Menu secondaire

Vérification de la gestion de la sécurité

Sommaire

Contexte

La sécurité est essentielle dans la prestation des services du gouvernement contribuant à la santé, à la sécurité et au mieux-être économique des Canadiens. Élections Canada est un organisme indépendant et non partisan relevant du Parlement, et son mandat consiste notamment à être prêt à conduire à tout moment une élection générale fédérale, une élection partielle ou un référendum.

La sécurité est aussi essentielle pour permettre à Élections Canada d'atteindre ses objectifs stratégiques en matière de confiance, d'accessibilité et d'engagement. Ces objectifs pourraient être minés si la sécurité des employés, des biens ou de l'information de l'organisme est compromise. Par ailleurs, il y a lieu de renforcer la sécurité pendant les périodes de préparation électorale. Notre système démocratique repose sur la sécurité du déroulement des scrutins, et la confidentialité, l'intégrité et la disponibilité de l'information électorale de nature délicate ne doivent être ni compromises ni remises en question.

Élections Canada figure à l'annexe I.1 de la Loi sur la gestion des finances publiques. Par conséquent, il doit se conformer à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité ministérielle qui l'accompagne, toutes deux établies par le Secrétariat du Conseil du Trésor (CT) en juillet 2009. L'organisme est aussi tenu de respecter les normes de sécurité opérationnelle en vigueur.

Objectifs et portée

Le principal objectif de la présente vérification de la gestion de la sécurité consistait à indiquer aux cadres supérieurs d'Élections Canada si les contrôles en place pour appuyer la gestion du programme de la sécurité sont appropriés, complets et efficaces; si les contrôles relatifs aux enquêtes de sécurité sur le personnel sont appropriés, complets et efficaces; si les contrôles liés à la définition et à la gestion des risques de sécurité lors d'une élection générale sont appropriés.

Outre ces trois objectifs, la vérification visait aussi à déterminer si d'autres aspects de la sécurité de l'organisme doivent faire l'objet d'activités supplémentaires de vérification.

La portée de la vérification a été déterminée au moyen d'un sondage préliminaire et d'une évaluation globale des risques, et la vérification était axée sur les aspects représentant des risques élevés. À la lumière des résultats de l'évaluation des risques, il a été décidé que la vérification ne porterait pas sur la classification de l'information, ni sur la protection des documents, ni sur la sécurité des marchés. Compte tenu des contraintes de temps et d'argent, les aspects suivants ont aussi été exclus de la vérification : la sécurité des technologies de l'information (TI) au niveau opérationnel, la planification de la continuité des activités, la gestion des urgences, la planification de la reprise des activités après sinistre et la sécurité physique (y compris la réinstallation prévue d'Élections Canada dans de nouveaux locaux en 2013).

Constatations et conclusions

La plupart des aspects du programme de sécurité d'Élections Canada visés par la vérification exigent une grande attention et des améliorations importantes afin qu'ils respectent les exigences de la Politique sur la sécurité du gouvernement du Conseil du Trésor et fournissent l'assurance que les renseignements, les biens et les services ne seront pas compromis.

À Élections Canada, la sécurité est gérée de façon ponctuelle et réactive, au quotidien : l'organisme n'a pas mis en œuvre de système de gestion qui cadre avec les exigences du Conseil du Trésor et qui se fonde sur l'établissement d'objectifs, la détermination des risques et des menaces, la planification, le suivi et la surveillance de la part de la haute direction. Il y a d'importantes lacunes dans la gouvernance et la coordination du programme de sécurité, ainsi que dans les principales fonctions de sécurité (détermination et gestion des risques, enquêtes administratives, enquêtes de sécurité, activités de formation et de sensibilisation sur la sécurité et suivi du rendement du programme de sécurité).

Ces lacunes montrent que l'attention et les ressources consacrées à la sécurité ne sont pas suffisantes. L'agent de sécurité du ministère (ASM) devrait réattribuer les ressources aux aspects les plus à risque et les plus importants.

La vérification a relevé d'importantes lacunes.

Recommandations

  1. Le directeur général des élections (DGE) devrait voir au renforcement du programme de gestion de la sécurité et du cadre de gouvernance en se fondant sur la Politique sur la sécurité du gouvernement et la Directive sur la gestion de la sécurité ministérielle du Conseil du Trésor. Pour ce faire, il devra notamment :
    • renforcer et clarifier les rapports hiérarchiques et les responsabilités de l'ASM, y compris en ce qui concerne, d'une part, la sécurité des technologies de l'information, la classification de l'information, la protection des documents, la santé et la sécurité au travail et, d'autre part, le soutien à fournir aux directeurs du scrutin et à leurs employés, ainsi qu'à l'égard des locaux, lors d'un scrutin;
    • mettre sur pied un groupe de travail sur la sécurité composé de représentants de toutes les fonctions de sécurité afin de coordonner et d'intégrer les activités de sécurité;
    • établir un plan pluriannuel de sécurité pour Élections Canada;
    • voir à ce que la haute direction accorde une attention adéquate à la gestion de la sécurité et assure un soutien connexe.
  2. L'ASM devrait voir à ce que les directeurs du scrutin aient reçu une formation adéquate en matière de sécurité et à ce que cette formation vise toutes les fonctions de sécurité. De plus, l'ASM devrait créer des outils pour appuyer la mise en œuvre de politiques de sécurité dans les bureaux locaux et les bureaux de scrutin (p. ex. liste de contrôle des activités de sécurité, gabarits, directives sur la façon d'effectuer une évaluation de la menace et des risques (EMR), listes des incidents les plus probables en matière de sécurité et solutions connexes recommandées, directives sur l'évaluation des contrôles de sécurité).
  3. L'ASM devrait établir un programme officiel de sensibilisation à la sécurité à l'intention des employés d'Élections Canada et des employés des bureaux locaux. Le programme devrait faire usage de méthodes d'apprentissage actif (p. ex. présentations et séances d'information périodiques) et viser tous les aspects de la sécurité de l'organisme et du gouvernement.
  4. L'ASM devrait établir un plan fondé sur les risques pour permettre l'évaluation de la menace et des risques auxquels les activités et les biens d'Élections Canada sont exposés. Le plan devrait inclure un élément de certification et d'accréditation des systèmes de TI. Il faudrait accorder la priorité aux activités et aux biens destinés à appuyer un scrutin.
  5. L'ASM devrait établir des procédures pour la tenue d'enquêtes administratives et voir à ce que des enquêteurs qualifiés soient disponibles pour faire enquête sur tous les incidents de sécurité (y compris ceux liés à la sécurité matérielle, à la sécurité du personnel, à la santé et à la sécurité au travail, à la classification de l'information, à la protection des documents et aux TI).
  6. L'ASM devrait améliorer le suivi de l'efficacité du programme de la sécurité afin d'appuyer l'amélioration continue du programme. Les mesures de suivi devraient viser toutes les fonctions de sécurité et les scrutins.
  7. Élections Canada devrait évaluer les exigences relatives aux enquêtes de sécurité auxquelles les employés des bureaux locaux doivent se soumettre et établir un plan pour assurer le respect des exigences en matière de sécurité du Conseil du Trésor. L'approche recommandée et les ressources connexes nécessaires devraient être présentées au Comité exécutif pour examen et approbation.
  8. L'ASM devrait visiter quelques bureaux locaux au cours de chaque scrutin afin d'évaluer la sécurité et les directives en matière de sécurité données aux directeurs du scrutin. Il devrait choisir les bureaux à visiter en fonction du niveau de risque qu'ils posent.