Audit de la sécurité matérielle - sommaire du rapport
1er mai 2018
Table des matières
Contexte
Affaires mondiales Canada (AMC) remplit ses fonctions dans des milieux complexes et difficiles sur le plan de la sécurité. Dans son Plan de sécurité ministériel de 2017-2018, AMC place la sécurité opérationnelle et matérielle à l’étranger au cœur de ses priorités. Le Ministère gère un réseau de 179 missions canadiennes dans 109 pays et héberge 37 organisations partenaires dans les missions, notamment des ministères et organismes fédéraux et des cooccupants. À l’échelle nationale, AMC dispose de douze installations de l’Administration centrale (AC) dans la région de la capitale nationale et de cinq bureaux régionaux dans l’ensemble du Canada. En vertu de la Politique sur la sécurité du gouvernement du Conseil du Trésor, il incombe à AMC d’organiser et de coordonner la sécurité physique des employés du gouvernement du Canada et la sécurité matérielle des biens gouvernementaux qu’abritent les missions diplomatiques et les consulats du Canada à l’étranger.
En se fondant sur ces renseignements, l’équipe d’audit a effectué une analyse préliminaire ainsi qu’une évaluation des risques, et a déterminé qu’un audit de la sécurité matérielle constituerait un domaine d’examen pertinent et approprié. Le Ministère utilise les instruments de politique du Conseil du Trésor pour examiner ces risques, dont la Norme opérationnelle sur la sécurité matérielle. L’équipe d’audit a également examiné les lignes directrices et les pratiques exemplaires en matière de sécurité matérielle. Celles-ci incluent les lignes directrices de la sécurité matérielle élaborées par la Gendarmerie royale du Canada et certains principes et lignes directrices d’ASIS International, une communauté mondiale de praticiens de la sécurité, pour la protection des biens, des personnes, de l’immobilier ou des renseignements.
Objectif
L’audit vise à fournir une assurance raisonnable qu’Affaires mondiales Canada a mis en place un cadre de contrôle complet et approprié en ce qui a trait à la gestion de la sécurité matérielle pour appuyer les priorités ministérielles liées à la sécurité, conformément aux politiques, aux directives et aux normes opérationnelles pertinentes du Conseil du Trésor en matière de sécurité matérielle. L’audit comprenait une évaluation des domaines suivants au Canada et dans les missions :
- Rôles, responsabilités et reddition de comptes liés à la sécurité matérielle
- Processus et pratiques de gestion du risque en matière de sécurité matérielle
- Normes et plans opérationnels en matière de sécurité matérielle
- Barrières physiques et accès aux installations, aux renseignements et aux biens
- Pratiques de suivi et de reddition de comptes en matière de sécurité matérielle
Portée
L’audit a permis d’évaluer la fonction de la sécurité matérielle du Ministère pour les exercices 2015‑2016 et 2016-2017 ainsi que pour la période du 1er avril 2017 au 31 janvier 2018. Pendant cette même période, le Bureau du vérificateur général (BVG) procédait également à un audit de la sécurité matérielle. Le BGV collabore autant que possible avec le Bureau du dirigeant principal de l’audit d’Affaires mondiales Canada afin de tirer parti du travail accompli jusqu’à maintenant et de réduire les chevauchements. De plus, la Direction de l’évaluation du Bureau de l’inspecteur général d’AMC a procédé à une évaluation de la sécurité des missions qui a été présentée en 2016. Cet audit ne traite pas des éléments de l’évaluation qui ont pour but de réduire la duplication du travail.
L’équipe d’audit a examiné les documents, mené des entrevues avec les représentants ministériels et évalué la sécurité des locaux à l’AC et dans les missions. Plus spécifiquement, elle a mené plus de 70 entrevues collectives et individuelles auprès des employés qui s’investissent dans la sécurité matérielle à l’AC et dans les missions. Elle a visité les missions à l’étranger. Elle a aussi tiré profit des audits effectués par d’autres équipes internes dans quatre missions. Finalement, l’équipe d’audit a effectué du travail à partir de l’AC pour deux missions.
Points forts observés
Les points forts du Ministère observés lors de l’audit sont présentés ci-dessous.
- La mise en place d’une structure de gouvernance afin de hiérarchiser les projets de sécurité.
- Les évaluations de la vulnérabilité propres au site pour déterminer les risques en matière de sécurité matérielle, à la fois dans les emplacements nationaux et les missions à l’étranger.
- L’établissement d’une série de normes de sécurité matérielle pour assurer la protection de l’information, des biens et des services ministériels lors de la conception, le déploiement ou l’amélioration de mesures de sécurité matérielle à l’étranger.
- L’élaboration et la mise en œuvre des plans d’urgence des missions et des consignes permanentes de sécurité locale qui reflètent bien le contexte actuel de la menace.
- La création de systèmes pour faire le suivi des incidents de sécurité et pour recueillir et analyser les renseignements sur la sécurité.
Constatations
En se fondant sur un ensemble d’éléments de preuve recueillis grâce à l’examen de documents, aux analyses, aux entrevues et à la révision des processus, l’équipe d’audit a évalué chaque critère d’audit. Lorsqu’un écart important a été observé entre un critère et les pratiques courantes, le risque associé à cet écart a été évalué afin d’élaborer une conclusion et de formuler cinq (5) recommandations en vue d’apporter des améliorations.
Les observations ont été faites et des recommandations ont été formulées dans les domaines suivants au cours de l’audit :
- structure de gouvernance et processus de surveillance
- rôle et responsabilités
- mise en œuvre de mesures de sécurité matérielle
- surveillance et établissement de rapports
Conclusion
L’équipe d’audit conclut qu’Affaires mondiales Canada a mis en place un cadre de contrôle approprié et complet en ce qui a trait à la gestion de la sécurité matérielle pour appuyer les priorités ministérielles en matière de sécurité, qui est généralement conforme aux politiques aux directives et aux normes opérationnelles pertinentes du Conseil du Trésor liées à la sécurité matérielle.
Les points à améliorer sont axés sur une coordination et une communication plus efficaces entre tous les principaux intervenants afin d’intégrer complètement les enjeux de sécurité dans le processus de planification, de sélection, de conception, de modification, de construction, d’application, d’exploitation et d’entretien des installations et de l’équipement.
Énoncé de conformité
Selon mon jugement professionnel à titre de dirigeant principal de l’audit, cette audit a été effectuée conformément aux Normes internationales pour la pratique professionnelle de l’audit interne de l’Institut des auditeurs internes de même qu’à la politique et à la directive du Conseil du Trésor sur l’audit interne, comme en témoignent les résultats du programme d’assurance et d’amélioration de la qualité. Les procédés d’audit appliqués et les éléments de preuve recueillis sont suffisants et appropriés pour appuyer l’exactitude des constatations ainsi que la conclusion formulée dans le présent rapport, et pour fournir le niveau d’assurance que procure un audit. Les constatations et la conclusion reposent sur une comparaison entre les conditions qui existaient au moment de l’audit et les critères d’audit préétablis convenus avec la direction. Elles s’appliquent uniquement à l’entité examinée ainsi qu’à la portée et à la période visée par l’audit.
| CRITÈRES | SOUS-CRITÈRES |
|---|---|
1. Les rôles, les responsabilités et la reddition de comptes liés à la sécurité matérielle sont clairement définis et communiqués. | 1.1 Les comités de supervision principaux ont mis en place un processus décisionnel efficace. |
1.2 Les processus, les rôles, les responsabilités, et la reddition de comptes liés à la fonction de sécurité matérielle du Ministère sont clairement définis, communiqués et respectés. | |
2. Des évaluations du risque sont effectuées et des stratégies et des processus d’atténuation adéquats sont en place pour appuyer les décisions du Ministère au chapitre des investissements en sécurité matérielle. | 2.1 Des évaluations de la menace et du risque (EMR) sont effectuées pour déterminer les risques à la sécurité matérielle pour chaque endroit précis, au pays et à l’étranger, et des mesures d’atténuation sont élaborées en conséquence. |
2.2 Les résultats de l’évaluation du risque permettent d’appuyer la hiérarchisation des priorités dans les projets d’investissements en sécurité matérielle. | |
3. Un cadre de sécurité matérielle est mis en place pour appuyer les priorités ministérielles en matière de sécurité matérielle. | 3.1 Des plans de sécurité propres à l’AC et aux missions qui reflètent bien le contexte actuel de la menace ont été élaborés et mis en œuvre. |
3.2 Des normes opérationnelles de sécurité matérielle complètes et appropriées sont mises en place pour appuyer les stratégies ministérielles en matière de sécurité matérielle. | |
3.3 Des procédures opérationnelles complètes et appropriées sont en place dans les missions et au Canada. | |
3.4 Des stratégies de sécurité matérielle sont élaborées en tenant compte des coûts par rapport aux facteurs de risque. | |
4. Des mesures ou des stratégies de sécurité matérielle sont mises en œuvre à des fins de protection, de détection et d’intervention en cas d’évènement indésirable, tant au Canada que dans les missions. | 4.1 Les biens protégés et classifiés sont conservés en lieu sûr en fonction d’une hiérarchie de zones clairement reconnaissable. |
4.2 Les biens, les dossiers, l’équipement de TI et les renseignements sont protégés contre l’accès, la divulgation, la modification ou la destruction non autorisée. | |
4.3 Des procédures et des contrôles sont mis en place pour garantir la mise en œuvre appropriée des contrats des gardiens de sécurité. | |
5. Les activités de sécurité matérielle, notamment les évènements, les incidents et les principales dépenses des initiatives, sont analysées et font l’objet de suivis et de rapports. | 5.1 Les évènements et les situations (incidents) qui ont lieu au Canada et dans les missions font l’objet d’un suivi, d’une collecte de renseignements, d’une analyse, d’une enquête et d’un rapport à la haute direction. |
5.2 Les renseignements concernant les activités liées à la sécurité matérielle, les initiatives dans le cadre des plans d’investissement immobilier ainsi que les autres initiatives majeures sont recueillis, analysés et consignés. |
