Archivée - Vérification du Programme de planification de la continuité des activités (PCA) - Rapport final

Septembre 2013

Table des matières

• 1.0 Sommaire
• 2.0 Introduction
  • 2.1 Contexte
  • 2.2 Objectif
  • 2.3 Portée
  • 2.4 Méthode et approche
  • 2.5 Énoncé de conformité
• 3.0 Constatations et recommandations
  • 3.1 Gouvernance du Programme de planification de la continuité des activités
  • 3.2 Analyse des répercussions sur les activités
  • 3.3 Plans et préparatifs pour la continuité des activités
  • 3.4 Intégration aux plans de continuité des activités de TI
  • 3.5 État de préparation du Programme de planification de la continuité des activités
  • 3.6 Recommandation
• Annexe A : Critères de vérification
• Annexe B : Réponse et plan d'action de la direction

1.0 Sommaire

En raison de catastrophes naturelles et causées par l'homme, les organisations sont davantage conscientes de la nécessité de continuer à offrir les services essentiels à la suite d'interruptions de leurs activités courantes. Divers types d'interruptions peuvent avoir une incidence sur une activité, comme une catastrophe naturelle, une pandémie humaine, du vandalisme, des dommages à l'infrastructure et une défaillance du matériel. Au sein du gouvernement du Canada, le manque de préparation ou l'incapacité de maintenir la prestation de services essentiels peuvent nuire à la réputation d'une organisation et empêcher d'assurer la santé, la sécurité et le bien-être économique des Canadiens.

La Loi sur la gestion des urgences et la Politique sur la sécurité du gouvernement du Conseil du Trésor obligent tous les ministères et organismes à établir et à tenir à jour un programme de planification de la continuité des activités (PCA). Les exigences ainsi que d'autres indications sont fournies dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSOPPCA) de même que dans sa documentation technique connexe.

À l'ACIA, l'orientation fonctionnelle du Programme de PCA est la responsabilité de la Division de la sécurité intégrée (DSI), qui fait partie de la Direction de la gestion des biens et de la sécurité (DGBS), au sein de la Direction générale de la gestion intégrée (DGGI). La DSI collabore avec un groupe de travail composé de représentants des directions générales pour élaborer et tenir à jour des plans de continuité des activités.

L'objectif de la présente vérification consistait à s'assurer que les activités du Programme de PCA de l'ACIA favorisent le respect des exigences relatives à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSOPPCA) du Conseil du Trésor.

Durant la vérification, nous avons constaté que le Programme de PCA était inactif depuis un certain temps, tout comme la gouvernance. De plus, la politique du Programme devait être revue, et le groupe de travail s'était à peine réuni depuis deux ans. Par conséquent, nous avons observé que les plans et les préparatifs pour la continuité des activités étaient généralement incomplets et désuets et qu'ils ne permettaient pas d'assurer la reprise des services dans des temps d'arrêt maximaux admissibles prédéfinis. De plus, nous avons remarqué que les plans et les préparatifs n'étaient pas intégrés aux priorités en matière de reprise, comme l'a indiqué la Direction générale de la gestion de l'information et de la technologie de l'information (DGGITI).

Étant donné que la direction est au courant de ces lacunes, la DSI de l'ACIA a récemment réactivé le Programme de PCA. Une nouvelle version de la politique a été préparée et récemment approuvée. Le Comité des ressources humaines et de la gestion intégrée (CRHGI) agit à titre de comité de surveillance responsable du Programme de PCA et a accepté la nouvelle approche proposée par la DSI pour relancer le Programme. Le groupe de travail a recommencé à se rencontrer et a entamé les travaux de mise en œuvre de cette nouvelle approche.

Le présent rapport contient une recommandation quant à l'engagement de la direction à prendre des mesures pour se conformer davantage aux exigences des politiques applicables du Conseil du Trésor.

Conclusion

La vérification nous a permis de conclure que le Programme actuel de PCA à l'ACIA n'est pas conforme à la NSOPPCA du Conseil du Trésor. Cependant, nous avons remarqué que l'Agence est au fait des faiblesses du Programme et qu'elle a déjà pris des mesures pour combler les lacunes en matière de conformité.

2.0 Introduction

2.1 Contexte

En raison de catastrophes naturelles et causées par l'homme, les organisations sont davantage conscientes de la nécessité de continuer à offrir les services essentiels à la suite d'interruptions de leurs activités courantes. Divers types d'interruptions peuvent avoir une incidence sur une activité, comme une catastrophe naturelle, une pandémie humaine, du vandalisme, des dommages à l'infrastructure et une défaillance du matériel. Au sein du gouvernement du Canada, le manque de préparation ou l'incapacité de maintenir la prestation de services essentiels peuvent nuire à la réputation d'une organisation et empêcher d'assurer la santé, la sécurité et le bien-être économique des Canadiens.

La Loi sur la gestion des urgences et la Politique sur la sécurité du gouvernement du Conseil du Trésor obligent tous les ministères et organismes à établir et à tenir à jour un programme de planification de la continuité des activités (PCA). Les exigences ainsi que d'autres indications sont fournies dans la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSOPPCA) de même que dans sa documentation technique connexe.

Les interventions en cas d'urgence et la PCA sont complémentaires, mais tout à fait distinctes. Les interventions en cas d'urgence ont tendance à miser principalement sur le sauvetage, la sécurité, la limitation des dommages et l'organisation des ressources pour gérer les conséquences d'un événement, alors que la PCA porte exclusivement sur la prestation continue des services essentiels dans un temps préalablement approuvé. La continuité des activités est un aspect inhérent de la gestion du risque lié à la possible interruption d'une ou plus fonctions opérationnelles.

Les plans de continuité des activités consistent en des documents distincts qui décrivent la façon dont les responsables d'une fonction opérationnelle réagiront lors d'une interruption des fonctions normales et reprendront leurs activités à la suite de celle-ci. Les plans seront axés sur quatre principaux éléments ou principales exigences : l'effectif, les renseignements, la technologie et le milieu de travail. La PCA bien documentée appuie la reprise des services essentiels de façon organisée et efficace. Le gouvernement du Canada définit un service essentiel comme un service dont la disponibilité compromise porterait un grave préjudice à la santé, à la sûreté, à la sécurité ou au bien-être économique des Canadiens, ou encore au fonctionnement efficace du gouvernement.

À l'ACIA, l'orientation fonctionnelle du Programme de PCA est la responsabilité de la Division de la sécurité intégrée (DSI), qui fait partie de la Direction de la gestion des biens et de la sécurité (DGBS), au sein de la Direction générale de la gestion intégrée (DGGI). La DSI collabore avec un groupe de travail composé de représentants des directions générales pour élaborer et tenir à jour des plans de continuité des activités.

Les plans de continuité des activités devraient cibler les répercussions d'un service essentiel interrompu sur chaque fonction opérationnelle selon des critères précis. Il faut également déterminer le temps d'arrêt maximal admissible (TAMA) accordé pour un service avant qu'une incidence importante soit ressentie sur le mandat de l'ACIA et établir la période tolérable durant laquelle des données pourraient être perdues. Un plan complet classe par priorité l'ordre de reprise des services essentiels et cible les biens connexes ainsi que les ressources humaines nécessaires. Le plan détermine également quand, où et comment ces services, ces biens et ces ressources reprendront les niveaux de service préalablement approuvés. Le processus de PCA oriente la façon dont on détermine si un service est essentiel ou non. Des mises à l'essai périodiques de la PCA valident l'information et aident à assurer la reprise des services.

La vérification de la planification de la continuité des activités a été prévue et approuvée dans le Plan de vérification axé sur le risque de l'Agence (de 2012-2013 à 2014-2015).

2.2 Objectif

L'objectif de la présente vérification consistait à s'assurer que les activités du Programme de PCA de l'ACIA favorisent le respect des exigences relatives à la Norme de sécurité opérationnelle – Programme de planification de la continuité des activités (NSOPPCA) du Conseil du Trésor.

2.3 Portée

La portée de la vérification couvrait l'examen des politiques, des procédures et des activités de l'ACIA relatives au Programme de PCA et prévoyait l'analyse des éléments clés du Programme, soit la gouvernance, l'analyse des répercussions sur les activités (ARA), les plans et les préparatifs pour la continuité des activités ainsi que l'état de préparation. La vérification a aussi pris en compte le plan d'action de la DSI visant à mettre à jour le Programme de PCA, puisqu'il existait déjà avant la fin de la phase de vérification. La vérification a débuté en septembre 2012, et le travail sur le terrain s'est terminé en mai 2013.

2.4 Méthode et approche

Une évaluation de contrôle a été réalisée durant la phase de planification de la vérification. L'évaluation a tenu compte de la NSOPPCA et de diverses mesures de contrôle clés que les responsables de la vérification interne ont jugées pertinentes dans l'évaluation du Programme de PCA de l'Agence. D'après cette évaluation, des recherches générales et une analyse des documents, les critères de vérification suivants, qui sont tirés de la NSOPPCA, ont été établis :

Critère 1 : Les responsabilités relatives au Programme de PCA sont établies, définies et attribuées (NSOPPCA 3.1)

Critère 2 : Une structure de gouvernance est en place (NSOPPCA 3.1)

Critère 3 : L'analyse des répercussions sur les activités a été menée conformément à la NSOPPCA, et la priorité a été accordée aux services essentiels (NSOPPCA 3.2)

Critère 4 : Des plans et des préparatifs ont été mis au point pour les services essentiels cernés lors de l'analyse des répercussions sur les activités (NSOPPCA 3.3)

Critère 5 : L'Agence a mis en œuvre un programme de préparation à la PCA (NSOPPCA 3.4)

La vérification comprenait un échantillon discrétionnaire de quatorze plans de continuité des activités et de leur documentation connexe et portait sur les services essentiels à haut risque de niveau 1 (reprise dans les 24 premières heures). L'échantillon a été choisi de façon à couvrir l'ensemble de l'Agence (c'est-à-dire : administration centrale, opérations dans les centres opérationnels et les régions, laboratoires).

2.5 Énoncé de conformité

La vérification est conforme aux normes de vérification interne du gouvernement du Canada, comme en témoignent les résultats du programme d'assurance et d'amélioration de la qualité de la vérification interne de l'ACIA. Des procédures de vérification suffisantes et appropriées ont été utilisées et des preuves ont été recueillies conformément aux Normes internationales pour la pratique professionnelle de la vérification interne de l'Institut des vérificateurs internes ainsi que pour attester les constatations et les conclusions du présent rapport. Ces dernières sont basées sur des conditions telles qu'elles existaient déjà au moment de la vérification et ne s'appliquent qu'à l'entité examinée.

3.0 Constatations et recommandations

3.1 Gouvernance du Programme de planification de la continuité des activités

Nous nous attendions à déceler des preuves qu'une structure de gestion était en place pour englober la responsabilité liée à la gestion globale du Programme de PCA de l'Agence conformément au critère NSOPPCA 3.1. La structure de gouvernance devrait comprendre un certain nombre d'éléments de fonctionnement :

• politique sur le Programme de PCA qui applique la Politique sur la sécurité du gouvernement à l'ACIA;
• orientation stratégique et surveillance assurées par un comité de haut niveau;
• orientation et leadership fonctionnels assurés par la Division de la sécurité intégrée de l'ACIA;
• groupe de travail appuyant le leadership fonctionnel et établissant des liens avec les unités organisationnelles; et
• unités organisationnelles s'appropriant leurs plans et leurs préparatifs.

Durant la vérification, nous avons constaté que le Programme de PCA était inactif depuis un certain temps, tout comme la gouvernance. De plus, la politique du Programme devait être revue, et le groupe de travail s'était à peine réuni depuis deux ans. L'état inactif du Programme est démontré par le fait que six des quatorze unités organisationnelles avec qui nous avons communiqué durant la vérification n'étaient pas en mesure de nous fournir les documents demandés sur la continuité des activités.

La DSI de l'ACIA a récemment réactivé le Programme de PCA. Une nouvelle version de la politique a été préparée et récemment approuvée. Le Comité des ressources humaines et de la gestion intégrée (CRHGI) agit à titre de comité de surveillance responsable du Programme de PCA et a accepté la nouvelle approche proposée par la DSI pour relancer le Programme. Le groupe de travail a recommencé à se rencontrer et a entamé les travaux de mise en œuvre de cette nouvelle approche.

Alors que ce sont là des signes encourageants, le plan de la DGGI consistant à relancer le Programme de PCA n'était toutefois pas suffisamment détaillé, au moment de la vérification, pour démontrer que sa mise en œuvre entraînerait le plein respect de la NSOPPCA. La DSI doit s'assurer de la participation active de la direction et des employés de tous les niveaux de l'organisation : la haute direction, y compris le CRHGI, doit démontrer son engagement en assurant une orientation stratégique et une surveillance, et le groupe de travail doit appuyer la nouvelle approche ainsi que communiquer efficacement et prôner la conformité au sein de ses directions générales. Les unités organisationnelles ont besoin du soutien, de l'orientation et des outils nécessaires pour mettre à jour les plans et les préparatifs pour la continuité des activités.

3.2 Analyse des répercussions sur les activités

Nous nous attendions à recueillir des preuves que le coordonnateur national du Programme de PCA et le personnel de l'ACIA ont rempli l'analyse des répercussions sur les activités (ARA), comme l'oblige la section 3.2 de la norme sur la PCA. Nous prévoyions que la méthode d'ARA serait structurée de façon à cerner toutes les exigences de la norme sur la PCA, dont les suivantes :

• On a ciblé et évalué les services que l'ACIA doit offrir afin de déterminer ceux qui risquent de causer un préjudice important pour les Canadiens et le gouvernement s'ils sont interrompus;
• On a analysé les répercussions directes, indirectes, quantitatives et qualitatives de l'interruption des activités sur l'ACIA;
• On a classé les services essentiels par ordre de priorité et précisé les ressources (personnel, entrepreneurs, fournisseurs, renseignements, systèmes et autres biens) qui appuient directement ou indirectement leur prestation, au sein ou à l'extérieur de l'Agence; et
• La haute direction a approuvé les résultats de l'ARA avant le début des travaux sur les plans et les préparatifs pour la continuité des activités.

Nous avons relevé qu'en 2008-2009, maints efforts ont été déployés pour la conception d'analyses des répercussions sur les activités. La DSI a élaboré une méthode et des modèles assortis pour recueillir les renseignements nécessaires et a sollicité l'aide de toutes les unités organisationnelles de l'ACIA. Les renseignements ont ensuite été transformés en une liste nationale des services prioritaires qui a été approuvée par la haute direction. Les modèles obligent les utilisateurs à identifier les services exécutés, les personnes ressources et les besoins en matière de ressources pour assurer la continuité des activités (humaines comme techniques), les dossiers essentiels, les fournisseurs clés et l'analyse réelle de la criticité du service (c'est-à-dire les répercussions si le service n'est pas disponible).

Dans le cadre du travail d'échantillonnage, nous avons demandé d'obtenir les ARA liées aux plans et aux préparatifs inclus dans l'échantillon. Nous nous attendions à ce que la DSI et les unités organisationnelles aient une copie des ARA. Des quatorze ARA demandées, seules sept étaient disponibles (six de la DSI et une d'une unité organisationnelle). Après examen des sept ARA, nous avons conclu que beaucoup de renseignements étaient demandés et recueillis. De nombreuses données ont été reçues par la DSI, mais elles étaient incomplètes, car certaines sections des modèles n'étaient pas bien remplies, et nous avons remarqué à de nombreuses reprises un manque de rigueur dans l'analyse.

Pour ce qui est des ARA qui ont été fournies, nous avons relevé les lacunes suivantes :

• De nombreux services essentiels ciblés dans les ARA ne correspondaient pas à la définition de la NSOPPCA, soit que les services essentiels sont des services qui risquent de causer un préjudice important pour les Canadiens et le gouvernement s'ils sont interrompus. Il s'agissait plutôt de services de soutien à l'infrastructure mis en place pour appuyer la prestation des services essentiels;
• Il y avait un manque de considération pour les répercussions qualitatives et quantitatives découlant de l'interruption des activités. Le temps d'arrêt maximal admissible (TAMA) a été établi, mais il n'y avait aucune justification claire. Une évaluation subjective des répercussions pourrait mener à un TAMA incorrect; et
• Les ARA ont été effectuées en 2008-2009, et les renseignements qui y figurent pourraient être désuets.

À la suite de l'examen des ARA, l'ACIA a cerné 470 services, dont 262 étaient jugés essentiels (c.-à-d. qu'ils requièrent un plan de continuité des activités) et desquels 131 étaient considérés comme des services essentiels de niveau 1 qui nécessitent une reprise dans les 24 premières heures. Les pratiques exemplaires laissent entendre que la liste des services essentiels de l'ACIA est trop longue. Bon nombre de ces services sont en fait des dépendances qui appuient l'infrastructure requise pour la prestation des services essentiels, mais qui ne constituent pas eux-mêmes des services essentiels selon la définition dans la NSOPPCA. Par exemple, les cinq premiers services se trouvant sur la liste des services essentiels devant reprendre dans les 24 premières heures concernent la sécurité, la TI, la gestion des installations et les communications de la haute direction. Une liste d'une telle longueur a empêché l'achèvement des plans et des préparatifs requis pour chaque service essentiel.

Le grand nombre de services essentiels qui ont ressorti de l'examen des ARA à l'ACIA ainsi que les résultats d'examen de l'échantillon démontrent un manque de surveillance et des difficultés à l'égard du processus d'élaboration des ARA.

3.3 Plans et préparatifs pour la continuité des activités

Nous nous attendions à ce que l'Agence, à l'aide des résultats des ARA, ait analysé les options de reprise et ait choisi et financé des stratégies qui auraient jeté les bases pour les plans et les préparatifs pour la continuité des activités. Nous croyions aussi que les plans et les préparatifs prévus auraient été élaborés selon les pratiques exemplaires définies dans la NSOPPCA.

Nous n'avons relevé aucune preuve documentée que les options de reprise et le financement associé avaient été envisagés ou analysés. Le manque de considération à ces égards sous entend que la stratégie de reprise optimale pourrait ne pas avoir été choisie et que les ressources nécessaires à la reprise des services essentiels pourraient ne pas être disponibles.

Nous avons examiné quatorze plans de façon approfondie en mettant l'accent sur les services essentiels « de niveau 1 » préalablement approuvés qui doivent reprendre dans les 24 premières heures. Six unités organisationnelles n'ont pu retrouver leur plan. Nous avons donc utilisé, pour ces dernières, une version que la DSI nous a fournie. Nous avons trouvé de l'information désuète dans tous les plans, sauf un. Notre examen détaillé nous a permis de relever ce qui suit :

• En général, les plans ne prévoyaient aucun mécanisme d'évaluation des situations d'urgence. Le processus d'évaluation de la situation doit être clair afin qu'une personne inexpérimentée puisse réaliser l'activité à l'aide du plan. En n'effectuant aucune évaluation, on occasionne des dépenses inutiles ou un retard dans la reprise du service;
• Les plans indiquaient le nom des personnes qui doivent prendre part au processus de reprise. Toutefois, les plans contenaient généralement peu de renseignements, voire aucun, quant aux mesures à prendre et à la façon dont la reprise serait effectuée. Sans indications relatives à la façon dont la reprise se déroulera, les employés qui doivent intervenir en cas d'urgence pourraient ne pas prendre les meilleures décisions, et la reprise de l'activité pourrait dépasser le TAMA;
• Quatre plans n'indiquaient aucun autre lieu de travail provisoire. En ne connaissant pas le lieu de travail provisoire approuvé, les employés pourraient prendre des décisions inappropriées au moment de l'urgence, ce qui retarderait la reprise de l'activité. Lors d'un récent incident, un groupe a eu de la difficulté à trouver un autre lieu de travail pour les employés;
• Les besoins en matière de ressources n'étaient pas indiqués de façon uniforme dans les plans. Certains plans contenaient des listes des ressources requises, mais n'orientaient pas l'utilisateur quant à la façon de les obtenir au moment d'une interruption. Sept plans ne contenaient aucune information sur les ressources requises. Des ressources inadéquates entraîneront une reprise tardive.

Lorsque les plans de continuité des activités ne suivent pas les pratiques exemplaires, comme l'indiquent la NSOPPCA et sa documentation technique connexe, le risque est accru si le plan est mis en branle; la continuité ne sera pas assurée dans les délais requis. Dans notre échantillon, nous avons conclu que dix des quatorze plans examinés risquent grandement de ne pas permettre une reprise dans le TAMA établi.

3.4 Intégration aux plans de continuité des activités de TI

Nous nous attendions à ce que les plans de continuité des activités de TI de l'Agence soient intégrés au programme de continuité des activités de l'Agence, comme l'exige la NSOPPCA.

Nous avons constaté que le Programme de PCA n'avait pas intégré les activités de continuité des activités de GI-TI. Il n'existe encore aucun plan de continuité pour les services de TI hautement prioritaires à l'Agence. La DGGITI a récemment mené une analyse des répercussions sur les activités des systèmes de TI (ARA-TI). L'objectif de cette ARA-TI était d'identifier et de classer par priorité les systèmes de TI essentiels ainsi que de déterminer les objectifs et les besoins au niveau du temps de reprise selon une analyse des répercussions sur les fonctions opérationnelles de l'ACIA si ces systèmes devenaient indisponibles. Lorsqu'elle aura défini les capacités de reprise réelles pour les systèmes de TI essentiels, la DGGITI prévoit analyser les écarts entre la capacité de reprise et les objectifs de reprise.

L'établissement des priorités relativement à la reprise des activités de TI a été entamé et dirigé par la DGGITI. La DSI n'a pas encore déterminé si ces priorités, telles qu'identifiées par la DGGITI, respectent les exigences opérationnelles définies dans le Programme de PCA et sont intégrées à la planification de la continuité des activités. Il y a un risque que la stratégie de reprise de la DGGITI ne s'harmonise pas aux services essentiels de l'ACIA et que les services les plus prioritaires ne reprennent pas dans les temps d'arrêt maximums admissibles.

3.5 État de préparation du Programme de planification de la continuité des activités

Nous nous attendions à ce que des mises à jour et des examens réguliers des plans aient lieu à l'ACIA, comme des mises à l'essai et des validations régulières ainsi que les leçons apprises connexes.

D'après notre échantillon, nous avons conclu que, sauf une exception, les plans n'étaient pas mis à jour. Des mises à l'essai et validations régulières n'ont pas été effectuées depuis les trois dernières années.

Le fait de ne pas mettre les plans à jour et de ne pas faire des mises à l'essai régulièrement peut rendre les plans inutilisables. Les employés peuvent ignorer l'existence du plan si ce dernier n'a pas été examiné depuis longtemps ou ils pourraient ne pas se fier au contenu s'ils le considèrent comme désuet. Même si l'ACIA a répondu avec succès à la continuité des activités, les plans actuels de continuité des activités n'ont pas été mis en évidence dans ces réponses. Dernièrement, une interruption des activités s'est produite à Ottawa, et le groupe visé n'avait pas consulté son plan de continuité des activités, car celui-ci n'était pas considéré comme un « document évolutif ». Lors d'un autre incident survenu récemment au centre opérationnel de l'Ouest, les employés visés ne savaient pas qu'un plan existait.

3.6 Recommandation

Le vice-président de la Direction générale de la gestion intégrée devrait élargir le plan d'action pour actualiser le Programme de PCA, notamment les échéances adéquates pour la mise en œuvre, et obtenir l'approbation de la gouvernance de l'Agence. Le plan devrait permettre de combler les lacunes relevées dans les observations du rapport de vérification et avoir comme objectif d'atteindre un plus haut niveau de conformité avec les exigences des politiques applicables du Conseil du Trésor.

Annexe A : Critères de vérification

Critère 1 : Les responsabilités relatives au Programme de PCA sont établies, définies et attribuées (NSOPPCA 3.1)

• On a établi un cadre stratégique qui englobe les pratiques exemplaires recommandées dans la norme sur la PCA

Critère 2 : Une structure de gouvernance est en place (NSOPPCA 3.1)

• Un comité directeur fournit une orientation stratégique et assure une surveillance
• La Division de la sécurité intégrée de l'ACIA fournit une orientation et un leadership fonctionnels
• Les directions générales désignent des représentants qui feront partie du groupe de travail sur la PCA et appuient ce dernier
• Les unités opérationnelles connaissent leurs rôles et responsabilités et démontrent une maîtrise des plans et des préparatifs pour la continuité des activités

Critère 3 : L'analyse des répercussions sur les activités a été menée conformément à la NSOPPCA, et la priorité a été accordée aux services essentiels (NSOPPCA 3.2)

• On a déterminé les services que l'ACIA doit offrir
• On a cerné les répercussions des interruptions sur l'ACIA
• On a évalué les services afin de déterminer lesquels risquent de causer un préjudice important aux Canadiens s'ils sont interrompus
• On a dressé la liste des services essentiels par ordre de priorité et précisé les ressources (personnel, entrepreneurs, fournisseurs, renseignements, systèmes et autres biens) qui appuient directement ou indirectement leur prestation, au sein ou à l'extérieur de l'Agence
• La haute direction a approuvé l'analyse des répercussions sur les activités

Critère 4 : Des plans et des préparatifs ont été mis au point pour les services essentiels cernés lors de l'analyse des répercussions sur les activités (NSOPPCA 3.3)

• Au moyen des résultats de l'ARA, l'Agence a déterminé des options de reprise des activités en vue de mettre au point les plans et les préparatifs pour la PCA
• Un financement a été octroyé pour les stratégies de reprise choisies
• Des plans de continuité des activités de GI-TI ont été intégrés aux plans de continuité des activités
• Des plans et des préparatifs ont été mis au point selon les pratiques exemplaires énoncées dans la NSOPPCA du Conseil du Trésor

Critère 5 : L'Agence a mis en œuvre un programme de préparation à la PCA (NSOPPCA 3.4)

• On examine et révise constamment les plans afin de tenir compte des changements
• On met à l'essai et valide régulièrement tous les plans
• L'état de préparation a été démontré lorsqu'on a eu recours aux plans de continuité des activités
• Un cycle de vérification régulier a jeté les bases pour la reddition de comptes au Secrétariat du Conseil du Trésor

Annexe B : Réponse et plan d'action de la direction

Réponse de la direction

En général, des politiques et des procédures de base sont mises en place pour assurer le respect des exigences pertinentes, bien que la direction de la DGGI appuie les constatations globales de la vérification en ce qui a trait au renforcement et à l’actualisation du Programme de PCA. La DGGI s’emploie à améliorer le Programme depuis l’hiver 2012, comme en témoigne le plan opérationnel du Programme de gestion de la continuité des activités (GCA) auquel on fait référence dans le rapport de vérification.