Affaires étrangères, Commerce et Développement Canada
Symbole du gouvernement du Canada

Affaires étrangères, Commerce et Développement Canada

international.gc.ca

Document archivé

L'information archivée sur le Web est disponible à des fins de consultation, de recherche ou de tenue de dossiers seulement. Elle n’a été ni modifiée ni mise à jour depuis sa date d’archivage. Les pages archivées sur le Web ne sont pas assujetties aux normes Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un format de rechange en communiquant avec nous.

Vérification de la sécurité

(Juin 2000)

Résumé

Introduction

Contexte

En juillet 1998, le Comité de la vérification et de l'évaluation du Ministère a chargé la Vérification interne d'effectuer une vérification de la sécurité. L'exercice a porté sur la sécurité de l'information, du personnel et des biens à l'Administration centrale (AC) et dans les missions. Une étude préliminaire a été effectuée à l'automne de 1998 et un rapport a été présenté à un comité directeur créé dans le but d'examiner les résultats et de recommander une vérification plus poussée.

Portée et objectifs de la vérification

La vérification a porté sur les activités effectuées à l'AC et à l'étranger, qui conduisent à l'adoption de mesures de sécurité pour protéger les renseignements, les personnes et les biens.

En voici les objectifs :

  1. examiner le processus de la gestion des risques pour la sécurité;
  2. identifier les responsabilités et l'obligation de rendre compte pour la gestion efficace du processus;
  3. déterminer les coûts de la sécurité et où ils s'appliquent, la manière dont les dépenses sont gérées et le lien entre la responsabilisation budgétaire et le processus décisionnel.

Conclusions de l'étude préliminaire

L'étude préliminaire a soulevé *** principaux sujets de préoccupations:

***

Discussions et conclusions du comité directeur

Le comité directeur a discuté de l'étude préliminaire et a soulevé un certain nombre d'autres sujets de préoccupations, dont :

  • les difficultés à propos du processus décisionnel actuel relativement à la sécurité;
  • le besoin de déterminer qui doit avoir la responsabilité des décisions en matière de sécurité;
  • la nécessité de déterminer qui possède actuellement le pouvoir de financement et quels changements doivent être apportés;
  • ***
  • la nécessité de comprendre les évaluations de la menace et du risque (EMR) et d'en faire un usage efficace;
  • ***
  • les problèmes liés aux 'modèles de coûts' de sécurité;
  • quelles futures questions relatives à la sécurité dont il faut tenir compte.

Le comité directeur a conclu qu'une vérification plus poussée était nécessaire pour répondre à ces préoccupations et pour appuyer les résultats du sondage préliminaire.

Contexte de la sécurité au MAECI

Les éléments suivants résument les principales données financières et les données de référence de la gestion utilisées pour définir et analyser le contexte dans lequel le MAECI gère les responsabilités en matière de sécurité.

Coûts de la sécurité

Les coûts de la sécurité du Ministère *** donne une certaine idée des dépenses de sécurité par rapport à l'ensemble des dépenses du Ministère.

État des coûts de la sécurité :

***

Plus de détails ainsi qu'une analyse de ces coûts se trouvent à l'annexe A du présent rapport.

Politique gouvernementale en matière de sécurité du Conseil du Trésor

La Politique gouvernementale en matière de sécurité (PGS) constitue l'une des principales références de gestion de la sécurité. *** La PGS détermine les exigences en matière de politique pour la gestion des risques concernant la sécurité, et charge le MAECI de protéger les renseignements et les biens de nature délicate qui relèvent de son contrôle, au Canada et dans ses missions diplomatiques et consulaires, ou entre ces dernières.

L'initiative de la fonction de contrôleur au gouvernement

Au cours des dernières années, le gouvernement a accordé une plus grande importance à l'initiative de la fonction de contrôleur. Les principaux éléments de cette fonction se trouvent dans un récent document « Le rapport du groupe sur la modernisation de la fonction de contrôleur au gouvernement du Canada » qui stipule que :

« La fonction de contrôleur moderne consiste à assurer (entre autres) que soit créé et soutenu un environnement bien établi de gestion des risques et que les systèmes de contrôle répondent aux besoins et aux risques inhérents à la gestion ».

Le même énoncé peut s'appliquer à la gestion des risque pour la sécurité. Ce qui importe, c'est :

« ...la création d'un environnement qui permet de courir des risques et d'en assumer les conséquences dans un cadre établi de délégation,... ».

Présentation faite par ISD au Comité exécutif en janvier 1999

En janvier 1999, la Direction de la sécurité physique et de la protection du personnel (ISR) relevant d'ISD a présenté un document au Comité exécutif sur la gestion de la sécurité dans les missions. Ce document comprenait les principes directeurs suivants :

  • ***établie sur un modèle amélioré de l'lévaluation de la menace et du risque (EMR)***
  • « la haute direction et les chefs de mission doivent être tenus responsables du maintien des mesures de sécurité requises »;
  • « la Direction générale de la sécurité et du renseignement (ISD) doit améliorer le processus de consultation avec les directions générales afin d'identifier et d'examiner les menaces et les risques auxquels font face les missions, pour assurer la gestion la plus efficace des décisions concernant la protection de la sécurité, y compris celles portant sur les ressources ».

L'équipe de vérification appuie ces principes directeurs et estime que les résultats, les conclusions et les recommandations de la vérification sont compatibles avec ces principes.

Conclusions générales de la vérification

Voici les conclusions générales de la vérification :

  1. La gestion efficace de la sécurité exige l'engagement proactif des gestionnaires de programmes qui travaillent avec les spécialistes de la sécurité, de l'informatique et des biens. Même si tous ces groupes sont appelés à donner leur avis, l'un d'entre eux doit être désigné comme étant responsable des décisions prises.
  2. Le besoin de mesures de sécurité découle des décisions opérationnelles ou est dicté par celles-ci. ***
  3. Le principe du « paiement par l'utilisateur » impose une discipline aux utilisateurs des biens du Ministère en les rendant responsables du financement. *** Les missions assument certains coûts de sécurité liés à leurs décisions, mais d'autres coûts incombent à divers groupes à l'Administration centrale.
  4. ***
  5. Il existe des options aux pratiques actuelles de gestion des ressources consacrées à la sécurité, mais elles ne sont pas simples et il faudra redéfinir les rôles et les responsabilités des gestionnaires fonctionnels et des programmes des missions.
  6. Dans les cas où le principe du « paiement par l'utilisateur » n'est pas approprié, une fonction de remise en question doit veiller à ce que les mesures de protection choisies pour limiter les risques à la sécurité soient assujetties à une analyse coût-efficacité. ***
  7. ***

Recommandations

Les recommandations principales de la vérification porte sur la responsabilité et la gestion des ressources et s'adressent au Comité exécutif du Ministère. Ces recommandations principales, de même que des recommandations secondaires plus détaillées sont présentées ci-dessous.

1ère recommandation principale

***

2e recommandation principale

Confirmer que la Direction générale de la sécurité et du renseignement (ISD) est responsable de l'élaboration des politiques de sécurité du Ministère dans un contexte international en évolution, ***, mais que ISD ne conserve aucune responsabilité de fonctionnement ni aucun financement connexe, ce qui aurait tendance à enfreindre le principe du « paiement par l'utilisateur », sauf pour le financement des stocks.

Recommandations secondaires détaillées

2.1 Évoquer le principe du « paiement par l'utilisateur » en ce qui a trait à la responsabilité du financement pour les dépenses ***.

2.2 Charger ISD :

  • d'élaborer et de formuler les politiques et les normes relatives à la sécurité pour les renseignements, le personnel et les biens;
  • ***
  • de préparer des options chiffrées pour les mesures de protection;
  • de documenter l'adhésion et l'approbation des DG géographiques et des chefs de mission pour les options de sécurité choisies.

2.3 Assigner à ISD la responsabilité d'élaborer et de mener une approche révisée pour les évaluations de la menace et du risque qui :

  • fasse participer les gestionnaires de programmes à l'AC et dans les missions aux évaluations de programmes et de systèmes de soutien ainsi qu'à celles propres à une installation;
  • comprenne l'élaboration de solutions rentables de gestion des risques.

2.4 Établir un forum sur les priorités des programmes (gestionnaires de programmes du MAECI et des autres ministères), présidé par ISD, pour tenir régulièrement des discussions sur l'évolution des besoins quant aux sensibilités, aux menaces, aux vulnérabilités, aux risques et aux mesures de protection ayant trait à la sécurité, particulièrement en ce qui concerne les programmes exécutés dans les missions.

2.5 Établir, mettre en oeuvre et surveiller les normes de service pour les activités de soutien d'ISD concernant la sécurité du Ministère, allant de l'élaboration des politiques et des normes à l'évaluation de la menace et du risque, les visites d'inspection et les dispositions relatives à l'équipement de sécurité.

2.6 Préparer un recueil des meilleures pratiques de ISD à des fins de référence lors d'un rapprochement des vulnérabilités et menaces en matière de sécurité et des besoins de mesures de protection.

2.7 Élaborer, confirmer et mettre en oeuvre des cadres d'obligation de rendre compte de la gestion pour les processus décisionnels permanents liés à la sécurité tels que :

  • la vérification approfondie de la fiabilité des employés recrutés sur place (ERP);
  • les inspections de sécurité des missions;
  • la location et la construction des chancelleries;
  • la conception et l'élaboration de ***.

2.8 Mettre en oeuvre l'une des options suivantes :

a) Fournir aux missions le financement pour le coût des traitements et indemnités des gardes de sécurité militaires (GSM). Tenir les chefs de mission responsables de toutes les décisions relatives aux gardes de sécurité, alors que ISD assume le rôle fonctionnel de fournir des conseils, de surveiller et de faire rapport aux autorités supérieures lors de différences d'opinions. (Option privilégiée.)

Ou,

b) Assigner à ISD l'entière responsabilité et l'obligation de rendre compte pour définir les exigences de toutes les missions en ce qui a trait aux gardes de sécurité (GSM, ERP et contractuels) et les satisfaire, et attribuer les fonds nécessaires, y compris pour les logements, à ISD.

2.9 Fournir à ISD une base de stocks suffisante pour lui permettre d'acheter et d'entreposer l'équipement de sécurité essentiel qui peut être nécessaire pour répondre aux exigences de sécurité des missions et de l'AC à court terme ou au moment opportun, mais imputer aux missions le coût de tous les articles en stock qui leur sont fournis.

2.10 Lorsque des véhicules blindés sont fournis, le financement des coûts opérationnels locaux doit être examiné afin de veiller à ce que le soutien approprié soit fourni pour que ces véhicules conservent leur disponibilité opérationnelle. ISD doit fournir les conditions dans lesquelles ces véhicules sont achetés de même que les exigences minimales d'entretien. Les directions géographiques et les missions doivent recevoir le financement nécessaire pour respecter le principe du « paiement par l'utilisateur ».

2.11 Établir des politiques, des lignes directrices et des pratiques d'acquisition et de distribution des biens qui appliquent le principe du « paiement par l'utilisateur », et qui sont conformes aux prochaines politiques et pratiques de la comptabilité d'exercice. En même temps, mettre en place un système de prêt qui permette à ISD d'avoir des stocks suffisants d'équipement clé servant à la protection des biens et qui fournisse aux utilisateurs les moyens de payer cet équipement lorsqu'il est obtenu d'ISD.

2.12 Définir le matériel et l'équipement de protection des biens, et le financement connexe, pour lequel ISD sera tenu responsable.

2.13 Confirmer que le rôle d'ISD est celui d'acheteur, d'entreposeur et de fournisseur de matériel et d'équipement destinés à la protection des biens, mais que les frais engagés pour satisfaire les besoins de l'utilisateur sont assumés par l'unité/la mission concernée. Cette option a pour but d'encourager une discussion sur la gestion rentable des risques entre les utilisateurs et les spécialistes de la sécurité.

2.14 Réunir à l'AC la gestion des émetteurs-récepteurs portatifs afin de maximiser la fonction de service tout en réduisant les coûts.

3e recommandation principale

***

Recommandations secondaires détaillées

***

4e recommandation principale

Confirmer que, tandis que la Direction générale des biens (SRD) est responsable de la gestion des locations et des constructions importantes de chancelleries, les directions générales géographiques et de programmes ou les autres ministères, selon le cas, sont responsables de l'approbation officielle du financement de SRD nécessaire pour satisfaire aux besoins des programmes et des missions. Cette confirmation est indispensable pour que non seulement les configurations minimales des installations établies selon les normes d'ISD sont mises en oeuvre, mais aussi que tous les besoins de programmes spéciaux sont dûment autorisés.

Recommandations secondaires détaillées

4.1 Assigner la responsabilité des décisions qui influent sur les besoins de sécurité pour ***, le personnel et la construction d'immeubles à ceux dont les décisions opérationnelles dictent les exigences en matière de sécurité.

4.2 Assigner les responsabilités de financement pour les mesures de protection des biens de la mission, à la mission, à SRD ou à ISD. Cette mesure vise à dissocier les responsabilités de financement pour les initiatives en matière de sécurité dans tout le Ministère des responsabilités permanentes de maintien de la sécurité, à la fois à l'AC et dans les missions. L'initiative de mise à jour du Système international de commutation de circuits de données (SICCD) est un exemple d'initiative en matière de sécurité du Ministère, financée centralement par ISD. Toutefois, l'ajout du SICCD à une nouvelle chancellerie est financé par SRD en tant qu'élément du projet de construction ou de location.

4.3 Harmoniser l'obligation de rendre compte des mesures de protection des biens avec les responsables du financement pour que les bénéficiaires du matériel acceptent les mesures de protection choisies.

4.4 Élaborer des politiques comptables pour l'équipement et le matériel de protection des biens qui répondent aux besoins futurs de la comptabilité d'exercice et de la fonction de contrôleur.

5e recommandation principale

Mettre en place pour tout le personnel de l'AC et des missions des programmes obligatoires de sensibilisation et de formation en matière de sécurité, y compris des tests périodiques de compétence requis pour certains postes.

Recommandations secondaires détaillées

5.1 Élargir la couverture et le contenu des programmes actuels d'ISDT portant sur la sensibilisation et la formation en matière de sécurité, pour tout le personnel de l'AC et des missions. Rendre obligatoire la participation pour certains postes. Axer la formation sur les responsabilités concernant les mesures de protection et l'obligation d'en rendre compte, lors de la conception, de l'élaboration, de la mise en oeuvre et de la gestion des opérations de programmes, des systèmes de soutien et de l'utilisation des renseignements et des biens.

5.2 Demander à ISD de soumettre à des tests de compétence, les titulaires de postes désignés ***.

Annexe A - Conclusions détaillées

Politiques et cadre de réglementation

Cette partie du rapport fournit des détails sur les points de référence de la gestion des risques pour la sécurité, nos conclusions sur la responsabilité des décisions relatives à la gestion des risques pour la sécurité et nos conclusions générales en ce qui a trait aux décisions relatives à la gestion des ressources de sécurité.

Nous avons recueilli des données sur les coûts des différentes catégories d'activités liées à la sécurité au sein du Ministère, y compris ceux engagés à l'étranger. Les pratiques existantes sur la manière de décider qui doit assumer les dépenses font l'objet de discussions, de même que les options, s'il y a lieu.

Références concernant les politiques en matière de sécurité et la gestion des risques

1. Politique gouvernementale en matière de sécurité du Conseil du Trésor

La Politique gouvernementale en matière de sécurité (PGS), comme référence principale pour la gestion de la sécurité, constitue un excellent guide pour élaborer les recommandations liées à cette vérification.

L'objectif principal de la PGS est : *** De plus, la PGS définit la gestion des risques pour la sécurité en fonction des principales tâches suivantes :

  • analyser et évaluer la menace et le risque auxquels sont exposés les renseignements et les biens de nature délicate;
  • choisir parmi les options cherchant à éviter les risques;
  • mettre en oeuvre des mesures de protection rentables.

L'allusion à « des mesures de protection adéquates », à « des options cherchant à éviter les risques » et à « la mise en oeuvre de mesures de protection rentables » indique que la gestion des risques pour la sécurité n'est pas rigide, mais qu'il faut équilibrer les risques et les coûts.

La PGS assigne aussi sept responsabilités principales au MAECI, dont quatre sont directement liées à ce projet, comme suit :

a) prendre toutes les mesures visant à protéger des renseignements et des biens de nature délicate, placés sous son contrôle au Canada et dans ses missions diplomatiques et consulaires, ainsi qu'entre elles;

b) effectuer ou organiser l'inspection des mesures susmentionnées;

c) fournir des conseils à propos des menaces qui pèsent sur les renseignements et les biens de nature délicate à l'extérieur du Canada, s'il y a lieu;

d) protéger les employés canadiens et à leurs personnes à charge dans les missions et les employés recrutés sur place lorsqu'ils travaillent à la mission.

Les références de la PGS susmentionnées fournissent une orientation suffisante pour permettre à la vérification d'évaluer la situation actuelle et d'élaborer un meilleur cadre de gestion des risques pour la sécurité, au MAECI. Par conséquent, la vérification traitera des exigences et des responsabilités en matière de sécurité des autres ministères fédéraux qui opèrent des programmes dans les missions, en même temps que nos propres responsabilités en matière de sécurité.

2. L'initiative de la fonction de contrôleur au gouvernement

Au cours des dernières années, le gouvernement a accordé une plus grande importance à l'initiative de la fonction de contrôleur. Les principaux éléments de cette fonction se trouvent dans les documents publiés par le Conseil du Trésor. Deux de ces éléments sont la gestion des risques et les systèmes de contrôle. De plus, en 1994, le rapport du Bureau du vérificateur général (BVG) sur le MAECI faisait mention de la nécessité de gérer les risques et de comprendre les répercussions financières des décisions avant de prendre celles-ci.

Comme c'est le cas dans plusieurs initiatives récentes de gestion, le besoin de faire concorder la responsabilité des décisions avec les responsables des programmes et le pouvoir financier est constamment mis en évidence. Cependant, les conditions qui permettent ce rapprochement doivent être en place. Le rapport du groupe sur la modernisation de la fonction de contrôleur au gouvernement du Canada stipule que « la fonction de contrôleur moderne consiste à assurer (entre autres) que soit créé et soutenu un environnement bien établi de gestion des risques et que les systèmes de contrôle répondent aux besoins et aux risques inhérents à la gestion ». Ceci, bien sûr, comprend la gestion des risques pour la sécurité.

Ceux qui bénéficient ou qui ont besoin de mesures de protection doivent pouvoir communiquer leur point de vue sur la pertinence des mesures de protection proposées. Ils doivent aussi être chargés d'équilibrer le niveau des risques et les coûts des mesures de protection nécessaires, ainsi que de justifier l'option acceptée.

Il existe deux types de risques. Le premier est la gestion préventive des risques qui consiste à équilibrer les risques initiaux auxquels sont exposés nos renseignements, nos gens et nos biens et les coûts de protéger ces biens. Le deuxième est la gestion corrective des risques qui consiste à équilibrer les efforts et les coûts de mise en place de mesures de protection préventives par opposition à la gestion des efforts et des coûts de mise en place de mesures correctives dans le cas où nos biens seraient compromis.

La solution est « ... de créer un environnement qui permet de courir des risques et d'en assumer les conséquences dans un cadre établi de délégation... ». Un cadre établi destiné au processus décisionnel de la gestion des risques pour la sécurité est nécessaire afin d'apporter les changements requis au MAECI.

3. Présentation faite par ISD au Comité exécutif en janvier 1999

En janvier 1999, la Direction de la sécurité physique et de la protection du personnel (ISR) relevant d'ISD a présenté un document au Comité exécutif sur la gestion de la sécurité dans les missions. Ce document comprenait les principes directeurs suivants :

  • *** établie sur un modèle amélioré de l'évaluation de la menace et du risque »;
  • « la haute direction et les chefs de mission doivent être tenus responsables du maintien des mesures de sécurité requises »;
  • « la Direction générale de la sécurité et du renseignement (ISD) doit améliorer le processus de consultation avec les directions générales afin d'identifier et d'examiner les menaces et les risques auxquels font face les missions, pour assurer la gestion la plus efficace des décisions concernant la protection de la sécurité ».

4. Proposition d'un cadre de responsabilité pour la gestion des risques

Les pratiques de vérification exigent normalement l'élaboration de critères d'évaluation de l'activité concernée, de points de repère et/ou de références à partir desquels l'activité est évaluée. Cependant, la gestion de la sécurité dans un milieu gouvernemental international restreint l'utilisation des pratiques habituelles pour cette vérification particulière. *** Le MAECI doit établir son propre cadre de gestion de la sécurité en fonction de sa propre philosophie de gestion et de l'intérêt de ces programmes.

Quelles que soient les variables dans les priorités des programmes, l'établissement d'un cadre à partir duquel les décisions de gestion de la sécurité peuvent être prises et l'obligation de rendre compte peuvent être formulée implique les processus clés suivants :

  • définir les sensibilités, les menaces, les vulnérabilités et les risques concernant l'intégrité des programmes;
  • obtenir et analyser les renseignements en matière de sécurité, pertinents aux programmes communs et propres à une installation;
  • définir les options de mesures de protection pour l'intégrité des programmes;
  • définir les différentes options de réduction des risques pour la sécurité et en établir les coûts;
  • choisir et approuver des mesures de protection rentables;
  • assigner des responsabilités de financement correspondant à la responsabilité en matière de sécurité;
  • mettre en oeuvre les mesures de protection ;
  • examiner l'efficacité des mesures adoptées et les rajuster, s'il y a lieu.

Le cadre présenté ci-dessus a servi de guide à l'examen et à l'évaluation de la gestion de la sécurité en place au MAECI. Cependant, le cadre lui-même doit être présenté et accepté comme fondement de la gestion de la sécurité au Ministère.

Obligation de rendre compte

Obligation de rendre compte de la gestion des risques pour la sécurité

L'examen des processus de gestion concernant la gestion des risques pour la sécurité a révélé divers cas et processus où l'obligation de rendre compte était mal appliquée ou absente (voir les annexes B et C).

Dans différentes situations, la responsabilité du processus décisionnel en matière de sécurité a été assumée par les personnes ayant le mandat de définir les politiques en matière de sécurité ou de surveiller l'existence d'un environnement sécuritaire dans les missions, ou on a considéré que c'était leur responsabilité. Ceux qui demandent des mesures de protection pour leurs programmes, leurs renseignements, leur personnel et leurs biens, d'une manière générale, n'ont pas été chargés de cette responsabilité.

L'obligation de rendre compte de l'élaboration des politiques sur la sécurité, de l'interprétation de ces politiques et de la surveillance de la mise en oeuvre ou du maintien des mesures de protection est habituellement reconnue comme étant la responsabilité d'ISD, par l'intermédiaire d'ISC et d'ISR. Toutefois, la crédibilité associée à de telles fonctions est contestée.

L'obligation de rendre compte n'est cependant pas bien définie pour les tâches suivantes de gestion des risques pour la sécurité :

  • Qui choisit (présente/définit) les options qui pourraient être mises en oeuvre pour éviter les risques?
  • Qui décide quelle est la solution la plus rentable et la fait adopter par l'organisme?
  • Qui se prononce sur la pertinence des mesures de protection?
  • Qui accepte la responsabilité de présenter et de justifier les mesures de protection optionnelles choisies (pour les décisions relatives aux ressources) à la haute direction?

Les cas étudiés et les processus examinés au cours de cette vérification indiquent un manque réel d'obligation de rendre compte en matière de prise de décisions quant à la gestion des risques pour la sécurité de la part de ceux qui gèrent les programmes à l'étranger.

Évaluation des menaces, des vulnérabilités et des risques visant la sécurité

Les entrevues, les anecdotes et le mandat initial du Comité de la vérification et de l'évaluation du Ministère donnent l'impression que les solutions de sécurité mises en place sont excessives et coûteuses.

Afin de démontrer que les services de sécurité favorisent la réalisation des objectifs des programmes et d'éviter l'imposition de contrôles inutiles et coûteux, il faudrait que les gestionnaires de programmes discutent de ces questions avec les spécialistes de la sécurité. Ces discussions doivent porter sur les sensibilités, les vulnérabilités et les risques visant les programmes, les renseignements, le personnel et les biens. Par exemple : quelle est leur nature? sont-ils guidés par les événements (donc temporaires) ou permanents? Des évaluations et des discussions sur les options disponibles permettant de réduire de tels risques doivent s'ensuivre. Enfin, des mesures de protection appropriées doivent être choisies.

Ceux qui ont été concernés par les solutions mises en place, ont contesté la pertinence de ces solutions, perçues comme ayant été imposées. Les gestionnaires des programmes dans les missions et certains gestionnaires des programmes fonctionnels qui sont chargés actuellement du financement de ces solutions ont exprimé leurs frustrations.

On a remis en question la manière dont ces solutions sont élaborées. Une des principales préoccupations est de savoir qui a le pouvoir de décider quelles sont les mesures de protection nécessaires pour réduire les menaces, les vulnérabilités et les risques concernés.

Le manque d'options à propos de ce qui a été proposé constitue un autre point de conflit. La crédibilité, non la valeur, de la fonction de sécurité est en cause. Ainsi, la responsabilité de définir les mesures de protection nécessaires a été considérée comme étant celle des spécialistes de la sécurité ou des spécialistes fonctionnels chargés de mettre en place la solution, et non pas celles des personnes chargées de la prestation des programmes dans les missions et à l'AC, c'est-à-dire les personnes même qui demandent les mesures de protection.

L'élément absent dans cette équation est l'acceptation de la responsabilité pour les décisions qui résultent des discussions entre les intervenants. Si les spécialistes de la sécurité collaborent avec les gestionnaires de programmes concernés pour déterminer les problèmes de sécurité existants et les mesures de protection disponibles, le choix des mesures de protection peut alors être effectué par les personnes touchées par la décision et non par celles qui définissent les options ou qui financent actuellement les solutions.

Obligation de rendre compte du financement des mesures de protection

Les pratiques actuelles du Ministère donnent l'impression de mesures imposées par les spécialistes de la sécurité, impression renforcée par les mécanismes de financement utilisés pour la mise en place de ces mesures.

Actuellement, le financement de plusieurs mesures de sécurité au Ministère est géré par les personnes qui choisissent les mesures proposées, ce qui décharge les gestionnaires responsables de l'exécution des programmes de la responsabilité de justifier leur choix de mesures de protection. Dans certains cas, ce sont des spécialistes du Ministère en technologies de l'information (TI) et en biens immobiliers qui ont mis en place et financé les mesures de protection pour les renseignements, le personnel et les biens. Cependant, nous nous attendons aussi à ce qu'ils justifient les coûts ce qui devient problématique puisqu'ils ont peu ou pas participé à la détermination des risques pour lesquels une protection est recherchée. Les gestionnaires de programmes qui demandent des mesures de protection n'ont pas eu à rendre compte du financement nécessaire, pas plus qu'ils n'ont eu à le justifier. Puisqu'ils n'ont pas financé les mesures de protection, ils n'ont pas eu à les justifier, même s'ils en ont bénéficié directement.

De nombreuses situations existent où les gestionnaires responsables de l'exécution des programmes ne sont pas tenus de rendre compte du financement des mesures de protection connexes, pas plus qu'il n'y a de remise en question des mesures de protection choisies et des coûts encourus, par des sources indépendantes. L'annexe B fournit des exemples de ce genre de situation. Par conséquent, les gestionnaires ont tendance à croire que les mesures de protection sont imposées et qu'elles ne sont pas nécessairement rentables par rapport aux risques et aux vulnérabilités auxquels font face les programmes exécutés au sein de leur organisation.

En pratique, lorsque les spécialistes de la sécurité définissent une politique sur la sécurité, déterminent les risques, puis choisissent les mesures de protection et les financent, pourquoi l'intervention de la gestion est-elle requise? La remise en question à l'étape de la planification existe dans d'autres fonctions de gestion des ressources du Ministère, où les gestionnaires responsables ont à justifier leurs décisions. Quant aux décisions prises par les spécialistes de la sécurité, elles peuvent très bien faire partie des mécanismes internes de remise en question au sein d'ISD. Cependant, ces processus ne sont pas manifestes pour les clients qui sont concernés par ces décisions.

Le Comité d'examen des marchés, le processus de dotation du personnel canadien, l'approbation du financement des programmes d'évaluation et de vérification par le comité compétent, le Plan d'immobilisations à long terme et le Plan de gestion de l'information sont tous des exemples des financements proposés qui sont remis en question par des sources indépendantes. En définitive, le gestionnaire concerné doit prendre les décisions finales et en assumer la responsabilité. La remise en question a pour objet d'assurer que toutes les options ont été dûment prises en considération.

En ne conférant pas la responsabilité financière des décisions sur les mesures de protection au gestionnaire chargé de l'exécution des programmes, il s'ensuit une diminution de la possibilité de mettre en place des mesures de protection rentables. Confier à une source indépendante l'examen des décisions de financement ayant trait aux mesures de protection pourrait apporter une certaine objectivité à une fonction sensible aux risques.

Gestion des coûts de sécurité

Introduction

Les coûts de sécurité au Ministère sont évalués à au moins ***. La sécurité comprend toutes les activités visant à protéger nos renseignements, notre personnel et nos biens. Même si cette somme de *** n'inclut pas certains coûts que l'équipe de vérification a été incapable d'évaluer, sa divulgation est avantageuse pour deux raisons :

  • elle donne une certaine idée des dépenses de sécurité par rapport à l'ensemble des dépenses du Ministère;
  • elle indique le caractère omniprésent et de grande envergure de la sécurité et la diversité des groupes du Ministère qui financent les besoins en matière de sécurité.

Les éléments particuliers compris dans la somme de 44 millions de dollars figurent dans l'état des coûts ci-après. Pour sélectionner les coûts dont elle a tenu compte, l'équipe de vérification a d'abord retenu l'hypothèse que si le Ministère ne se préoccupait pas de la sécurité, ces coûts seraient beaucoup moins élevés. L'équipe a alors identifié les coûts qui sont attribuables aux activités de sécurité, puisque le Ministère n'opère pas dans un contexte exempt de telles préoccupations.

L'équipe de vérification a supposé initialement que les dépenses de fonctionnement et en capital de 1997-1998 reflétaient sans doute les activités en cours et elle les a utilisées lorsque les données étaient disponibles. Dans les cas où les chiffres de 1998-1999 s'avéraient être plus représentatifs, ces derniers ont été utilisés. L'exactitude de certaines des autres données ne peut être garantie puisque plusieurs sont « théoriques », comme le coût moyen des logements dans une mission particulière et les coûts d'indemnisation moyens pour des groupes déterminés d'employés. De plus, le codage financier pour certaines dépenses ne permet pas de distinguer les catégories protégées et non protégées, et par conséquent ces coûts ne sont pas inclus. L'objet est de fournir une évaluation des coûts liés à la sécurité pour en comprendre l'ordre de grandeur.

Il est bon de souligner que le MAECI est responsable de la sécurité pour tous les programmes dans les missions, y compris ceux des autres ministères. On n'a pas tenu compte des accords conclus dans le passé avec d'autres ministères qui ont pu transférer des fonds pour certains coûts liés à la sécurité au niveau de référence de base du MAECI. Les chiffres ne comprennent pas le coût de ***. Il n'y a aucune affectation des coûts pour le personnel du Ministère ou des autres ministères qui ne consacre qu'une partie de son temps à des services de soutien à la sécurité. D'autres frais généraux ministériels qui auraient pu être attribués, comme les finances et le personnel, ne sont pas inclus non plus.

Notre analyse des coûts de sécurité montre la grande diversité des types de coûts visés, là où les coûts sont encourus, à quelles fins de sécurité et qui a le pouvoir de dépenser les fonds. Nous nous sommes seulement intéressés aux salaires et aux avantages, aux coûts de fonctionnement et en capital, consacrés uniquement à la sécurité. Les coûts inclus sont : les gardes de sécurité de différentes catégories à l'AC et dans les missions; *** l'orientation générale en matière de sécurité pour les politiques, les normes et la surveillance; *** et leur soutien ***. Les coûts particuliers d'immobilisations et d'entretien inhérents aux mesures de protection n'ont pas pu être déterminés facilement, et par conséquent ces coûts ne sont pas chiffrés dans l'état des coûts. ***

État des coûts de sécurité

Voici un état des coûts de sécurité par catégorie :

***

Voir le Tableau 1, ci-après, pour plus de détails sur les catégories de coûts et les sources de financement.

Analyse des coûts

Les rubriques suivantes présentent une analyse plus détaillée des différentes catégories de coûts. Les structures actuelles de responsabilité pour les dépenses associées à ces coûts et l'impact des ententes de financement existantes sont également fournis.

En raison de l'homogénéité des dépenses, chaque catégorie est présentée indépendamment des autres. Cependant, les principes de la gesti on des risques pour la sécurité et de la fonction de contrôleur, déjà décrits dans le présent rapport, s'appliquent à toutes les catégories quelle que soit la nature des ententes de financement existantes.

Tableau 1 - Coûts des activités liées à la sécurité
(en millions de dollars)

 TotauxACMissionsTotal de la ligne
Coûts du pers.AutresCoûts du pers.LogementsAutres
Gardes de sécurité
  • Services de sécurité contractuels
  • GSM
  • Gardes de sécurité ERP, uniformes
****** ****** ***
Communications protégées
  • Missions (***)
  • Logement, et autres
  • SXD (SXTC, SXTT)
  • Fonctionnement et immobilisations
*************** ***
Orientation du ministère en matière de sécurité
  • ISD - Personnel
  • Fonctionnement et immobilisations
*********   ***
Achats d'équipement de sécurité
  • Achats à l'AC
  • Crypto
  • Réparations des installations de sécurité
 ***   ******
Service du courrier diplomatique*********   ***
Services des biens
  • Projets d'immobilisations
  • Entretien des biens
***      
Totaux par groupe ******************
Total général***      

Gardes de sécurité

 Millions
AC (comprend Vanier, mais exclut l'ICSE, le Protocole)***
Traitements et allocations des GSM payés par ISR***
Logement et soutien des GSM par les missions***
Services de sécurité contractuels dans les missions***
Gardes de sécurité ERP, uniformes, dans les missions***
Total***

Les missions sont responsables des services de sécurité contractuels et fournis par les ERP, ***. Leurs budgets tiennent compte de ces coûts et elles prennent, sur l'avis d'ISD, les décisions opérationnelles et financières qui en découlent. ***

Questions

Dans la RCN, ISD encourt des coûts de sécurité de *** pour les commissionnaires, à l'exclusion des commissionnaires de l'ICSE, du Protocole et de la bibliothèque. Une étude précédente a révélé qu'il y a quelques années, les coûts pour les commissionnaires de l'ordre d'environ *** ont été transférés d'ISD à d'autres budgets dans le cadre d'un plan de réduction des coûts de sécurité de cette direction générale. Selon ce scénario, les coûts n'ont pas été réduits, mais transférés aux utilisateurs identifiables.

Le principe du « paiement par l'utilisateur » est appliqué à l'AC, mais pas entièrement dans les missions, ***. Dans un document récent, ISD a demandé que les missions justifient la présence et le nombre de leurs GSM. Ce qui veut dire que les missions doivent déterminer si la présence de GSM est nécessaire ou non. L'équipe de vérification s'attend à ce que ISD fournisse aux missions des avis autorisés en matière de sécurité pendant cet exercice, mais qu'en définitive, il incombe aux missions de prendre la décision.

Incidence

Si les missions ont la responsabilité des décisions relatives aux GSM, le total des coûts sera plus facilement identifiable si elles financent également les coûts de main d'oeuvre en plus des coûts de logement. Elles pourraient alors exercer le plein contrôle budgétaire de l'ensemble des coûts de sécurité au niveau local - les GSM, les ERP et les contractuels. ISD conserverait le rôle de conseiller politique et de surveillant en matière de sécurité, mais laisserait à chaque mission la prise de décisions concernant la gestion des risques pour la sécurité.

Par contre, si ISD doit assumer la responsabilité de répondre aux besoins de gardes de sécurité dans les missions, cette direction générale devrait alors recevoir le plein financement pour soutenir et appuyer les décisions de gestion des risques. Les budgets pour les GSM et leurs logements, pour les ERP et pour les services de sécurité fournis par des contractuels relèveront tous de la responsabilité d'ISD.

En résumé, c'est le gestionnaire de programmes (chef de mission) ou le gestionnaire fonctionnel (ISD) qui doit assumer cette responsabilité. Il ne doit pas y avoir de responsabilité partagée pour les coûts connexes puisque cette approche ne permet pas de désigner quelqu'un comme pleinement responsable, ce qui diminue ainsi la probabilité de prendre des décisions rentables.

Conformément au principe du « paiement par l'utilisateur », l'équipe de vérification se réfère à la politique actuelle tacitement admise d'ISD selon laquelle les missions assument le coût de tous les GSM supplémentaires au-delà du niveau budgétaire actuel de cette direction générale. Celle-ci impute les coûts supplémentaires au budget de la mission. Ce processus administratif ne diffère pas de la méthode utilisée actuellement en ce qui concerne les coûts du Corps des commissionnaires à l'AC pour les utilisateurs autres que la sécurité à l'AC aux édifices LBP et Vanier, puisque ISD paie les factures du Corps des commissionnaires, mais les impute aux budgets de l'ICSE, du Protocole, et autres.

Lorsque les chefs de mission sont considérés comme étant responsables, de par leur mandat ministériel, du « bien-être du personnel, y compris la protection des employés canadiens et de leurs familles » dans les missions, une approche acceptable consiste à imputer aux missions les coûts supplémentaires pour les traitements des GSM, ce qui vient s'ajouter aux coûts des logements déjà assumés par les missions. Aucune explication n'a pu être fournie pour justifier la répartition de certains des coûts relatifs aux GSM entre ISR et les missions.

Si ISR a des préoccupations relativement aux décisions des missions concernant les gardes de sécurité, il peut faire appel à l'agent de sécurité du Ministère, leur supérieur. Ce principe est semblable à celui des autres autorités fonctionnelles de soutien au sein du Ministère, où la résolution des préoccupations s'effectue dans le cadre de la hiérarchie fonctionnelle.

Communications protégées

***

Tableau 2 - Communications protégées

Source de financementCatégorie de dépensesCoûts du personnel (en millions de $)Autres coûts (en millions de $)
Missions****** 
 Logement, autres ***
SXD(SXTC, SXTT)*** 
 Fonctionnement et immobilisations ***
  ******

La première grande catégorie est celle des employés canadiens dans les missions qui gèrent et entretiennent les systèmes protégés du MAECI à l'étranger. Ces coûts s'élèvent à environ *** : *** pour les coûts du personnel et *** pour les logements des *** et des *** canadiens, dans *** missions différentes. Le tiers du personnel se trouve dans six endroits. Les missions acquittent tous les coûts de ces services, ainsi que les coûts de soutien local. Il existe d'autres dépenses connexes comme l'acquisition et la réparation d'équipement qui sont réparties entre différentes unités de soutien fonctionnel à l'AC, comme ISD, SXD et SRD. Les missions financent également des dépenses analogues, mais l'équipe de vérification n'a pas pu les isoler complètement dans les comptes financiers. Les renseignements recueillis sont discutés ensuite dans la rubrique sur les Achats d'équipement de sécurité.

La deuxième grande catégorie est financée par la Direction générale de la gestion de l'information et de la technologie (SXD), par l'intermédiaire de la ***. Elle vise la conception, l'élaboration, la mise en oeuvre et le maintien de la durée utile des systèmes protégés qui coûtent environ *** : *** pour le personnel et *** en coûts de fonctionnement et d'immobilisations.

Les coûts de l'équipement pour les *** sont répartis entre différents organismes, selon qu'il s'agit de coûts du matériel affectées dans le cadre d'une initiative du Ministère, de coûts pour du matériel additionnel dépassant l'attribution normale ou de coûts pour du matériel demandé pour un site particulier. L'équipe de vérification n'a pas été en mesure de déterminer avec certitude si tous ces coûts figurent dans les données du présent rapport.

Questions

Le coût des services *** dans les missions est imputé à la mission où ils résident. Un certain nombre de ces employés fournissent aussi un service régional, alors que d'autres offrent un soutien dans le cadre d'ententes en étoile. Ces spécialistes de la sécurité technique sont aussi aidés par des *** pour des projets particuliers ou à des fins d'inspection. Ces coûts sont assumés par l'unité d'appartenance à l'AC, ISD ou SXD.

En supposant que ces personnes appuient les communications protégées pour les programmes des missions, et étant donné que ces programmes sont exécutés par les missions désignées, le principe du « paiement par l'utilisateur » s'applique toujours pour ces services. Une fois de plus, les exigences des programmes et la responsabilité de leur financement sont liées, l'existence des programmes des missions justifiant en général la présence de la majorité de ces employés. Comme il a été indiqué, certains membres du personnel sont affectés à des besoins de soutien régionaux, mais il n'est pas logique du point de vue administratif d'en partager les coûts entre les différentes missions qui profitent de leurs services.

***

Incidence

*** Il semble que la source de financement dépend de qui dispose d'un budget à ce moment-là. Il se peut que certaines dépenses des missions aient à leur tour été financées par les bureaux des conseillers de l'administration du secteur (CAS), mais nous n'avons pas examiné la question plus avant. ***

Alors que le Ministère adopte la comptabilité d'exercice, la possession de ces biens d'équipement peut obliger à repenser le processus quant à savoir qui doit en financer les dépenses. Le besoin de déterminer et de budgétiser les coûts de gestion de la durée utile peut avoir une incidence plus grande sur les décisions prises relativement à la politique de financement lorsqu'on envisage une comptabilité d'exercice ***.

Au moment où ISD est tenu de fournir ou de remplacer ***, les coûts de réapprovisionnement peuvent être assumés par cette direction générale ou par l'unité qui en fait la demande. À notre connaissance, il n'existe pas de règle rigoureuse qui détermine si le paiement doit provenir du budget d'ISD ou de celui des missions ou des unités de l'AC. En général, si ISD fait une recommandation lors d'une inspection de sécurité, cette direction générale assume les coûts.

D'après ce scénario, il se peut que le résultat obtenu ne soit pas nécessairement la solution la plus rentable à ces problèmes liés aux services de soutien protégés. Si les missions ne sont pas tenues de financer les acquisitions, alors elles accepteront probablement ce qui leur est fourni pourvu que cela satisfasse à leurs besoins minimums. Elles n'ont pas à se soucier de la solution la plus rentable, puisque quelqu'un d'autre en assume les coûts. Ce genre de scénario est applicable à d'autres catégories de coûts en matière de sécurité.

Orientation du Ministère en matière de sécurité

Le coût estimé de l'orientation du Ministère en matière de sécurité, fournie par ISD, s'élève à ***, la moitié étant affectée au personnel et l'autre moitié aux budgets de fonctionnement et des immobilisations. *** Il ne comprend pas non plus le budget de *** pour les GSM ni le budget de *** du Corps des commissionnaires. Les fonctions de sécurité du Ministère comprennent, mais de façon non limitative, ce qui suit :

  • ***
  • assurer les services d'inspection, de surveillance et de soutien de la sécurité des perssonnes et des biens;
  • ***
  • fournir divers services de soutien financier et la gestion ***.

Les principaux éléments de coûts, autres que les salaires des employés de l'unité, sont les dépenses de fonctionnement et d'immobilisations. Ils comprennent les frais de déplacement pour les visites de sécurité à la mission, l'administration des bureaux, les programmes de formation et de sensibilisation en matière de sécurité et certains coûts liés à l'achat, l'entreposage, l'expédition et l'installation de divers équipements protégés, à l'AC et dans les missions.

Ces coûts comprennent également le fonds de remplacement des immobilisations pour les véhicules blindés qui se chiffre à ***par an et le budget spécial de*** pour le programme d'installation et de modernisation du SICCD. (Le projet de trois ans du SICCD a été évalué à ***.)

Questions

L'équipe de vérification s'est penchée particulièrement sur les achats, l'entreposage, l'expédition et l'installation des divers équipements de sécurité pour les missions. Ces activités sont le résultat des inspections permanentes, de la détermination des besoins de sécurité et des installations de protection recommandées par les spécialistes fonctionnels d'ISR. Le problème réside dans l'obligation de rendre compte des décisions relatives aux mesures de sécurité et de leur financement.

Quand les missions sont avisées par le *** d'ISR que les mesures de sécurité sont insuffisantes, en particulier celles concernant la sécurité des personnes et des biens, la solution est habituellement suggérée par ***. Dans de nombreux cas, l'équipement fourni, installé et/ou remplacé provient du stock d'ISD ou le projet est financé par le budget d'ISR. Quand les missions sont avisées qu'elles ont besoin de certaines mesures de protection et qu'ISR les fournira, elles peuvent se décharger de leurs responsabilités en ce qui concerne les coûts. Elles n'ont pas à les assumer, et si l'application est perçue comme onéreuse, elle peut être oubliée en toute sécurité, une fois que le « surveillant » est rentré à l'Administration centrale. L'adoption de cette idée par tous n'est pas garantie.

Cette méthode ne respecte pas le principe du « paiement par l'utilisateur » qui a été mentionné dans les rubriques précédentes. Elle n'est pas non plus compatible avec la responsabilité des missions d'assumer les coûts des services de gardes de sécurité et d'entretien des véhicules blindés. L'application du principe du « paiement par l'utilisateur » est sélective et non uniforme.

ISD a offert comme justification de l'approche actuelle qu'en fournissant le financement pour ces mesures de protection, il faut plus facilement accepter son rôle dans la gestion de la sécurité. L'équipe de vérification estime que cette approche n'accroît pas la crédibilité de la fonction de sécurité, ce qui devrait être la principale préoccupation. Toutefois, lorsque les recommandations d'ISD seront perçues par les missions comme un obstacle à leurs activités, elles les contesteront. La décision n'est pas remise en question, pas plus que les coûts y afférents, lorsque la mission n'a pas à les financer elle-même et/ou que les mesures de protection ne gênent pas ses activités quotidiennes.

Le cas des charnières d'une porte donnant sur une zone d'accès réservé qui devaient être remplacées constitue un exemple récent porté à l'attention de l'équipe de vérification. La mission a été avisée de ne pas procéder à la réparation, mais d'attendre plutôt que le *** se rende sur les lieux, évalue la situation et paie les réparations. Si la situation est évidente, est-ce que la mission doit attendre la visite d'un représentant d'ISR avant de remédier au problème? De plus, si la mission exige que les portes fonctionnent correctement ne devrait-elle pas en assumer le coût? Le bien-fondé d'attendre une visite afin que les coûts soient acquittés par ISR est discutable.

Incidence

En résumé, puisque ISR définit et fournit des mesures de protection, les missions sont pour ainsi dire éliminées du processus décisionnel. Elles peuvent considérer qu'elles ne sont pas responsables du processus d'évaluation des risques et de prises de décisions quant aux mesures de protection. Pourtant, ce sont les missions qui connaîtront les avantages ou les inconvénients de ces mesures de protection.

L'équipe de vérification a été avisée de plusieurs cas où les missions ne se sont inquiétées que lorsque les mesures de protection recommandées gênaient leurs activités quotidiennes. Ces scénarios sont la preuve qu'il existe des lacunes concernant la gestion des risques pour la sécurité dans le processus décisionnel. La nécessité de présenter des options de mesures de sécurité rentables n'a pas suffisamment été étudiée dans le cadre de ces scénarios.

Achats d'équipement de sécurité

En 1997-1998, divers biens, *** et pièces ont été acquis et des réparations effectuées pour une somme totale de ***. Les dépenses ont été imputées aux budgets suivants :

ISR***
SRD***
SXD***
Missions***
Total***

Alors que quatre-vingt pour cent des dépenses totales ont été imputées aux budgets d'unités à l'AC, la plupart d'entre elles ont servi à financer les besoins de protection des biens de la mission. Dans le cas de certains projets dans les missions, les fonds ont été obtenus de quatre sources : leurs propres ressources, ISR, SRD ou SXD. L'équipe de vérification n'a pas pu déterminer quelle était la participation à ces dépenses du bureau du conseiller de l'administration du secteur.

Un examen superficiel des catégories de coûts appartenant à différentes sources de dépenses a révélé des frais relatifs au SICCD à SRD et ISR; de l'équipement de sécurité, des fenêtres, *** pour les missions à SRD et ISD; des acquisitions de stocks de sécurité à ISR, comme ***; des systèmes d'alarme dans les missions; ***. Les petites pièces et les réparations qui sont payées par les missions pour l'entretien de véhicules blindés ne sont pas inclues dans ce qui précède. L'équipe de vérification a éprouvé des difficultés à faire la distinction entre les coûts compris dans cette catégorie de l'orientation du Ministère en matière de sécurité. Bien qu'il puisse exister un certain chevauchement des coûts, celui-ci n'aura pas une grande incidence sur l'ensemble des chiffres approximatifs ni sur la préoccupation principale quant aux responsabilités de financement en ce qui a trait aux mesures de protection dans les missions.

Questions

La question principale concernant l'obligation de rendre compte est le manque apparent de toutes politiques ou lignes directrices qui indiquent qui est responsable du financement des mesures de protection dans les missions. Sans une analyse plus poussée, il est difficile de savoir qui a décidé que tel élément de sécurité était nécessaire et qui en a vraiment assumé les coûts.

Une autre question est la gestion des stocks. Premièrement, les renseignements dans le système d'inventaire utilisé pour contrôler le stock d'équipement de sécurité tenu par ISD ne sont pas très exacts. Deuxièmement, tous les émetteurs-récepteurs portatifs et leurs pièces se trouvent dans les stocks de SXD, les nouveaux comme les usagés. Le financement pour des émetteurs-récepteurs neufs ou plus perfectionnés est la responsabilité d'ISD, alors que les réparations et les remplacements sont celle de SXD. Troisièmement, pour ce qui est des émetteurs-récepteurs recommandés par ISD, c'est SXD qui est chargé d'évaluer les demandes d'installation et de fournir l'équipement qu'il a en stock. Si ISD ne finançait pa la reconstitution du stock d'émetteurs-récepteurs neufs ou plus perfectionnés demandés par SXD, l'équipe de vérification ne serait pas en mesure de déterminer comment les niveaux de stock pourraient être reconstitués.

Incidence

Comme les dépenses d'équipement de sécurité analogue peuvent être couvertes par deux organismes ou plus, la responsabilité d'engager à chaque niveau de dépense ne peut pas être assignée. ISD achète et entrepose l'équipement qui est alors expédié aux missions, qui sont ou non facturées pour les articles ou l'expédition. ISD peut fournir, à partir de son stock, de l'équipement de sécurité aux nouvelles chancelleries et peut le facturer directement ou en créditer le montant à son budget d'inventaire. La décision est prise au cas par cas, ce qui, d'après l'équipe de vérification, n'est pas conforme aux principes d'une gestion budgétaire rentable.

Comme la comptabilité d'exercice sera mise en oeuvre prochainement, l'incidence sur les unités fonctionnelles de l'AC et les missions, lors de l'autorisation d'équipement de sécurité, demande un examen plus rigoureux afin de déterminer comment ces nouvelles exigences comptables affecteront chaque organisme.

En résumé, le règlement de ces dépenses de sécurité est fonction de la disponibilité du financement. À cause du processus actuel, il est difficile de déterminer à qui revient la responsabilité de prendre les décisions.

Service du courrier diplomatique

Le service actuel du courrier diplomatique coûte à la Direction des services de distribution (SBG) un montant net de *** par an. Il comprend six courriers et un superviseur, ce qui représente des dépenses de personnel d'environ ***. Ses coûts opérationnels, principalement les déplacements, s'élèvent à ***. Ce montant comprend aussi le coût des articles expédiés par des moyens non protégés, à environ le tiers du coût du service du « sac rouge ». Le coût total du service du courrier diplomatique du Ministère est beaucoup plus élevé que ***, puisque SBG recouvre les coûts qui sont directement attribuables à d'autres usagers pour des expéditions importantes.

Questions

Ce service a été beaucoup réduit au cours des dernières années puisqu'un nombre restreint de missions font maintenant partie du service d'utilisateurs « essentiels ». Comme il a été indiqué précédemment, d'autres utilisateurs se prévalent du service sur une base de recouvrement des coûts puisqu'il offre le niveau de protection jugé nécessaire pour expédier leurs « produits ». Par conséquent, le principe du « paiement par l'utilisateur » s'applique dans certains cas à ce service de sécurité.

L'équipe de vérification a supposé que tout autre changement au service du courrier diplomatique serait fondé sur des décisions concernant le besoin de livrer du matériel protégé désigné. Elle n'a pas examiné les activités de ce point de vue.

Services des biens protégés

Les services des biens qui ont fait l'objet de cet examen sont principalement la construction ou la location de nouvelles chancelleries ou les rénovations importantes apportées aux sites existants. Les fonctions d'entretien et de réparation exécutées par les *** ont également été examinées, en raison du fait qu'elles font partie des dépenses de sécurité.

Chancelleries

La nature des exigences de sécurité dans les chancelleries est fondée sur divers facteurs découlant de l'évaluation de la menace et du risque pour la sécurité, dans un endroit donné. Les besoins de chacun des programmes, ***, ainsi que le pays et l'endroit où se trouve la chancellerie, ont une incidence sur les exigences de sécurité en matière de construction.

Les exigences des programmes en ce qui concerne les communications et l'accès réglementé (contrôles extrêmes) se conjuguent pour imposer des scénarios qui définissent les exigences de sécurité de niveau minimal à optimal. Plus grand est le besoin de limiter ou de contrôler l'accès en raison de la nature délicate des risques, plus élevé est le coût.

La gestion des risques pour la sécurité dans les chancelleries comporte :

  • une bonne définition des exigences des programmes;
  • l'analyse et l'évaluation des sensibilités, des vulnérabilités et de l'exposition aux risques;
  • le choix des options (principales) cherchant à éviter les risques;
  • la mise en place de solutions rentables.

Ces critères de gestion des risques sont en accord avec les exigences de la Politique du gouvernement sur la sécurité et de l'initiative de la fonction de contrôleur.

Questions

Le MAECI, à titre d'employeur et dans des limites raisonnables, doit fournir au personnel des missions et aux familles des employés canadiens le même degré de sécurité personnelle dont profitent les employés du gouvernement au Canada. Les besoins des programmes ne changent pas grand-chose à la nécessité d'assurer la sécurité personnelle des Canadiens qui représentent leur pays à l'étranger.

Selon SRD, il n'existe en réalité aucun moyen d'évaluer les coûts annuels de la sécurité des services relatifs aux biens. Les circonstances varient d'un endroit à un autre. Par exemple, le coût d'un mur anti-souffle n'est pas le même à Jakarta qu'à Bogota. De plus, les besoins de sécurité sont très différents d'un endroit à l'autre. SRD ne définit pas ces besoins.

Il existe des coûts inévitables découlant des activités à l'étranger. SRD a préparé un exposé qui montre les frais supplémentaires qu'un projet de construction entraîne à l'étranger par rapport à la réalisation de la même installation au Canada. Toutefois, les coûts de fonctionnement à l'étranger pour le gouvernement varient selon un certain nombre de facteurs : les prix du marché de l'immobilier et la disponibilité d'installations qui conviennent en sont deux exemples.

***

***

SRD a beaucoup de difficulté à isoler les coûts de sécurité de l'ensemble des coûts des programmes. La Direction générale, par exemple, consacre des sommes considérables à des projets qui ne sont pas des travaux de construction. La sécurité constitue aussi un facteur important dans les projets de location. Lorsque SRD examine les options et limite les possibilités de répondre aux besoins des programmes dans les missions, il tient aussi compte de la sécurité dans sa prise de décision.

Le processus de gestion des projets dans les chancelleries actuellement en place prévoit la participation de différents spécialistes fonctionnels dans les domaines de la sécurité, *** et des biens, de même qu'il tient compte des priorités des programmes des directions géographiques et des autres ministères fédéraux. L'équipe de vérification n'a pas remis en question ce processus de gestion des projets en raison de la rétroaction très positive des différentes parties concernées. Les intervenants ont soulevé une seule préoccupation, à savoir que la responsabilité des coûts associés aux projets doit être assumée par les spécialistes fonctionnels. ***

Incidence

La responsabilité des décisions relatives à la sécurité doit être attribuable à ceux qui définissent les exigences. Cet aspect n'est pas facilement identifiable dans le cadre décisionnel du MAECI lorsqu'il s'agit de l'acquisition, de la location ou de la construction d'une chancellerie. Cependant, à moins d'être en mesure de déterminer qui est chargé d'établir les exigences, de prendre les décisions et de justifier le financement, il peut être difficile de mettre en place les solutions les plus rentables et de montrer les efforts qui ont été déployés dans ce sens.

Entretien et réparations des biens

*** de SRD effectuent des visites périodiques dans leurs secteurs géographiques de responsabilité. Il leur incombe, entre autres fonctions, d'évaluer l'entretien des biens et l'état structurel des chancelleries, des résidences officielles et des logements du personnel. Les recommandations pour des améliorations sont préparées à la suite des visites sur place et, dans certains cas, des demandes de la part des missions de moderniser, de remplacer ou de réparer les biens immobiliers. Le financement devient alors la question épineuse.

Questions

L'analyse des données de dépenses de 1997-1998 effectuée par l'équipe de vérification a révélé que les mesures de sécurité pour les biens figurent aussi sur la liste des améliorations aux biens qui a été envoyée aux missions par SRD. Dans des rubriques précédentes du présent rapport, il est noté que SRD a financé diverses mesures de sécurité dans différentes missions, y compris le SICCD, des fenêtres sécuritaires, et autres. Ces mêmes catégories de dépenses ont aussi été encourues par ISD dans plusieurs autres missions.

L'équipe de vérification ignore s'il existe une politique ou une pratique qui assigne la responsabilité du financement des dépenses de sécurité pour les biens d'une mission à une unité particulière du MAECI. Si différentes unités financent des exigences de sécurité analogues, il est difficile de lier la responsabilité des résultats à la mise en place des solutions les plus rentables. Dans des études de cas récentes, les spécialistes de la sécurité ont présenté des recommandations portant sur l'équipement de sécurité et soit : a) ont financé l'équipement protégé, son expédition et son installation; b) ont autorisé le travail et ont demandé que d'autres en assurent le financement; c) ont séparé les éléments à coûts élevés des éléments à faibles coûts et ont partagé les exigences de financement. L'équipe de vérification n'a trouvé aucune preuve d'une approche uniforme.

Incidence

Les faits indiquent que la solution la plus rentable n'est pas nécessairement discutée et acceptée par les bénéficiaires. De plus, il semble que les décisions relatives au financement relèvent davantage de la disponibilité des fonds que du besoin de trouver des solutions rentables. Comme il existe trop de circonstances où la disponibilité du financement a dicté la marche à suivre, l'équipe de vérification ne peut pas établir avec certitude que la rentabilité est le critère principal des décisions concernant les mesures de sécurité.

Documents de travail

Dans l'annexe B, nous présentons des études de cas particuliers choisis comme exemples des différentes pratiques de prises de décisions en matière de gestion des risques pour la sécurité expérimentées au Ministère, à la fois dans les missions et à l'AC. Nous fournissons aussi à l'annexe C un aperçu du processus de vérification approfondie de la fiabilité des ERP, effectué sur une base permanente. Certaines de ces circonstances peuvent exiger des initiatives additionnelles afin de mieux faire comprendre le rôle et les responsabilités de toutes les parties et d'aboutir à une prise de décision plus éclairée lorsqu'il s'agit de la sécurité des renseignements, des personnes et des biens.

Annexe B - Études de cas

Cette annexe présente des exemples de cas récents portant sur des questions de sécurité où soit la responsabilité des décisions prises n'a pas été clairement définie ou soit il y a eu des pratiques qui n'ont pas été dans l'intérêt supérieur du Ministère du point de vue de la gestion des risques pour la sécurité.

Études de cas présentées

***

Annexe C - Déroulement du processus

Cette annexe examine le processus d'embauche des ERP dans les missions, puisque des vérifications approfondies de la fiabilité sont nécessaires. Ce processus est présenté pour faire mieux connaître les responsabilités des gestionnaires de programmes dans les missions lorsqu'ils embauchent ou réaffectent des ERP.

Autorisation de sécurité des ERP (Processus réglementaire de la vérification approfondie de la fiabilité)

Contexte

La Politique gouvernementale en matière de sécurité requiert que le MAECI effectue une vérification approfondie de la fiabilité (VAF) pour toute personne qui accède dans le cadre de ses fonctions et de ses tâches à des renseignements ou à des biens protégés. En 1998, on a procédé à environ 1 500 VAF, chiffre qui n'inclut pas les mises à jour exigées tous les dix ans.

L'utilisation des ERP dans les missions s'est accrue au fil des années, partiellement en raison d'une diminution des affectations d'employés canadiens. ***

Processus

***

SIX   -  ISR/992-7996/***

MHS  -  Non classifié
        -  1-11-ISR

Réponse à la vérification de la sécurité de 1999  -  le 19 janvier 2000
                                                                 -  MHS-0015

MKM, MSL, ISD, SRD, SRS, SXD, SXT, SIV, SMD, TBD, JPD, ISR, ISDF, ISDT, ISC.

Dans la pièce jointe à la présente note de service, vous trouverez une réponse, préparée par la Direction générale de la sécurité et du renseignement (ISD), au rapport de la vérification de la sécurité de juillet 1999 qui a été effectuée par SIV.

  1. Le rapport de vérification a confirmé un certain nombre de pratiques existantes dans la gestion de la sécurité au ministère des Affaires étrangères et du Commerce international, et a présenté un certain nombre de recommandations conçues pour rendre plus rigoureuse la responsabilité en matière de sécurité au Ministère.
  2. Bien que plusieurs de ces recommandations aient été opportunes et utiles, et qu'elles aient déjà influé sur les activités quotidiennes de la Direction générale de la sécurité et du renseignement, nous ne sommes pas d'accord sur une partie d'une recommandation principale (la 2recommandation principale), à savoir qu'ISD « ne conserve aucune responsabilité de fonctionnement ni aucun financement connexe, ce qui aurait tendance à enfreindre le principe du « paiement par l'utilisateur », sauf pour le financement des stocks. » Notre divergence d'opinion au sujet de cette partie de la recommandation a suivi une série de consultations des « utilisateurs », qui sont principalement la Direction générale des biens (SRD) et des conseillers de l'administration des secteurs géographiques. Il a été convenu que l'adoption de ces mesures compromettrait complètement la capacité du Ministère à maintenir les normes de sécurité requises et ne ferait qu'aggraver la séparation de la responsabilité et de la gestion de la sécurité.
  3. Toutefois, dans l'esprit de cette 2e recommandation, nous nous sommes efforcés activement de trouver de meilleurs moyens de consulter les « utilisateurs » sur les questions relatives à la sécurité et de mieux documenter le processus décisionnel sur la sécurité. Une grande partie de ce processus est expliquée dans notre réponse et dans le plan d'action de suivi.
  4. Vous trouverez également joint à notre réponse un tableau conçu dans le but de montrer avec plus de précision où se situent les principaux centres de prises de décision sur une grande variété de procédures, de systèmes, de matériel et de normes liés à la sécurité. Comme toutes les activités du Ministère, le processus s'avère complexe, reflétant un organisme aux multiples engagements dont les besoins ne sont pas évidents. En vous présentant ce tableau, nous souhaitons faire en sorte que la difficulté de déterminer les besoins de sécurité et d'y répondre n'empêche pas d'assurer une responsabilité rigoureuse et un bon processus de prises de décision.

le sous-ministre adjoint,
Communications, Culture
et Planification des politiques

Hugh L. Stephens

Réponse à la vérification de la sécurité de juillet 1999

Voici la réponse de la Direction générale de la sécurité et du renseignement (ISD) à la vérification de la sécurité de juillet 1999. Toutes les recommandations présentées par l'équipe de vérification y sont traitées, bien que toutes les solutions proposées par cette dernière n'aient pas été considérées comme étant réalisables. Certaines de ces recommandations comportent des répercussions importantes sur les ressources, ce qui peut en retarder la mise en oeuvre.

La vérification s'est limitée à un examen de la gestion de la responsabilité, de l'obligation de rendre compte et des décisions sur les dépenses relatives à la sécurité au Ministère. Elle n'a fait aucune observation sur l'efficacité du programme de sécurité pour déterminer les risques liés à la sécurité et la sécurité personnelle, choisir les options quant aux risques et aux mesures de protection, et administrer ces mesures.

Par conséquent, en répondant aux différentes recommandations en tant que direction générale chargée de l'application du programme de sécurité, nous avons pris la liberté d'exprimer certaines opinions sur l'efficacité des pratiques actuelles. À ce propos, nous ne sommes pas d'accord avec un petit nombre de recommandations.

Le comité directeur de la vérification (tel que mentionné dans le rapport de vérification) a recensé un certain nombre de questions connexes qui auraient avantage à être examinées dans le cadre d'une vérification plus poussée. Pleinement conscients que la sécurité est une discipline imprécise et que les menaces à la sécurité ne sont jamais les mêmes et ne se produisent jamais aux mêmes endroits, nous apprécions le fait que des enquêtes se tiennent constamment sur la façon dont la sécurité est planifiée, budgétisée et gérée au ministère des Affaires étrangères et du Commerce international. Nous anticipons l'opportunité de pouvoir collaborer à toute étude plus poussée que l'inspecteur général peut souhaiter entreprendre.

Conclusions générales

La vérification a dégagé un certain nombre de conclusions à propos de l'importance d'expliquer le principe du « paiement par l'utilisateur » à tous les aspects opérationnels de la sécurité, sauf quelques systèmes centralisés - comme celui des communications - où l'intégrité du système ministériel doit avoir la priorité, à la fois, sur la responsabilité et sur le contrôle que détient « l'utilisateur ».

Ceci soulève la question de savoir qui est « l'utilisateur » dans un ministère qui mène des activités dans le monde entier puisque l'effectif du MAECI se compose en grande partie de personnel permutant. Lorsqu'on parle de la sécurité des missions, « l'utilisateur » est-il seulement les personnes en fonction à ce moment-là, dans ce cas, l'application des normes de sécurité pourrait beaucoup varier? Ou « l'utilisateur » est-il le Ministère dans son ensemble qui répond aux normes mondiales de sécurité (ce qui n'est probablement pas l'objet de la vérification)? Ou « l'utilisateur » est-il l'équipe de gestionnaires et de décideurs qui comprend les directions générales géographiques, les conseillers de l'administration du secteur, les chefs de mission et les gestionnaires de programmes?

Nous sommes d'avis que « l'utilisateur » principal de la sécurité est celui décrit dans la dernière des trois définitions susmentionnées. Pour appuyer ces « utilisateurs », les directions de la sécurité qui relèvent de l'agent de sécurité du Ministère (ISD) fournissent des ressources spéciales en termes de définitions de normes, d'expertise technique et de gestion des systèmes de sécurité du Ministère, tel qu'identifié dans la vérification et dans notre annexe I (voir ci-dessous).

Nous avons reçu la ferme assurance que le but de la vérification est de mettre en place une obligation de rendre compte des décisions relatives aux ressources prises par le Ministère au nom de la sécurité. Afin de rendre obligatoire un processus d'obligation de rendre compte clairement défini pour la gestion des différentes fonctions liées à la sécurité au Ministère, il est important de définir l'étendue de ces fonctions et en quoi consiste cette responsabilité.

Le besoin d'une définition plus claire de la responsabilité et d'un processus d'obligation de rendre compte plus efficace nous ont incité à concevoir un modèle des responsabilités. Dans notre Annexe I, nous avons tenté de ventiler les responsabilités de manière un peu plus détaillée, et avons désigné les secteurs où doit s'exercer cette responsabilité (et ce pouvoir de dépenses).

Dans certains cas, ce partage des responsabilités reflète les pratiques existantes au Ministère. Si nous appliquions la recommandation d'effectuer un transfert de responsabilité aux utilisateurs pour « les installations et l'équipement de sécurité dans les missions », il en résulterait un changement important. Il y a quelques années, la Direction de la sécurité (maintenant ISR) s'est vu octroyer un budget d'immobilisations du niveau de référence conçu pour aider les missions dans le monde entier à rendre conforme à la norme les installations (comme les barrières de contrôle d'accès) et l'équipement de sécurité (les déchiqueteurs, les systèmes d'alarme, les dispositifs de verrouillage) face à l'augmentation des menaces mondialisées qui pèsent sur la sécurité de nos missions et de notre personnel. Suite à des consultations poussées des conseillers de l'administration des secteurs géographiques, nous avons accepté leurs conseils selon lequel une telle capacité doit être conservée par la direction générale de la sécurité, mais que des consultations régulières et planifiées avec les secteurs géographiques doivent être effectuées pour que les besoins de sécurité soient satisfaits rapidement et que les « utilisateurs » comprennent le besoin et la fonction de toutes les nouvelles installations de sécurité et les acceptent.

Puisque, au moment de prendre des décisions à propos des dépenses de sécurité, tant de points peuvent se recouper, la clé de l'obligation de rendre compte réside en une consultation étroite entre les spécialistes de la sécurité et les utilisateurs, appuyée d'une documentation sur les exigences et les décisions fondées sur la gestion établie des risques. Grâce à cette consultation et à des dossiers bien tenus, on pourra savoir clairement en toutes circonstances qui est responsable des décisions et des dépenses.

De grands efforts devront être déployés pour assurer des relations de travail plus étroites avec les directions générales géographiques qui gèrent les missions et avec la Direction générale des biens pour que les questions relatives à la sécurité soient introduites en temps opportun dans la planification des projets de missions. Cette communication et cette collaboration dans les deux ses devrait augmenter le respect de l'intégrité des systèmes et des procédures de sécurité requis par le Ministère.

Il faut souligner que les décisions concernant la sécurité à n'importe quel niveau et n'importe où doivent être prises à partir d'une évaluation éclairée de la menace et du risque et conformément à la Politique gouvernementale en matière de sécurité (PGS) que le Sous-ministre est tenu d'administrer, et pas seulement à la discrétion du gestionnaire en fonction au moment de la prise de décision.

1ère recommandation principale

***

1ère rec. princ. - Réponse : Les directions générales géographiques, les SMA et les chefs de mission sont chargés de la mise en place des politiques et des prises de décisions à propos des programmes, de la dotation et de la budgétisation aux missions, ainsi que de la définition des ressources nécessaires pour appuyer ces programmes. À l'exception des systèmes du Ministère gérés centralement, il incombe aux directions générales géographiques de s'assurer que les budgets des missions sont suffisants pour conserver les systèmes de sécurité, le personnel et l'équipement nécessaires à la protection des biens, des renseignements classifiés et du personnel contre les menaces identifiées (selon la gestion établie des risques) et conformément aux normes du Ministère.

Cette recommandation a fait l'objet d'intenses discussions avec les conseillers de l'administration des secteurs géographiques. Ils ont hésité à assumer la responsabilité opérationnelle des décisions et des dépenses liées à la sécurité, parce qu'ils estimaient ne pas posséder l'expertise nécessaire pour prendre des décisions en la matière. Même avec les conseils de la Direction de la sécurité des personnes et des biens (ISR), ils devront peut-être quand même choisir entre des priorités contradictoires au sujet desquelles ils ne se sentaient pas en mesure de trancher. La question du financement des dépenses en immobilisations pour la sécurité est toute aussi importante dans les missions. Avec un petit budget d'immobilisations centralisé à ISR, comme c'est le cas maintenant, les fonds peuvent être affectés de temps à autre là où les besoins se font le plus sentir dans le monde. Si le budget central devait être partagé parmi les trois conseillers de l'administration des secteurs géographiques, il serait difficile d'affecter des fonds, et de les transférer si nécessaire, de la façon la plus efficace.

2e recommandation principale

Confirmer que la Direction générale de la sécurité et du renseignement (ISD) est responsable de l'élaboration des politiques de sécurité du Ministère dans un contexte international en évolution, ***, ainsi que de la surveillance des activités liées à la sécurité, que ISD ne conserve aucune responsabilité de fonctionnement ni aucun financement connexe, ce qui aurait tendance à enfreindre le principe du « paiement par l'utilisateur », sauf pour le financement des stocks. (Les recommandations secondaires sont en italique ci-dessous, avant chaque réponse).

2e rec. princ. - Réponse : Accepte la définition des responsabilités. La Direction générale doit conserver le financement et la responsabilité de certains aspects des activités de sécurité (voir le modèle à l'annexe I) pour assurer le respect des normes ministérielles ainsi que la capacité du Ministère à répondre rapidement aux nouvelles situations en matière de sécurité qui ne sont pas prévues dans le budget de la mission.

2.1 Évoquer le principe du « paiement par l'utilisateur » pour les dépenses, y compris celles de la durée utile, qui sont demandées ou requises par les directions des programmes de l'AC et par les missions.

2.1 Le principe du « paiement par l'utilisateur » s'applique déjà en grande partie dans le cas des gardes de sécurité locaux dans les missions (et non des gardes de sécurité militaires canadiens) et de l'entretien de la chancellerie et des logements. Selon le niveau de technologie, les « terminaux de communications protégées » peuvent être de la responsabilité du SXD ou de la mission.

2.2 Charger ISD des politiques et des normes relatives à la sécurité, de la surveillance de l'application des politiques, de la préparation d'options pour les mesures de sécurité, de la documentation relative à l'adoption et à l'approbation des options de sécurité par les directions géographiques et les missions.

2.2 Accepte tous les points. Les CAS et SRD conviennent qu'un moyen efficace de réaliser un niveau satisfaisant de consultation et d'adhésion serait de mettre sur pied une « sorte de comité de contrôle des dépenses de sécurité » dont les membres se rencontreraient régulièrement. ISD élaborera un projet pour la création d'un tel comité et accroîtra ses efforts de concertation avec les autres directions générales fonctionnelles et géographiques sur les questions de sécurité.

2.3 ISD élaborera et effectuera une approche révisée des évaluations de la menace et du risque qui fasse participer les gestionnaires de programmes aux évaluations des programmes, des systèmes de soutien et à celles propres à une installation et qui comprenne l'élaboration de solutions rentables de gestion des risques.

2.3 Accepte la recommandation. Il s'agit d'une pratique courante, bien que des améliorations sont apportées aux procédures. Un modèle normalisé et simplifié pour les évaluations de la menace et du risque (EMR) a été élaboré et sera utilisé par *** pour préparer une EMR à jour lorsqu'une mission est inspectée. Des EMR seront aussi mises au point pour répondre à des besoins spéciaux, comme la construction ou la rénovation d'une mission ou lorsque les conditions locales dans une mission changent considérablement. Un élément clé de ce processus sera la consultation avec les directions géographiques et les autres ministères de manière à travailler selon une EMR convenue, laquelle servira de document de travail à partir duquel seront prises les décisions relatives à la sécurité.

2.4 Établir un forum sur les priorités des programmes pour discuter des questions de sécurité.

2.4 Accepte en principe la recommandation. Les réunions présidées par ISD se tiendront régulièrement avec les autres ministères pour discuter des questions relatives à la sécurité.

2.5 Établir des normes de service pour les activités de soutien de ISD concernant la sécurité du Ministère.

2.5 Les normes de sécurité et de services existent déjà, mais ne sont peut-être pas tout à fait comprises ou facilement utilisables par tous les utilisateurs. Les programmes de sensibilisation et d'éducation en matière de sécurité peuvent être intensifiés (séances d'information plus fréquentes) pour que tout le personnel soit informé des politiques et des normes relatives à la sécurité et de sa propre responsabilité à cet égard.

2.6 ISD préparera un recueil des meilleures pratiques.

2.6 Bien que reconnaissant les avantages de la publication d'un « recueil », les ressources ne sont pas disponibles actuellement pour permettre de s'engager dans un tel exercice jusqu'à ce que soit achevé le travail de révision et de mise à jour des manuels des instructions de sécurité. Le principe des « meilleures pratiques » fait partie des activités et de la manière de penser de la direction générale.

2.7 Élaboration et mise en oeuvre de cadres d'obligation de rendre compte de la gestion pour les processus décisionnels permanents liés à la sécurité.

2.7 Des cadres d'obligation de rendre compte de la gestion existent pour ces fonctions, mais il est possible qu'ils ne soient pas appliqués de façon aussi rigoureuse qu'ils le devraient. Dans bien des cas, des ressources humaines limitées ont entraîné des manquements apparents. ISD a l'intention d'aider les autres unités dans le processus d'obligation de rendre compte de la gestion de la sécurité au moyen de consultations plus fréquentes, de rétroaction et d'initiatives de sensibilisation et d'éducation en matière de sécurité.

2.8 Fournir aux missions le financement pour le coût des traitements et indemnités des gardes de sécurité militaires, ISD jouant un rôle fonctionnel ou donner à ISD le financement nécessaire à ces activités et lui en assigner la pleine responsabilité.

2.8 Nous ne sommes pas d'accord que cette responsabilité doive faire l'objet d'un choix. Le programme des gardes de sécurité militaires (GSM) fonctionne parfaitement bien comme il est conçu actuellement, en tant que ressource ministérielle gérée centralement avec l'accord des missions qui doivent budgétiser les dépenses locales.

Le programme des gardes de sécurité militaires (GSM) est géré en vertu d'un PE avec le ministère de la Défense nationale. Aux termes de ce PE, un nombre convenu de policiers militaires sont détachés au MAECI pour être affectés dans les missions, où ils jouent le rôle de responsables de la sécurité et de gardes. Le PE est administré par ISR. Tous les coûts de traitements, d'indemnités, de formation, de réinstallation et les frais connexes sont assumés par le MDN et remboursés par ISR par l'intermédiaire d'ISDF.

Le déploiement des GSM dans les missions s'effectue à la demande des directions générales géographiques et des missions, avec l'assentiment d'ISR et selon les EMR convenues. Les missions sont responsables des coûts de logement locaux et de tous les coûts opérationnels locaux, comme les déplacements sur leur territoire.

Il est évident qu'il doit y avoir une gestion centrale pour le PE. Il devrait aussi être évident qu'une direction de l'Administration centrale n'est pas la mieux placée pour gérer les logements locaux des GSM, mais que ce rôle appartient plutôt à chaque mission. Cette responsabilité partagée est parallèle à la gestion du personnel permutant du Ministère - les affectations et les salaires sont gérés à l'Administration centrale; les coûts de logement locaux et l'administration locale incombent aux missions.

2.9 ISD doit gérer un stock d'équipement de sécurité qui peut être nécessaire afin pour répondre à des besoins essentiels. Les missions sont responsables des coûts de ces articles.

2.9 Accepte en principe la recommandation. Une grande partie de l'inventaire fourni aux missions est déjà imputée aux budgets de celles-ci. Conformément à l'approche présentée à l'annexe I, nous devrons chercher à mettre en place un système de facturation interne plus rigoureux pour l'équipement de sécurité dont les missions sont responsables. Une période d'expérimentation sera aussi nécessaire afin de définir les besoins financiers pour le maintien d'un stock de roulement même avec un système de facturation interne.

2.10 Le financement des coûts de fonctionnement des véhicules blindés sera assigné aux directions géographiques et aux missions.

2.10 Accepte la recommandation. Il s'agit déjà d'une procédure normale d'exploitation (voir l'annexe I). ISR/ISDF a effectué récemment un examen des exigences, des calendriers d'entretien et du partage des responsabilités financières avec les missions où des véhicules blindés ont été déployés. Les véhicules seront assignés aux missions seulement sur la base des EMR convenues, et les missions seront responsables du bon entretien et du fonctionnement des véhicules tant que ceux-ci seront nécessaires.

2.11 Établir un cadre d'acquisition et de distribution des biens. Mettre en place un système de prêt.

2.11 Ceci se rapporte à la recommandation 2.9.

Il est possible qu'il s'agisse d'une erreur conceptuelle d'insister pour que les missions soient responsables de toutes ces dépenses. Dans la plupart des cas, lorsqu'il est nécessaire d'effectuer des dépenses pour des installations ou de l'équipement de sécurité, ce besoin est causé par des incidents non prévus ou par des recommandations faites à la suite d'une inspection de sécurité. Les missions ne sont pas en mesure de prévoir et de planifier de telles dépenses; par conséquent, le manque de fonds empêcherait une intervention rapide. Les CAS ont indiqué clairement qu'ils apprécient la capacité d'ISD à financer l'achat ou l'installation d'équipement relativement petit lorsque le besoin s'en fait sentir. Comme toujours, la clé de la responsabilité est de s'assurer que la direction responsable (ISR) et l'utilisateur (la mission) conviennent de la nécessité d'envisager toute dépense et qu'ils ont documenté ce besoin.

2.12 Définir l'obligation de rendre compte d'ISD pour le matériel et l'équipement de protection des biens et le financement connexe.

2.12 Cela a déjà été entrepris dans le modèle à l'annexe I.

2.13 Confirmer le rôle d'ISD comme acheteur, entreposeur et fournisseur. S'assurer que les frais engagés pour satisfaire les besoins de l'utilisateur sont assumés par l'unité/la mission concernée.

2.13 Accepte la recommandation.

2.14 Réunir à l'AC la gestion des émetteurs-récepteurs portatifs afin de maximiser la fonction de service tout en réduisant les coûts.

2.14 Par le passé, les réseaux d'émetteurs-récepteurs portatifs ont été recommandés ou approuvés et financés par ISR, et ont été installés en collaboration avec SXT ***. Cette pratique pourrait selon le modèle proposé à l'annexe I. Les systèmes d'émetteurs-récepteurs portatifs ne doivent pas être confondus avec les réseaux d'émetteurs-récepteurs portatifs que les missions peuvent utiliser à des fins administratives ou consulaires et qui sortent du cadre de responsabilité d'ISD. Cette question fait l'objet de consultations avec SXT, à la suite de quoi ISD déterminera avec précision à qui revient la responsabilité de l'acquisition et de l'entretien de tels systèmes.

***

4e recommandation principale

Confirmer que, tandis que la Direction générale des biens (SRD) est responsable de la gestion des locations et des constructions importantes de chancellerie, les directions générales géographiques et de programmes ou les autres ministères, selon le cas, sont responsables de l'approbation officielle du financement de SRD nécessaires pour satisfaire aux besoins des programmes et des missions. Cette confirmation est indispensable pour que non seulement les configurations minimales des installations établies selon les normes d'ISD sont mises en oeuvre, mais aussi que tous les besoins de programmes spéciaux sont dûment autorisés. (Les recommandations secondaires sont en italique ci-dessous, avant chaque réponse.)

4e rec. princ. - Réponse : Accepte la recommandation.

4.1 Assigner la responsabilité des décisions qui influent sur les besoins de sécurité à ceux dont les décisions opérationnelles dictent les exigences en matière de sécurité.

4.1 Accepte la recommandation. Les décisions devront être prises en fonction des ERM convenues et conformément aux normes établies par le Ministère.

4.2 Assigner les responsabilités de financement pour les mesures de protection des biens de la mission, à la mission, à SRD ou à ISD. Faire en sorte que les responsabilités de financement pour les initiatives en matière de sécurité dans tout le Ministère soient séparées des responsabilités permanentes de maintien de la sécurité, à la fois à l'AC et dans les missions.

4.2 Pour tout nouveau projet, les dispositifs et les installations de sécurité (y compris le SICCD), considérés comme nécessaires à la mission par la direction générale géographique pertinente, selon les EMR convenues et les conseils d'ISD et en accord avec les normes établies du Ministère, devront être financés par le projet.

4.3 Harmoniser l'obligation de rendre compte des mesures de protection des biens avec les responsables du financement pour que les bénéficiaires du matériel acceptent les mesures de protection choisies.

4.3 Les choix en matière de mesures de protection doivent être effectués selon les EMR convenues et les conseils d'ISD et en accord avec les normes établies par le Ministère.

4.4 Élaborer des politiques comptables pour l'équipement et le matériel de protection des biens qui répondent aux besoins futurs de la comptabilité d'exercice et de la fonction de contrôleur.

4.4 SMSP prépare une politique générale sur les immobilisations à l'intention de tout le Ministère en tenant compte des besoins particuliers d'ISD et des autres directions générales ainsi que des principales responsabilités pour l'acquisition et la gestion du matériel. Cette direction générale restera en liaison étroite avec SMSP sur l'élaboration de cette politique.

5e recommandation principale

Mettre en place pour tout le personnel de l'AC et des missions des programmes obligatoires de sensibilisation et de formation en matière de sécurité. Demander des tests périodiques de compétence requis pour certains postes. (Les recommandations secondaires sont en italique ci-dessous, avant chaque réponse.)

5e rec. princ. - Réponse : Accepte la recommandation. Il s'agit d'un projet permanent.

5.1 Élargir la couverture et le contenu des programmes actuels d'ISDT portant sur la sensibilisation et la formation en matière de sécurité. Rendre obligatoire la participation pour certains postes. Axer la formation sur les responsabilités concernant les mesures de protection et l'obligation d'en rendre compte.

5.1 Un plus grand éventail de programmes de sensibilisation et d'éducation en matière de sécurité figure dans le plan d'affaires du prochain exercice, y compris l'affectation de ressources supplémentaires. Des projets particuliers sont conçus pour combler les lacunes en matière d'éducation (dont un grand nombre ont été abordés dans cette réponse). La priorité est accordée aux programmes d'éducation en matière de sécurité qui seront conformes à la stratégie de formation des ERP de l'ICSE.

5.2 Soumettre à des tests de compétence les titulaires de postes chargés de fonctions de sécurité particulières et les employés canadiens qui possèdent une attestation de sécurité.

5.2 ISD examinera les procédures pour définir où et pour quels postes des tests de compétence peuvent être requis. En général, *** sont choisis parmi le personnel du service des affaires étrangères qui possède des compétences de base.

Mesures de suivi

La Direction générale de la sécurité et du renseignement (ISD) a entrepris une série de consultations avec les autres directions générales afin de discuter, d'examiner et, s'il y a lieu, de modifier les pratiques de gestion de la sécurité en fonction des recommandations, découlant de la vérification de la sécurité.

Voici un aperçu des mesures qui ont été ou seront prises pour entretenir ce processus et pour faire en sorte que l'obligation de rendre compte des décisions de sécurité soit intégrée aux activités :

  1. ISD a consulté les autres directions générales fonctionnelles dont il est fait mention dans la vérification (SRD et SXD) pour veiller à ce que soit comprise l'affectation des responsabilités à l'annexe I.
  2. ISD a convoqué une réunion des conseillers de l'administration des secteurs géographiques pour discuter des implications du budget et des répercussions sur la planification de la responsabilité accrue en matière de sécurité, ainsi que des efforts en vue de mieux faire accepter ce programme au niveau de la mission.
  3. Conformément aux recommandations de ces conseillers de l'administration du secteur et de SRD, ISD mettra sur pied un processus appelé « examen des dépenses de sécurité » qui consistera en des réunions tenues régulièrement avec les conseillers de l'administration du secteur et SRD et d'autres parties intéressées afin de discuter des questions de sécurité et des principaux projets de dépenses en la matière. De plus, ISD s'efforcera de participer aux séances de planification régulières de la Direction générale des biens (SRD) pour améliorer la planification des questions de sécurité et leur incorporation à la planification du projet.
  4. ISR intensifiera sa consultation et sa collaboration avec les directions générales géographiques, les autres ministères et les sources de renseignements afin d'examiner, de mettre à jour et d'approuver les évaluations de la menace et du risque (EMR) de la mission. Cette démarche prendra la forme d'un comité EMR permutant (en ce qui concerne la composition de ses membres). ISR a aussi entrepris de réviser et de rédiger au moins 30 EMR de mission par an, et ce processus est en bonne voie de réalisation.
  5. ISD tentera de définir et de mettre au point le système de facturation interne pour la fourniture d'équipement de sécurité aux missions.
  6. ISD examinera les documents sur les normes de sécurité des biens, des personnes et de la TI pour qu'ils soient facilement accessibles aux centres de responsabilité concernés.
  7. ISD effectuera d'autres consultations auprès de SXD sur plusieurs questions relatives à la sécurité des systèmes de TI, de l'équipement radio pour protection personnelle et sur d'autres questions de communication afin de s'assurer que les rôles et les responsabilités respectives pour la sécurité des renseignements sont compris, et que des normes appropriées sont en place et sont respectées. L'agent de sécurité du Ministère et l'agent d'information en chef ont convenu de se rencontrer tous les trimestres pour examiner les questions d'intérêt commun.
  8. ISD examinera les politiques comptables pour s'assurer qu'elles sont conformes aux besoins futurs de la comptabilité d'exercice et de la fonction de contrôleur.

ISD élargira ses programmes de sensibilisation et de formation en matière de sécurité pour répondre aux besoins déterminés dans la vérification de la sécurité, de même que pour assurer qu'un nombre optimal d'employés du Ministère possède les connaissances de base nécessaires en matière de sécurité pour assumer leurs responsabilités selon leurs postes et fonctions.

ANNEXE I - Centres de prise de décisions et de financement en matière de sécurité

10/12/1999

  Centre de responsabilité
Sécurité à l'Administration centrale  
La gestion de la sécurité de tous les immeubles et du personnel à l'Administration centrale (l'Édifice L.B. Pearson et les installations dans la région de la capitale nationale) relève de la responsabilité d'ISRG. Sa responsabilité consiste à offrir des services de protection, à administrer le programme des commissionnaires, à gérer la sécurité et la sûreté de l'édifice et à déterminer l'équipement spécial de sécurité à acquérir, s'il y a lieu. ISRG gère également le programme de protection contre les incendies pour le MAECI dans la RCN. ISRG
TPSGC fournit les locaux conformément aux normes énoncées dans la Politique gouvernementale en matière de sécurité et aux exigences propres au Ministère. TPSGC
Sécurité des missions  
La sécurité des missions à l'extérieur du Canada est la responsabilité conjointe de la Direction générale de la sécurité et du renseignement (ISD), des directions générales géographiques et des missions elles-mêmes, dont les dispositifs de sécurité particuliers décrits ci-dessous relèvent de la responsabilité d'autres directions générales du Ministère.  
1. Gestion et inspection régionales en matière de sécurité  
ISD est chargé de maintenir les compétences et les politiques du Ministère dans l'application des politiques et exigences de la PGS dans les missions.  
*** ISR coordonne la préparation et l'adoption des évaluations de la menace et du risque (EMR) pour chaque mission en collaboration avec les directions générales géographiques, le SCRS, les autres ministères et toutes les autres directions générales au Ministère concernées par des aspects de la sécurité. ISR
*** fournit des conseils sur les mesures de sécurité qui doivent être mises en place dans les missions, selon les normes, et les politiques du Ministère et les EMR pertinentes.  
*** effectue les inspections des missions périodiquement pour contribuer à l'application des politiques, des normes et des mesures de sécurité, examiner les EMR et donner des conseils à l'agent de sécurité de la mission.  
Les directions générales géographiques appliquent les décisions stratégiques des Ministres, et décident de l'emplacement des missions, des programmes que les missions exécuteront, des besoins en dotation, des niveaux de budget et des installations de communications. Les missions (selon les niveaux de références des directions générales) sont responsables de tous les coûts d'entretien et de soutien du personnel local (p. ex., les gardes) ainsi que des nouvelles installations et des améliorations aux mesures de sécurité. Au moment de décider des programmes, des systèmes et des niveaux de personnel, les budgets tiendront compte de l'application de toutes les normes pertinentes du Ministère. Directions générales géographi-ques/missions
ISD, par l'intermédiaire de ***, coordonne et communique les politiques pour le soutien des systèmes de sécurité, la protection du personnel et des biens, les installations matérielles et la protection et l'intégrité des systèmes de mentions élogieuses. ***
2. Évaluations de la menace et du risque  
Les EMR propres à la mission seront préparées par ISR et seront examinées et acceptées par la direction générale géographique concernée. Par la suite, les décisions relatives aux besoins de sécurité seront prises en tenant compte des menaces convenues et des risques acceptables, et en conformité avec les normes ministérielles applicables. ISR/Directions générales géographiques
Les EMR propres à un projet ou à un élément et qui portent sur la sécurité des biens seront préparées par les missions et approuvées par ISR pour toutes les nouvelles dépenses importantes engagées par les missions ou l'Administration centrale en réponse à des menaces à la sécurité. Missions/ISR
3. Véhicules blindés  
ISD par l'intermédiaire d'un groupe de travail d'ISR, ***, et avec le soutien technique de la GRC en vertu d'un PE, gère le parc de véhicules blindés du Ministère pendant toute sa durée utile. Les véhicules sont déployés dans les missions à la demande de celles-ci et selon les EMR convenues. ISR est responsable du financement pour l'achat des véhicules et du stock de pièces spéciales ou de leur remplacement, de la formation des conducteurs et du personnel d'entretien, s'il y a lieu, et de l'expédition initiale d'un véhicule dans une mission. ***
Les missions sont responsables du fonctionnement et de l'entretien quotidiens des véhicules, y compris des pièces qui y sont normalement disponibles. Les missions sont aussi responsables de renvoyer les véhicules lorsqu'elles n'en ont plus besoin. Missions
4. Programme des gardes de sécurité militaires  
Le programme des gardes de sécurité militaires (GSM) est géré en vertu d'un PE avec le ministère de la Défense nationale. Aux termes de ce PE, un nombre convenu de policiers militaires sont détachés au MAECI pour être affectés dans les missions où ils jouent le rôle de responsables de la sécurité. ISR/ISDF
Le PE est administré par ISR. Tous les coûts de traitements, d'indemnités, de formation, de réinstallation ainsi que les frais connexes sont assumés par le MDN et remboursés par ISR par l'intermédiaire d'ISDF.  
Le déploiement des GSM dans les missions s'effectue à la demande des directions générales géographiques et des missions, avec la participation d'ISR et selon les EMR convenues. Directions générales géographiques/Missions/ISR
Les missions sont responsables des coûts de logements locaux et de tous les coûts opérationnels locaux, comme les déplacements sur leur territoire. Missions
Les déplacements à l'extérieur du territoire de la mission, effectués à la demande d'ISR, relèveront de la responsabilité de cette direction ou de la mission qui demande de l'aide selon les circonstances. ISR
5. Projets et aménagements des chancelleries, des logements et des biens  
La Direction générale des biens (SRD) continue d'être responsable de la planification et du financement de tous les nouveaux projets immobiliers à l'extérieur du Canada (4e recommandation principale). Lors de l'ébauche des plans, SRD répond aux exigences des directions générales géographiques, quant à la taille et aux programmes et aux exigences en matière de sécurité d'ISD (ISR et ISC). Les installations et les exigences en matière de sécurité seront établies selon les EMR convenues, les normes du Ministère en place et les exigences particulières pour la protection de certains éléments de l'équipement classifié ou de nature délicate que « l'utilisateur » a désigné comme étant nécessaire à la réalisation des programmes de la mission. Tous les coûts de projets et d'aménagements doivent être calculés dans le cadre du budget d'un projet. SRD
6. Installations et équipement de sécurité dans les missions  
Toutes les installations et tout l'équipement de sécurité installés dans une mission lorsqu'un projet initial a été commandé, ainsi que le fonctionnement et l'entretien de tout cet équipement, seront la responsabilité de la mission. Ceci peut inclure l'ajout de fenêtres anti-souffle et de barrières de contrôle d'accès, de grilles, de systèmes d'alarme et d'abris sûrs dans les logements du personnel. ISR donnera des conseils concernant les exigences et les normes applicables du Ministère. Missions
Les missions devront planifier l'entretien et le remplacement de l'équipement de sécurité installé dans les bureaux et dans les logements du personnel. Missions/CAS
Les missions sont aussi responsables de la fourniture de tout équipement de sécurité personnel qui peut être nécessaire, selon les EMR et les conseils des responsables régionaux de la sécurité d'ISR. Missions
Afin d'assurer la disponibilité immédiate de l'équipement de sécurité courant, comme les dispositifs de verrouillage, les classeurs et les déchiqueteuses, ISDF l'aura en stock et se fera rembourser l'équipement livré par les missions ou par les directions de l'Administration centrale. ISDF
Des mesures ont été prises afin de permettre à ISR de financer les installations et l'équipement de sécurité dont on vient de déterminer l'utilité et qui ne pouvaient pas être prévus dans la planification budgétaire des missions. De telles dépenses peuvent résulter de situations d'urgence qui surviennent à une mission ou être occasionnées par des installations qui peuvent être recommandées à la suite d'une inspection de sécurité. ISR
7. Sécurité des communications  
La Direction générale de la gestion de l'information et de la technologie (SXD) est responsable de la conception, de l'élaboration et du maintien des communications protégées du Ministère (3e recommandation énérale). Ceci comprend le réseau téléphonique, le réseau électronique de communications informatisées, les postes téléphoniques protégés et les réseaux d'émetteurs-récepteurs portatifs dans les missions. SXD établit les politiques pour le remboursement de ces services par les directions générales géographiques et les missions. SXD
Les décisions concernant le déploiement de divers types de systèmes de communications protégées dans les missions sont prises par les directions générales géographiques en consultation avec ISD et SXD, selon les exigences des programmes et les EMR. Directions générales géo graphiques/ISD/SXD
ISD, *** est responsable de *** l'élaboration des plans et des politiques de sécurité. ***
L'obligation de rendre compte, le contrôle et la distribution de *** à l'AC et dans les missions sont gérés par ISDF *** ISDF
L'Administration centrale possède un stock ***. Ceux-ci peuvent être envoyés aux missions à la demande de ces dernières (lesquelles peuvent alors fournir la protection nécessaire pour l'équipement et les renseignements qui peuvent être traités), qui devront en acquitter les frais. Missions
8. Services de courrier et de messagerie  
La Direction des services de distribution (SBG) fournit le service du courrier diplomatique et la distribution protégée du courrier désigné et classifié au sein du Ministère, selon les exigences de la PGS et les normes de sécurité du Ministère. SBG
9. Sécurité technique  
*** ***
10. Sensibilisation, formation et éducation en matière de sécurité  
ISD, par l'intermédiaire de sa Section de la sécurité du personnel et de l'éducation en matière de sécurité, offre des séances d'information à l'intention du personnel, sur un éventail de questions relatives à la sécurité dans le but de préparer les employés du Ministère à mieux comprendre et à gérer leurs responsabilités concernant la protection des renseignements désignés et classifiés, les biens du gouvernement et la sécurité personnelle des employés et des personnes à charge des employés canadiens dans les missions. Cette section fournit aussi une gamme de renseignements ayant trait à ces questions. ISDT
11. Sécurité du personnel  
*** ***
12. Services de liaison et de renseignements  
*** ***
***  

Bureau de l'inspecteur général

Pied de page

Date de modification :
2008-11-19