Aux termes des articles 10.1, 10.14 et 10.12.4 de la Politique du gouvernement sur la sécurité (PGS), on
doit assurer la prestation continue des services gouvernementaux selon des exigences sécuritaires de base, une planification
de la continuité des activités, y compris une planification de la continuité de la gestion de l'information (GI) et
de la technologie de l'information (TI) et une gestion continue des risques. La PGS et les normes connexes décrivent
ces exigences sécuritaires de base. Elles se fondent sur une évaluation pangouvernementale des menaces et des risques
et visent à protéger les ressources sur lesquelles le gouvernement compte pour fournir les services : employés, information
et autres biens.
Pour respecter les exigences sécuritaires de base, les ministères doivent établir un programme de planification
de la continuité des activités (PCA) pour permettre la disponibilité continue :
- des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et le bien-être
économique des Canadiens et des Canadiennes ainsi que l'efficacité du gouvernement. La non-disponibilité de ces
biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement.
- de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et
des risques.
Cette norme fournit une orientation et des conseils dont les ministères pourront se servir au moment d'établir leur
programme. Elle est accompagnée de documents techniques qui présentent des suggestions, des exemples, des pratiques
exemplaires et d'autres conseils.
Le Programme de PCA va de pair avec la protection civile qui est prescrite par la loi ou la politique du gouvernement
(par exemple les plans d'évacuation des édifices et en cas d'incendie; les plans d'intervention civils). Il appuie
en outre la planification nécessaire au rétablissement des services autres qu'essentiels et des biens et ressources
connexes; les ministères devraient se servir de ce programme pour planifier les mesures à prendre concernant les services
autres qu'essentiels.
Le Programme de PCA se compose de quatre éléments :
- L'établissement d'une structure de régie pour le Programme de PCA.
- La tenue d'une analyse des répercussions sur les opérations.
- L'élaboration de plans et de préparatifs pour la continuité des activités.
- La mise à jour de l'état de préparation du Programme de PCA.
L'une des activités essentielles de la structure de régie consiste en l'élaboration d'une politique ministérielle
sur le Programme de PCA qui sert à mettre en application les exigences de la PGS à des activités et à des programmes
ministériels nouveaux ou en cours en conformité avec toute loi habilitante ou toutes autres exigences législatives.
Les cadres supérieurs du ministère doivent donc s'engager à réaliser le Programme de PCA, à l'intégrer dans un cadre
de planification stratégique, à assurer la conformité à la politique du gouvernement, à garantir la tenue d'examens
par les spécialistes compétents au sein du ministère (par exemple des spécialistes en droit, en politiques, en finances,
en communications, en gestion de l'information et en ressources humaines), et à nommer des participants. Ces mesures
sont prises habituellement par un comité de la haute direction. Leur soutien est essentiel pour :
- Fournir des conseils et des communications stratégiques.
- Approuver la politique et la structure de régie du Programme de PCA du ministère.
- Affecter les ressources financières et autres.
- Examiner et approuver les services essentiels et les biens afférents relevés.
- Donner suite aux priorités et aux intérêts conflictuels.
- Approuver les plans et les mesures liés à la continuité des activités.
- Garantir la tenue de façon régulière de séances de formation, d'examens, de mises à l'essai et de vérifications.
- Garantir que les activités du Programme de PCA reposent sur des plans de continuité de la TI et de la GI et
d'autres plans de continuité ainsi que sur des préparatifs, s'il y a lieu.
La structure de régie prévoit la nomination d'un coordonnateur ministériel de la PCA chargé :
- d'obtenir l'appui et le financement nécessaires de la haute direction;
- d'élaborer une politique et une structure de régie pour le Programme de PCA ministériel;
- de garantir l'élaboration d'une stratégie pour faire part des activités relatives à la PCA aux membres du personnel
et aux intervenants;
- de mettre sur pied des groupes de travail et de définir leurs rôles et leurs responsabilités;
- de garantir l'achèvement de l'analyse des répercussions sur les opérations ainsi que l'élaboration et la mise
à jour des plans de continuité des activités;
- de garantir que les plans de continuité de la TI, de la GI et autres et les préparatifs sont dûment intégrés
au Programme de PCA;
- de prévoir la tenue régulière de séances de formation, d'examens, de mises à l'essai et de vérifications;
- de faire la liaison avec les autres ministères et agences, si nécessaire, pour effectuer la coordination des PCA;
- de collaborer avec le coordonnateur de la sécurité de la TI pendant tout le processus; et
- d'informer l'Agent de sécurité du ministère (ASM) pendant tout le processus si le coordonnateur ne se rapporte
pas de façon fonctionnelle à l'ASM.
Veuillez noter que conformément à l'article 10.1 de la PGS, l'Agent de sécurité du ministère dirige et coordonne
le programme de sécurité, dans lequel figure la PCA.
Le coordonnateur et les groupes de travail doivent effectuer une analyse des répercussions sur les opérations pour
évaluer l'incidence des interruptions sur le ministère et pour relever les services essentiels et les biens afférents
et les classer par ordre de priorité. Cette analyse est menée en suivant les étapes suivantes :
- Déterminer la nature des activités du ministère (par exemple, son rôle et son mandat) et les services qu'il
doit fournir selon sa loi habilitante ou d'autres exigences législatives, la politique du gouvernement, ses obligations
envers d'autres ministères, les dispositions établies pour les services partagés, les traités, les marchés, les
protocoles d'entente ou d'autres accords conclus. L'analyse doit également faire état des fonctions internes et
externes sur lesquelles les services reposent.
- Déterminer les répercussions directes et indirectes des interruptions sur le ministère, y compris les effets
quantitatifs et qualitatifs.
- Évaluer les services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens
et aux Canadiennes et au gouvernement, s'ils sont interrompus. Il est d'importance capitale de veiller à la reprise
immédiate des activités ou de maintenir un niveau de services minimal jusqu'à ce que tous les services soient rétablis.
- Relever les services essentiels, les classer par ordre de priorité et dresser une liste des ressources (personnel,
entrepreneurs, fournisseurs, information, systèmes et autres biens) qui soutiennent directement ou indirectement
les services au sein et à l'extérieur du ministère. La priorité est établie selon le temps d'arrêt maximal admissible
et le niveau de services minimal requis avant qu'un préjudice élevé ne soit causé. Les services qui doivent toujours
être disponibles, c'est-à-dire pour lesquels une interruption est inacceptable et la reprise immédiate est essentielle,
viennent au premier rang.
- Faire approuver les résultats de l'analyse des répercussions sur les opérations par la haute direction avant
de procéder à l'élaboration des plans de continuité.
D'après les résultats de l'analyse des répercussions sur les opérations, la planification de la continuité des activités
doit comprendre :
- l'élaboration d'options de reprise qui permettront d'établir une stratégie de reprise pour chacun des services
essentiels;
- l'évaluation de chaque option en termes d'interruption possible, de répercussions sur le ministère, d'avantages,
de risques, de faisabilité et de coûts afin de choisir la stratégie la plus pertinente;
- l'obtention de l'approbation de la haute direction pour appuyer et financer certaines stratégies;
- l'élaboration de plans de continuité des activités, y compris des plans de continuité de la TI et de la GI
qui font état :
- des services essentiels, des produits d'information et des dépendances relevés dans l'analyse des répercussions
sur les opérations;
- des stratégies de reprise approuvées;
- des mesures à prendre pour donner suite aux répercussions et aux effets des interruptions sur le ministère;
- des équipes d'intervention et de reprise, y compris la composition des équipes et les coordonnées des membres;
- des rôles, responsabilités et tâches des équipes, y compris des intervenants internes et externes;
- des ressources requises et des procédures à suivre pour la reprise;
- des mécanismes et des procédures de coordination;
- des stratégies de communication;
- l'obtention de l'approbation de la haute direction concernant les plans élaborés;
- l'achèvement des préparatifs pour garantir que les plans peuvent être mis en œuvre et, dans les instances
ou les ministères partage la prestation de services essentiels, des ententes pour s'assurer que les plans de ces
ministères agissent de concert;
- l'organisation de séances d'information et de formation à l'intention du personnel.
Lorsque les plans ont été élaborés, approuvés et prêts à être mis en œuvre, il faut établir un cycle permanent
de mise à jour qui comprend :
- l'examen et la révision continus de tous les plans pour tenir compte de tout changement survenu (lois, services
essentiels, organisation, mandat, gestion, menaces, environnement, intervenants, dépendances, etc.);
- des séances de formation supplémentaires, s'il y a lieu;
- des mises à l'essai et une validation régulières de tous les plans, incluant la préparation d'un rapport des
leçons dégagées après ces mises à l'essai ou lors d'incidents réels (la validation peut consister en un questionnaire,
en une simulation en salle de conférence tout comme en des exercices ministériels ou interministériels en milieu
réel - il revient aux ministères d'en déterminer la fréquence);
- l'élaboration d'un cycle de vérification pour le Programme de PCA qui servira de fondement à l'établissement
des rapports à remettre au Secrétariat du Conseil du Trésor.
Il est reconnu que la Gendarmerie royale du Canada (GRC) et les Forces canadiennes (FC), aux fins de leur programme
respectif de la planification de la continuité des activités, peuvent y inclure des mesures supplémentaires, si nécessaire,
afin d'assurer la protection du personnel et des biens. Cet état de fait est le résultat de leurs responsabilités légales
en ce qui touche la protection des infrastructures critiques durant toute situation de crise.
Pour toute demande de renseignements au sujet du présent instrument de politique, veuillez communiquer avec la Division de la sécurité et gestion de l'identité.
Pour obtenir de l'aide en vue de l'élaboration et du maintien d'un programme PCA, veuillez communiquer avec le service
suivant :
Centre d'Assistance PCA
Sécurité publique Canada
340, avenue Laurier Ouest
Ottawa (Ontario) K1A 0P8
Téléphone : 613-949-6522
Courriel : PCA.Assistance@sp-ps.gc.ca
Site web de Sécurité publique Canada :
http://www.securitepublique.gc.ca/index-fra.aspx