été offerte. La vérification a permis de déterminer que les séances d'information ne sont pas données. Des entrevues auprès du personnel des Services de sécurité ont permis de confirmer qu'on demande aux personnes concernées de signer les formulaires sans que la séance d'information ait eu lieu.

Accès au réseau des TI

La vérification visait notamment à déterminer si seules les personnes ayant subi une enquête de sécurité et détenant les autorisations nécessaires ont accès au réseau des TI. La direction n'a pas été en mesure de fournir un registre détaillé des comptes créés et supprimés puisqu'un tel registre n'existe pas ou n'est pas facilement accessible. Par conséquent, il est impossible de tirer des conclusions quant à l'efficacité de ces mesures de contrôle.

Autres constatations

La vérification a permis d'apprendre que les Services de sécurité ne vérifient pas l'identité des personnes aux fins de délivrance de cartes d'identité et d'accès d'Élections Canada. Cela n'est pas directement lié aux enquêtes de sécurité et ne fait donc pas partie de la vérification, mais la question a été soulevée auprès de la direction qui a immédiatement fait adopter l'exigence de vérifier l'identité avant le traitement des demandes de cartes d'Élections Canada.

Recommandation

7. Élections Canada devrait évaluer les exigences relatives aux enquêtes de sécurité auxquelles les employés des bureaux locaux et de scrutin doivent se soumettre et établir un plan pour assurer le respect des exigences en matière de sécurité du Conseil du Trésor. L'approche recommandée et les ressources connexes nécessaires devraient être présentées au Comité exécutif pour examen et approbation.

Réponse de la direction

Responsables : dirigeant principal des finances, Secteur de l'administration (ASM) et Secteur des scrutins

L'équipe de la sécurité d'Élections Canada, en collaboration avec Gestion et Préparation des scrutins en région, a déjà commencé à étudier la possibilité de soumettre à une enquête de sécurité les directeurs adjoints du scrutin et les coordonnateurs de l'informatisation.

D'après les résultats de cette évaluation, les plans opérationnels des secteurs et les priorités de l'organisme, la portée du plan pourrait être élargie de manière à soumettre à une enquête de sécurité les directeurs adjoints du scrutin supplémentaires, les coordonnateurs des bulletins de vote spéciaux et les superviseurs de la révision.

Date d'achèvement prévue : janvier 2015

4.3 Sécurité aux bureaux locaux et aux bureaux de scrutin

Critères de vérification 8 : Tous les risques menaçant la sécurité des bureaux locaux et des bureaux de scrutin sont cernés, et des mesures de sécurité appropriées sont en place pour en protéger le personnel et les biens.

Un niveau accru de sécurité est requis en période électorale. Le déroulement sécuritaire des scrutins est fondamental au sein de notre système démocratique : la confidentialité, l'intégrité et l'accessibilité des renseignements électoraux de nature délicate ne doivent pas être compromises ni remises en question.

Aux termes de la Politique sur la sécurité d'Élections Canada, il incombe aux directeurs du scrutin de garantir la sécurité du processus électoral, y compris la sécurité de leur personnel, des renseignements et des installations, et d'informer l'ASM de toute activité inhabituelle ou suspecte. Conformément à la Loi électorale du Canada, le DGE a l'obligation de communiquer aux directeurs du scrutin les instructions nécessaires pour l'application de la Loi.

L'ASM a la responsabilité fonctionnelle de gérer le programme de sécurité. C'est pourquoi son rôle est essentiel au déroulement sécuritaire des scrutins. L'ASM doit fournir une orientation et un soutien aux directeurs du scrutin pour la mise en œuvre de la politique sur la sécurité en plus d'assurer un suivi et de faire rapport au DGE et à la haute direction sur l'efficacité des contrôles de sécurité mis en place lors de scrutins.

Observation

Bien que les directeurs du scrutin fassent tout en leur possible pour mettre en place des mesures de sécurité pendant un scrutin, ils manquent de compétences, de connaissances et de soutien de la part de l'ASM pour cerner les menaces liées à la sécurité et appliquer des mesures appropriées. En outre, l'ASM n'assure pas de suivi du programme de sécurité électorale des bureaux locaux et des bureaux de scrutin, ni ne se charge de la supervision fonctionnelle.

L'ASM ne veille pas à la détermination des risques liés à la sécurité, ni à la mise en place de contrôles de sécurité appropriés aux bureaux locaux et aux bureaux de scrutin. L'ASM n'a pris aucune mesure pour aider les directeurs du scrutin à définir ou à évaluer les risques associés à un scrutin ou aux bureaux locaux et aux bureaux de scrutin.

Comme il est mentionné au point 4.1.2, l'ASM ne donne pas de formation sur la sécurité aux directeurs du scrutin ni ne s'assure qu'ils sont en mesure de procéder à une EMR. Parmi les quatre directeurs du scrutin que nous avons interrogés, seulement deux étaient au courant de la nécessité de mener des EMR, et seul l'un d'entre eux avait mené une EMR (et il s'agissait d'une évaluation informelle). Les quatre personnes interrogées ont dit avoir recours au bon sens – et non aux directives de l'ASM – pour veiller à l'application adéquate de mesures de sécurité lors d'un scrutin.

En avril 2010, la Direction des programmes et des services en région a mené une EMR sur l'utilisation des renseignements électoraux lors de scrutins. L'évaluation a permis de relever de nombreuses faiblesses et vulnérabilités relativement à la protection des renseignements électoraux. L'EMR ne visait pas la sécurité des TI, la sécurité des bureaux locaux ni même la sécurité matérielle des installations d'Élections Canada. L'ASM n'a pas participé à la réalisation de l'EMR et n'a pas été informé des résultats. La Direction des programmes et des services en région prévoit mener une EMR des activités électorales d'ici 2015 dans le cadre de l'examen du processus électoral. À ce jour, l'ASM n'a pas été appelé à participer à cette activité.

Nous avons constaté qu'il est peu probable qu'Élections Canada soit en mesure d'élaborer un plan efficace pour accroître la sécurité durant un scrutin, puisque l'organisme ne mène pas d'EMR en bonne et due forme pour connaître les risques et les vulnérabilités associés aux scrutins, aux bureaux locaux et aux bureaux de scrutin.

En outre, nous avons observé que l'ASM ne surveille pas activement l'efficacité des programmes de sécurité des bureaux locaux et des bureaux de scrutin. L'ASM n'effectue pas de visites à ces bureaux pour évaluer leurs mesures de sécurité et ne reçoit aucun rapport de la part des directeurs du scrutin en la matière.

Lors d'un scrutin, les personnes-ressources principales des directeurs du scrutin sont les agents de liaison en région et le centre de commandement des incidents importants. Le directeur du scrutin transmet un rapport de situation quotidien au Secteur des scrutins sur les activités courantes et les étapes clés de préparation en prévision d'un scrutin. Cependant, le modèle de rapport ne comprend pas de section sur les activités de sécurité essentielles, comme la prise de contact avec les autorités policières et les services de protection contre les incendies, la réalisation d'EMR, et la mise en œuvre de mesures de sécurité à l'égard des menaces et des risques recensés.

Nous avons également noté que l'ASM n'est pas toujours informé des incidents touchant la sécurité qui surviennent en région. Lorsqu'un incident se produit, les directeurs du scrutin ont reçu la directive de le déclarer à leur agent de liaison en région et au centre de commandement des incidents importants. L'affaire est généralement traitée à ce niveau, sans l'apport de l'ASM. Aucun processus n'est en place pour veiller à ce que l'ASM soit informé des incidents ou consulté pour y donner suite.

Recommandation

8. L'ASM devrait visiter quelques bureaux locaux au cours de chaque scrutin afin d'évaluer la sécurité et les directives en matière de sécurité données aux directeurs du scrutin. Il devrait choisir les bureaux à visiter en fonction du niveau de risque qu'ils posent.

D'autres éléments soulevés dans la présente section sont visés par les recommandations 1, 2, 3, 4, 6 et 7.

Réponse de la direction

Responsables : dirigeant principal des finances, Secteur de l'administration (ASM) et Secteur des scrutins

Cette recommandation est déjà visée en substance par plusieurs recommandations du présent rapport.

Date d'achèvement prévue : Ne s'applique pas

4.4 Activités supplémentaires de vérification

Le quatrième objectif de la présente vérification visait à déterminer si certains éléments de la gestion de la sécurité doivent faire l'objet d'une vérification supplémentaire.

Au cours de nos activités de planification et de nos travaux sur le terrain, d'autres éléments du programme de gestion de la sécurité semblaient présenter un risque, mais n'étaient pas visés par la présente vérification. Aussi la direction pourra-t-elle envisager de procéder à la vérification ou à l'examen des points suivants :