Politique de Sécurité D’ESDC

La Politique sur la sécurité a reçu l’approbation du Comité de gestion ministériel (CGM) le 16 juin 2021 et est entrée en vigueur le 1^er juillet 2021.

• 1.1

  La présente politique remplace la Politique sur la sécurité ministérielle et le Manuel des procédures de 2005.

La Politique sur la sécurité d’EDSC (la « Politique ») est approuvée par le dirigeant principal de la sécurité (DPS), qui relève du sous-ministre (SM) pour la mise en œuvre et la gestion efficaces du programme de sécurité au sein du Ministère.

• 3.1

  La présente Politique s’applique à tous les employés d’EDSC ainsi qu’aux partenaires et aux entrepreneurs qui doivent respecter les politiques d’EDSC.

• 3.2

  Le Code de valeurs et d’éthique du secteur public ainsi que le Code de conduite d’EDSC énoncent les attentes qui guident les employés d’EDSC dans l’exécution de leur travail.

La présente Politique décrit l’orientation et les procédures de l’organisation pour tous les domaines de contrôle de sécurité décrits dans la Politique sur la sécurité du gouvernement du SCT, y compris tous ses instruments de politique auxiliaires, ses directives, ses normes, ses lignes directrices et sa documentation technique, ainsi que la Politique sur les services et le numérique. Pour assurer l’efficacité et l’efficience des activités d’EDSC, la présente Politique ministérielle appuie également la sensibilisation, la collaboration ouverte et veille à ce que les attentes relatives aux activités de sécurité au sein du Ministère soient bien définies.

La présente Politique est complétée par :

• Le Cadre de lutte contre la fraude d’EDSC
• Le Cadre de sécurité des TI d’EDSC
• La Politique ministérielle sur la gestion de la protection des renseignements personnels
• Le Cadre de gestion de la protection des renseignements personnels d’EDSC
• La Stratégie de la Direction générale des services d’intégrité
• La Stratégie de service d’EDSC

Le portefeuille d’Emploi et Développement social Canada (EDSC) comprend un certain nombre d’entités de soutien : le Programme du travail, Service Canada, la ministre d’État aux Aînés et la ministre d’État à la Condition féminine. Ces entités travaillent ensemble à fournir des services aux Canadiens, aux entreprises et à un certain nombre de sociétés avec un certain nombre d’autres ministères et organismes relevant du gouvernement du Canada pour assurer la stabilité sociale, politique et économique du pays.

Le Ministère est responsable de la gouvernance de la sécurité et veille à ce que des mesures de sécurité soient en place pour protéger ses employés, ses clients, l’information et les autres biens; s’assure qu’il est prêt à réagir aux menaces actuelles et changeantes en matière de sécurité et veille à ce que la gestion de la sécurité soit systématiquement intégrée aux activités, aux programmes et à la culture de l’organisation dans son ensemble. Essentiellement, pour donner à l’organisation et aux Canadiens la tranquillité d’esprit et bâtir la confiance.

Par conséquent, afin d’appuyer un important élément de base d’une bonne gouvernance et d’une responsabilisation, cet ensemble d’instruments de politique sur la sécurité aide l’organisation à cerner les faiblesses en matière de sécurité à un niveau macro et micro afin de mieux gérer les risques, d’harmoniser et de respecter adéquatement les exigences des lois fédérales pertinentes et de fournir une référence faisant autorité aux employés d’EDSC sur la pratique de la gestion de la sécurité.

• Objectifs

  1. Fournir aux intervenants une assurance au sujet des pratiques de gestion des risques pour la sécurité au sein du Ministère.
  2. Favoriser un milieu de travail sécurisé pour les employés et des conditions de service sécuritaires pour les Canadiens.
  3. Permettre la gestion rapide et cohérente des incidents de sécurité et soutenir un niveau élevé de préparation des services et des opérations critiques d’EDSC pour contrer les perturbations ou les urgences.
  4. Promouvoir et maintenir une culture de sécurité à l’échelle du Ministère qui appuie la protection continue des personnes, de l’information et des biens.
• Résultats

  • La gestion et les activités de sécurité d’EDSC appuient la conformité aux exigences réglementaires et tiennent compte de la complexité, de l’ampleur et de la portée du mandat, de la gouvernance, des programmes et des services de l’organisation.
  • Les mesures, pratiques et contrôles de sécurité axés sur les risques sont documentés, appliqués, surveillés et maintenus pour protéger les employés, les clients, les renseignements sensibles et les biens de valeur contre les menaces à la sécurité et les vulnérabilités.
  • Le programme de sécurité contribue à l’optimisation des processus opérationnels, renforce la surveillance et la production de rapports et facilite la détection et l’atténuation des risques de sécurité internes et externes de façon mesurable et significative.
  • La gestion des événements/incidents de sécurité est coordonnée, comprend une analyse en temps réel et intègre diverses approches afin de permettre à EDSC de déterminer et d’appliquer des mesures de contrôle efficaces et de s’adapter à un environnement dynamique de menace.
  • Le Ministère utilise des technologies modernes et des plans stratégiques bien élaborés pour coordonner les efforts d’urgence et de continuité des activités, atténuer les menaces à la sécurité et les vulnérabilités, et rétablir les services et activités essentiels aux niveaux appropriés pendant les interruptions et les urgences.
  • Le programme de sécurité, de sensibilisation et de formation d’EDSC est géré pour renforcer la capacité et l’expertise internes en matière de sécurité et permettre au personnel de l’organisation de mieux comprendre les enjeux de sécurité et leurs responsabilités globales en matière de sécurité.

"Le dirigeant principal de la sécurité (DPS) relève de l’administrateur général ou du comité exécutif ministériel afin d’assurer le leadership, la coordination et la supervision des activités de gestion de la sécurité ministérielle ”.

- Politique sur la sécurité du gouvernement du SCT 2019

• 7.1 Gouvernance de la sécurité

  Un programme de sécurité bien géré donne aux intervenants l’assurance que les efforts collectifs et la posture de sécurité globale de l’organisation permettent de protéger les employés, les clients, l’information et les biens.

  EDSC est responsable de ce qui suit :

  • 7.1.1

    Créer des comités de gouvernance pour assurer une supervision officielle de la gestion du programme de sécurité d’EDSC pour :

    • Établir l’orientation de l’organisation en matière de gestion de la sécurité et de l’identité;
    • Veiller à ce que la fonction de sécurité soit transparente, réceptive et efficace; et
    • S’assurer que toutes les questions relatives à la gestion des risques de sécurité d’EDSC ainsi qu’aux opérations et à l’administration de la sécurité sont harmonisées et fonctionnent conformément à l’orientation du programme du DPS.

    La figure 1 (ci-dessous) est un organigramme de la gouvernance du programme de sécurité qui montre les divers comités et groupes exécutifs qui participent au programme de sécurité à l’échelle du Ministère.

    

    *CNSI – Comité national des services d’intégrité et de la sécurité

    **CNSII – Comité national de sécurité de l’intégrité interne

• 7.2 Détermination et atténuation des risques

  Les mesures de détermination et d’atténuation des risques d’EDSC reposent sur une approche fondée sur des données probantes pour répondre aux menaces, lacunes et vulnérabilités omniprésentes qui pourraient exister à l’échelle du Ministère.

  L’organisation doit :

  • 7.2.1

    Appliquer l’analyse avancée pour examiner les tendances et cerner et intégrer les risques liés au programme de sécurité ou liés à celui-ci dans les processus généraux de planification stratégique et de planification de la continuité des activités de l’entreprise.

  • 7.2.2

    Inclure les risques pour la sécurité du Ministère dans le plan de sécurité ministériel pour une évaluation, une surveillance et un suivi adéquats des stratégies et des plans d’atténuation des risques.

  • 7.2.3

    Concevoir et utiliser des outils analytiques pour aider à renforcer la posture de sécurité du Ministère; détecter et prioriser les menaces; et calculer l’incidence et la probabilité d’événements/incidents potentiels. Ainsi, les activités et les plans d’atténuation des risques seront fondés sur l’évaluation et les niveaux de tolérance de ces risques.

  • 7.2.4

    Utiliser régulièrement diverses mesures d’identification et d’atténuation des risques pour la sécurité, y compris l’établissement des priorités et le classement des niveaux de risque pour orienter la prise de décisions fondées sur les données.

    • 7.2.4.1

      Une méthodologie d’évaluation des menaces et des risques (EMR) pour effectuer des évaluations de sécurité doit être élaborée et mise en œuvre afin d’inclure des examens de la pertinence et de l’efficacité des mesures visant à protéger les personnes, les renseignements et les biens dans chaque lieu occupé par EDSC.

    • 7.2.4.2

      La méthodologie d’EMR doit être suivie de façon constante et examinée régulièrement (p. ex. tous les cinq ans) afin de gérer les menaces et les risques émergents pour le milieu de travail physique détectés à l’échelle régionale ou nationale.

    • 7.2.4.3

      Officialiser un processus approuvé à l’échelle nationale pour mettre en œuvre et surveiller les recommandations de l’EMR et en faire rapport aux fins de résolution et de communication aux intervenants. Une telle démarche contribuera à améliorer la transparence, l’établissement des priorités, l’atténuation et la prise de décisions fondées sur les données, tout en veillant à ce que les recommandations soient appliquées rapidement et efficacement.

  • 7.2.5

    Élaborer un plan de sécurité ministériel pluriannuel. Le plan devrait être mis en œuvre et examiné chaque année afin d’évaluer son efficacité et sa pertinence dans la réalisation des priorités et des objectifs du Ministère, y compris la protection de ses employés et du public qu’ils servent, de ses vastes dépôts de renseignements, de ses biens matériels et de l’intégrité de ses services et opérations.

    • 7.2.5.1

      Le plan de sécurité ministériel doit définir les contrôles, décrire les rôles et les responsabilités, décrire les risques pour la sécurité et les stratégies d’atténuation, et communiquer les buts, les priorités et les échéanciers pour améliorer le programme de sécurité ministériel.

    • 7.2.5.2

      Le plan de sécurité ministériel doit préciser les activités de surveillance et les exigences en matière de rapports. Des paramètres de rendement crédibles et fiables doivent également être définis pour inclure les résultats attendus, les indicateurs et les cibles temporelles pour chaque domaine de risque en matière de sécurité.

  • 7.2.6

    Établir et définir clairement l’objectif et le mandat des comités directeurs de la sécurité appropriés, présidés (ou coprésidés) par le dirigeant principal de la sécurité et composés d’intervenants ministériels clés.

    • 7.2.6.1

      Les comités directeurs de la sécurité planifieront, examineront et surveilleront les risques, les tendances et les mesures en matière de sécurité et assureront la supervision du programme de sécurité d’EDSC.

    • 7.2.6.2

      Le mandat des comités devrait comprendre la supervision de l’élaboration des politiques ministérielles, la collaboration et les consultations entre l’Agence Centrale (AC), les agents de sécurité régionaux (ASR) et d’autres intervenants. Cela comprend l’élaboration, la mise en œuvre et le maintien d’un ensemble de politiques de sécurité cohérent et intégré qui répond aux besoins et au mandat du Ministère ainsi qu’aux exigences du Secrétariat du Conseil du Trésor.

    • 7.2.6.3

      Toutes les décisions du comité axées sur la sécurité doivent faire l’objet d’un suivi constant jusqu’à leur conclusion.

  • 7.2.7 Risque de menace interne

    Le programme des risques internes d’EDSC met l’accent sur la prévention de la fraude interne, tire parti des renseignements et maintient des pratiques qui surveillent et évaluent continuellement les risques afin de prévenir la probabilité d’attaques internes, de comportements contraires à l’éthique ou d’activités illégales de la part de ses employés.

    L’organisation doit :

    • 7.2.7.1

      Élaborer une stratégie en matière de menace interne et de risque qui s’harmonise avec le profil de risque de l’organisation d’EDSC, son mandat et ses principales priorités.

    • 7.2.7.2

      Effectuer des évaluations internes périodiques des risques de fraude pour déterminer les zones de vulnérabilité et surveiller continuellement les changements dans le contexte des menaces de fraude.

    • 7.2.7.3

      Tirer parti des outils du programme de sécurité pour développer des processus reproductibles qui surveillent, atténuent, suivent et signalent en toute sécurité les comportements inhabituels d’actes présumés ou soupçonnés de fraude de la part des employés, et y réagissent. Avec l’arrivée de notre nouvelle réalité de travail, télétravail et travail hybride ceci à créer de nouveaux enjeux et défis pour le ministère. Afin de continuer de protéger adéquatement les canadiens, les données ainsi que les renseignements, chaque jour de nouvelles mesures sont mises en place. Par conséquent, une variété de solutions technologiques, de mécanismes de suivi et d’analyses avancées des données seront nécessaires pour limiter l’exposition aux menaces et réduire les incidents internes.

      • 7.2.7.3.1

        Utiliser des sources de données structurées et non structurées pour identifier et évaluer les indicateurs de risque ou pour révéler les tendances, les relations cachées et les anomalies.

      • 7.2.7.3.2

        Veiller à ce que toutes les pratiques de surveillance des menaces internes respectent les exigences en matière de protection des renseignements personnels et à ce que les renseignements de nature délicate soient limités aux intervenants concernés seulement.

    • 7.2.7.4

      Établir un programme d’intervention en cas d’atteinte à la sécurité qui tient compte des atteintes internes et externes ainsi que des violations accidentelles et malveillantes.

    • 7.2.7.5

      Élaborer et mettre en œuvre un processus de gestion des conséquences pour les cas où une activité frauduleuse a été confirmée afin que tous les incidents soient gérés de façon normalisée et sécuritaire et fassent intervenir les intervenants appropriés.

    • 7.2.7.6

      Maintenir la collaboration et la coordination à l’échelle du ministère (Sécurité, Sécurité de la TI, Services juridiques, Protection des renseignements personnels, RH) et avec d’autres partenaires gouvernementaux afin d’élaborer une solution globale à la fraude interne et d’établir une approche équilibrée pour lutter contre la menace d’attaques internes.

      • 7.2.7.6.1

        Élaborer des protocoles de communication concis afin d’obtenir le soutien des intervenants et d’établir des relations de travail constructives pour gérer ces risques.

    • 7.2.7.7

      Mettre en place des mesures pour actualiser et maintenir l’efficacité du programme de gestions des menaces internes.

      • 7.2.7.7.1

        Le maintien des niveaux de compétence et de l’expérience appropriés permettra d’enquêter de façon approfondie et équitable sur les cas, de prendre les mesures correctives appropriées et de mettre rapidement en place des mesures préventives.

    • 7.2.7.8

      Fournir aux employés des communications rapides et efficaces sur les activités de contrôle de la fraude et élaborer des messages qui favorisent et maintiennent un environnement de sensibilisation à la fraude et qui sensibilisent davantage les employés aux risques liés aux menaces internes.

      • 7.2.7.8.1

        Les employés seront informés et motivés à signaler des allégations ou des soupçons d’activités frauduleuses; ils comprendront mieux leurs responsabilités en ce qui concerne l’identification des faiblesses potentielles en matière de sécurité et ils se familiariseront avec les mesures à prendre lorsque ces actes sont observés.

• 7.3 Enquête sécurité sur le personnel

  Le filtrage de sécurité est l’un des principaux éléments de sécurité d’EDSC qui renforce la confiance entre le gouvernement et les Canadiens. Quiconque doit avoir accès aux renseignements, aux biens ou aux installations d’EDSC doit satisfaire aux exigences de sécurité de l’organisation. Le niveau d’autorisation de sécurité requis est déterminé par les tâches à accomplir et la nature délicate des renseignements, des biens ou des installations auxquels il faut accéder.

  Le Ministère doit :

  • 7.3.1

    Maintenir une approche systématique et uniforme en matière de filtrage de sécurité, conforme aux normes du Conseil du Trésor, pour veiller à ce que le programme de filtrage de sécurité du personnel d’EDSC continue d’atténuer les risques entourant l’octroi d’accès aux personnes embauchées ou contractuelles.

  • 7.3.2

    Officialiser, mettre pleinement en œuvre et surveiller les procédures et pratiques de filtrage de sécurité.

  • 7.3.3

    Protéger ou éliminer de façon appropriée tous les renseignements personnels créés, recueillis, utilisés, divulgués ou conservés tout au long du processus de filtrage, conformément aux normes gouvernementales en matière de protection de la vie privée et des renseignements personnels.

  • 7.3.4

    Utiliser des normes de service établies pour s’assurer que toutes les enquêtes de sécurité sont traitées en temps opportun.

  • 7.3.5

    Informer les employés de leurs responsabilités en matière de sécurité et des conséquences de ne pas les exécuter ou les appliquer, une fois leur autorisation de sécurité accordée ou mise à jour.

  • 7.3.6

    Consulter l’organisation des ressources humaines lorsqu’une révocation d’autorisation de sécurité est envisagée pour un employé. Le motif de la révocation doit être documenté et les personnes doivent être informées par écrit de la décision ainsi que des mesures de révision ou des droits de recours.

  • 7.3.7

    Mettre en place un processus de surveillance officiel pour évaluer et encadrer la qualité des pratiques de filtrage; consigner les modifications, au besoin, et veiller à ce que les recommandations qui en découlent soient mises en œuvre efficacement.

  • 7.3.8

    Produire des rapports périodiques comprenant des renseignements quantitatifs et qualitatifs et des comparaisons par rapport aux paramètres de rendement approuvés et aux normes de niveau de service. Cela permettra à la haute direction d’évaluer l’efficience et l’efficacité du processus de filtrage de sécurité. Les données et les sources de données utilisées pour produire ces rapports doivent être examinées afin d’assurer la qualité et l’intégrité de l’information fournie.

• 7.4 Sécurité de la Technologie de l’Information (STI)

  La Politique sur la sécurité de la technologie de l’information d’EDSC décrit les structures de gouvernance de la sécurité de la TI, les pratiques de gestion, les objectifs, les résultats attendus et les exigences pour moderniser les opérations gouvernementales au moyen de nouvelles solutions technologiques et transformer les processus opérationnels et la prestation de biens et services aux consommateurs.

  Il incombe au Ministère d’assumer les responsabilités suivantes :

  • 7.4.1

    Veiller à ce que les mesures de sécurité de la TI couvrent un éventail d’objectifs conçus pour protéger la confidentialité, l’intégrité et la disponibilité de l’information et des systèmes contre les effets négatifs causés par des menaces délibérées ou accidentelles et des risques naturels. Cela comprend l’application de mécanismes de protection pour les dispositifs de stockage des données, les dispositifs informatiques des utilisateurs finaux, les serveurs, les réseaux et les systèmes infonuagiques qui traitent les données détenues ou contrôlées par EDSC.

  • 7.4.2

    S’attaquer aux questions suivantes, en coordination entre la direction de la DGIIT et les autres directions générales :

    • 7.4.2.1

      Toutes les données sous le contrôle d’EDSC doivent être protégées en fonction de leur niveau de sensibilité, de leur risque pour le Ministère et de leurs obligations en matière de protection des données par des tiers, quels que soient l’endroit ou les responsables délégués.

    • 7.4.2.2

      Tous les renseignements d’identité électroniques des personnes et des autres entités nécessitant un accès aux ressources d’information d’EDSC doivent être protégés et leur utilisation doit être surveillée pour prévenir l’accès non autorisé à l’information et aux systèmes et pour appuyer les processus de gestion de l’identité et de contrôle de l’accès du Ministère.

    • 7.4.2.3

      Tous les dispositifs des utilisateurs finaux doivent être sécurisés au moyen de contrôles appropriés pour la protection des données et le contrôle de l’accès aux données et aux systèmes contrôlés par EDSC.

    • 7.4.2.4

      Tous les systèmes de TI exploités sur place ou dans des environnements infonuagiques doivent disposer de mesures pour s’assurer que les processus opérationnels essentiels sont appuyés par des plans de continuité des activités et des plans de reprise après sinistre actifs et testés.

    • 7.4.2.5

      Tous les systèmes d’information doivent disposer de niveaux appropriés de capacité d’enregistrement des événements et de surveillance de la sécurité pour appuyer les processus ministériels de suivi des incidents et d’intervention.

    • 7.4.2.6

      Tous les réseaux ministériels doivent être structurés et mis en œuvre avec des contrôles de sécurité qui préviennent et détectent l’accès non autorisé aux données, aux dispositifs et aux systèmes sensibles, et qui appuient le suivi centralisé des événements et des incidents liés à la sécurité du réseau.

    • 7.4.2.7

      Tous les systèmes opérationnels exploités sur place ou dans des environnements infonuagiques doivent être protégés contre l’accès non autorisé et doivent être tenus à jour au moyen de correctifs de sécurité et de contrôles afin de compenser les vulnérabilités, et signaler les événements et incidents de sécurité qui se produisent dans les systèmes pour assurer le suivi des incidents de sécurité et intervenir.

    • 7.4.2.8

      Tous les systèmes opérationnels doivent faire l’objet d’évaluations de sécurité proportionnelles à leur niveau de sensibilité et à leur niveau de risque auquel ils peuvent exposer les réseaux ministériels ainsi que d’autres systèmes et données, et doivent disposer de contrôles de sécurité appropriés pour offrir un niveau de risque acceptable au Ministère.

    • 7.4.2.9

      Tous les employés doivent suivre une formation de sensibilisation à la sécurité pour s’assurer qu’ils sont en mesure de reconnaître et d’éviter les menaces dans leurs domaines de responsabilités et de signaler aux autorités compétentes les menaces et vulnérabilités potentielles qu’ils peuvent rencontrer aux fins d’examen et d’intervention éventuelle.

• 7.5 Sécurité matérielle

  La gestion systématique de la sécurité matérielle d’EDSC comprend l’évaluation continue des risques, des menaces et des analyses ainsi que la mise en œuvre, la surveillance et le maintien des contrôles de gestion interne appropriés.

  Les mesures de sécurité matérielle d’EDSC doivent permettre au Ministère de repérer, de signaler et de traiter les exceptions lorsque les exigences et les responsabilités en matière de sécurité matérielle ne sont pas respectées. À ce titre, EDSC doit :

  • 7.5.1

    Mettre en place une gouvernance et une surveillance de la sécurité matérielle pour assurer la coordination, la planification et l’intégration uniformes des activités de sécurité matérielle pour les opérations, les plans et les priorités du Ministère, tant à l’échelle nationale que régionale.

  • 7.5.2

    Établir et communiquer une stratégie et un plan de sécurité matérielle qui intègrent des éléments identifiables de protection, de détection, d’intervention et de rétablissement liés aux menaces et aux risques pour la sécurité.

  • 7.5.3

    Utiliser une approche intégrée pour l’exécution des activités de sécurité matérielle du Ministère. Veiller à ce que les contrôles de sécurité matérielle demeurent à jour afin de s’adapter continuellement aux besoins changeants du Ministère et de son environnement de sécurité et d’y répondre.

  • 7.5.4

    Définir et surveiller les normes de sécurité matérielle liées à l’aménagement des bureaux et au positionnement de l’équipement et des systèmes de sécurité et en rendre compte, et s’assurer qu’elles sont conformes aux lignes directrices de la Gendarmerie royale du Canada et aux autres instruments de politique pertinents.

  • 7.5.5

    Mettre en place des plans d’action approuvés en couches de défense et de protection contre les menaces pour chaque lieu de travail occupé par EDSC et assurer la coordination avec les intervenants appropriés.

    • 7.5.5.1

      Les facteurs et la conception des installations du milieu de travail doivent être équilibrés et souples pour assurer la sécurité du personnel et des clients ainsi que la protection des biens et des renseignements du Ministère. Cela comprend la mise en place de mécanismes et de produits qui favorisent l’accessibilité dans toutes les zones, sauf en cas d’exclusion.

  • 7.5.6

    Évaluer les disparités régionales en matière de contrôles de sécurité matérielle pour s’assurer qu’elles sont applicables et fondées sur les risques.

  • 7.5.7

    Mettre en œuvre et surveiller constamment le processus et la méthodologie normalisés d’évaluation des menaces et des risques (EMR) dans le cadre du programme de sécurité.

  • 7.5.8

    Concevoir et utiliser un processus officiel pour surveiller l’achèvement de l’EMR et la mise en œuvre des recommandations de l’EMR afin de réduire le risque de compromission pour les employés, les biens, les renseignements et les installations du Ministère.

  • 7.5.9

    Établir un processus (et des outils) de gestion de la surveillance pour détecter les lacunes en matière de sécurité matérielle, y réagir et les corriger afin d’atténuer les risques connexes.

  • 7.5.10

    Élaborer et mettre en pratique un système et des mécanismes fiables pour surveiller les activités de sécurité matérielle et en rendre compte afin d’appuyer la prise de décisions par la haute direction.

  • 7.5.11

    Prendre des mesures pour protéger les renseignements dans leur forme physique, y compris les biens inactifs (par exemple, en cours d’utilisation ou d’entreposage) en transit (par exemple, encours de transport ou en transmission) et par destruction appropriée, conformément à leur sensibilité et aux pratiques de sécurité du Ministère.

  • 7.5.12 Vidéo surveillance

    Les pratiques entourant l’installation et l’utilisation de la vidéosurveillance, en tant qu’outil de sécurité standard, sont conçues pour améliorer la sécurité des personnes et la protection des locaux et des autres biens de valeur du Ministère.

    Étant donné que les employés et le public ont droit à une attente raisonnable en matière de protection de la vie privée dans certains domaines, les pratiques de gestion pour l’utilisation des systèmes de vidéosurveillance comprennent le respect des considérations éthiques et le maintien de l’intégrité de l’objectif visé.

    Par conséquent, l’utilisation d’un système de vidéosurveillance doit appuyer le mandat du Ministère et doit :

    • 7.5.12.1

      Harmoniser l’installation, l’utilisation et l’entretien du système de vidéosurveillance de sécurité (SVS) avec les normes et politiques de sécurité du Ministère ainsi que les lois et règlements connexes.

    • 7.5.12.2

      Éviter d’utiliser le système à des fins administratives, notamment, mais sans s’y limiter, pour consigner les activités quotidiennes des employés en vue d’éventuelles mesures disciplinaires ou d’autres questions non liées à la sécurité.

    • 7.5.12.3

      Éviter d’installer le SVS dans les endroits où il y a une attente en matière de protection de la vie privée conformément à la Loi sur la protection des renseignements personnels et à la Charte canadienne des droits et libertés.

    • 7.5.12.4

      Informer toutes les personnes qui pourraient être enregistrées par un SVS de la collecte et de l’utilisation des renseignements personnels conformément aux dispositions de la Loi sur la protection des renseignements personnels et (ou) de la Loi sur l’accès à l’information.

      Vous trouverez des informations supplémentaires sur la vidéosurveillance à l'adresse suivante : lien

• 7.6 Gestion de la continuité des activités

  La continuité des principales activités opérationnelles est essentielle pour que l’organisation puisse garantir aux Canadiens les programmes et les services qui relèvent de son mandat. Le DPS et le Dirigeant Principale de l’information (DPI) collaborent pour coordonner la continuité ou la reprise par l’organisation des services et activités critiques dans l’environnement de sécurité.

  Le Ministère doit :

  • 7.6.1

    Établir et maintenir pleinement une structure de gouvernance du programme de PCA et les pratiques connexes pour permettre à l’organisation de concentrer ses ressources limitées sur ses fonctions les plus essentielles.

  • 7.6.2

    Effectuer une analyse des répercussions sur les activités pour déterminer et prioriser les services essentiels, les services de soutien, les fonctions et les actifs connexes essentiels.

  • 7.6.3

    Élaborer et mettre à jour régulièrement les plans de continuité des activités (PCA) et les plans de reprise des activités de GI-TI pour tous les services essentiels désignés et les services de soutien essentiels (nationaux et régionaux). Un cycle d’essai de ces plans doit être mis en place pour s’assurer que le Ministère peut fournir des services essentiels et des services de soutien essentiels en cas d’interruption.

  • 7.6.4

    S’assurer que les ressources, l’infrastructure et les outils nécessaires sont en place et correspondent aux mécanismes appropriés pour soutenir les services essentiels et les services de soutien essentiels. Afin de réduire au minimum les conséquences des perturbations pour le personnel et les services, EDSC doit également tenir compte des régimes de travail non conventionnels (c.-à-d. le télétravail) et des préoccupations en matière d’accessibilité.

  • 7.6.5

    Documenter, communiquer et continuer de créer des programmes de formation et d’apprentissage pour favoriser une compréhension uniforme des pratiques de reprise et pour clarifier les rôles et les responsabilités qui dirigent les PCA et en rendent compte.

  • 7.6.7

    Maintenir un niveau approprié de préparation en coordonnant et en surveillant les circonstances inhabituelles, y compris l’état de préparation à la cybersécurité (c.-à-d. l’utilisation de l’informatique en nuage et de l’intelligence artificielle). Cela comprend des essais annuels, des examens continus et des révisions du PCA et des plans de GI-TI ainsi que l’établissement d’objectifs pour le renforcement des capacités.

  • 7.6.8

    Rendre compte périodiquement des résultats des activités du PCA et de l’état du programme aux comités de gouvernance appropriés d’EDSC.

• 7.7 Gestion des urgences

  "La gestion des urgences est la prévention et l’atténuation des situations d’urgence, l’état de préparation et l’intervention, et le rétablissement après une situation d’urgence ”

  - Loi sur la gestion des urgences

  EDSC est responsable de la protection de ses employés, de ses clients et de ses biens. Au sein du Ministère, les pratiques complètes et intégrées de gestion des urgences constituent une responsabilité organisationnelle partagée et sont intégrées au processus de planification à l’échelle de l’organisation.

  L’organisation doit :

  • 7.7.1

    Maintenir un niveau élevé de préparation aux pratiques de gestion des urgences d’EDSC en définissant clairement les rôles et les responsabilités, en coordonnant les activités ministérielles avec les ministères et organismes partenaires, et en élaborant et en mettant à l’essai (régulièrement) un plan de gestion et d’intervention des urgences mis à jour et approuvé.

  • 7.7.2

    Établir et maintenir une structure de gouvernance à plusieurs niveaux pour la gestion des urgences comme une plateforme pour discuter de la gestion des urgences propre au mandat afin d’assurer une intervention ministérielle éclairée et complète en cas de multiples urgences simultanées ou de grande envergure.

  • 7.7.3

    Établir un processus officiel et des critères communs pour élaborer, maintenir et (ou) mettre fin à des plans stratégiques de gestion des urgences fondés sur une analyse tous risques. Ce processus doit faire en sorte que les plans soient harmonisés et comprendre une méthodologie robuste d’évaluation des risques pour gérer les mesures d’atténuation et de prévention, la préparation, l’intervention et le rétablissement en cas d’urgence majeure.

  • 7.7.4

    Rechercher et maintenir une capacité et une souplesse adéquates, y compris un inventaire des intervenants d’urgence qualifiés et un inventaire national de l’équipement, afin d’atteindre les objectifs énoncés dans les plans de gestion des urgences visant à poursuivre les opérations en cas d’urgence et de se remettre rapidement des catastrophes.

  • 7.7.5

    Élaborer des procédures écrites pour les interventions d’urgence et des documents de formation à l’intention des spécialistes de la sécurité, des intervenants et du personnel ministériel.

  • 7.7.6

    Mener régulièrement des exercices de formation auxquels participent des intervenants internes et externes afin de s’assurer que les plans de gestion des urgences fonctionnent comme prévu.

  • 7.7.7

    Élaborer des procédures et des protocoles de notification pour fournir des conseils techniques et une orientation aux directions générales et aux régions en ce qui a trait à la gestion des urgences.

  • 7.7.8

    Utiliser une approche intégrée pour surveiller et communiquer l’information sur les questions de gestion des urgences et l’état de préparation du système de gestion des urgences de l’organisation.

  • 7.7.9

    En collaboration avec les principaux partenaires fédéraux, procéder à des examens périodiques et complets des plans de gestion des urgences selon une approche de gestion des risques.

  • 7.7.10

    Contribuer au plan d’intervention tous risques du gouvernement fédéral et à l’harmonisation des efforts par le maintien et la gestion efficaces du Centre national des opérations d’urgence (CNOU).

    Remarque 1 : La figure 1 ci-dessus montre que la structure de gouvernance du Programme de sécurité comprend les divers comités où les activités de gestion des urgences sont discutées, examinées et approuvées.

• 7.8 Gestion de l’information

  EDSC protège l’un des plus importants dépôts de renseignements personnels sur les Canadiens au sein du gouvernement fédéral. Le Ministère reconnaît que les renseignements représentent un actif stratégique essentiel à l’exécution efficace du mandat de l’organisation. Sa gestion efficace maintient également un lien de confiance entre le gouvernement et les Canadiens.

  À ce titre, EDSC est responsable de ce qui suit :

  • 7.8.1

    Veiller à ce que l’utilité et la pertinence de la structure organisationnelle de gestion des renseignements soient évaluées et examinées afin de clarifier les pouvoirs ainsi que les responsabilités. Ces mesures permettront également la responsabilisation et favoriseront des processus décisionnels efficaces axés sur les données.

  • 7.8.2

    Gérer les renseignements conformément aux règlements et aux pratiques exemplaires afin qu’ils soient accessibles et utiles aux personnes qui doivent les utiliser pour s’acquitter de leurs fonctions.

  • 7.8.3

    Établir et surveiller les mesures de sécurité appropriées qui guident ceux qui ont accès aux données protégées ou aux renseignements les plus sensibles du gouvernement du Canada. Ces mesures comprennent les activités et protocoles d’enquête sécurité sur le personnel ainsi que d’autres mesures qui empêchent l’accès non autorisé au trafic des télécommunications ou à toute information écrite transmise ou transférée.

  • 7.8.4

    Élaborer et tenir à jour des processus et des pratiques visant à s’assurer que l’identification et le marquage des renseignements de nature délicate sont conformes à la politique et que des mesures de protection appropriées sont prises en considération en tout temps pendant le cycle de vie de l’information.

  • 7.8.5

    Tirer parti des technologies existantes et nouvelles pour se protéger contre la perte, les dommages, l’accès non autorisé, l’interception, la modification ou la destruction de renseignements.

  • 7.8.6

    Fournir aux employés une formation, une sensibilisation, des outils et une orientation en matière de GI pour qu’ils puissent s’acquitter efficacement de leurs rôles, tout en protégeant l’information en tout temps.

  • 7.8.7

    Élaborer, mettre en œuvre et surveiller des mécanismes qui mesurent et évaluent la conformité et le rendement globaux du programme de GI du ministère. Cela comprend la mise en place de mécanismes officiels pour obtenir les commentaires et la rétroaction des utilisateurs sur les systèmes de GI, les outils, la formation et les initiatives de sensibilisation.

  • 7.8.8

    Fournir aux comités de surveillance des rapports périodiques sur les activités et les protocoles de gestion de l’information ainsi que sur toute menace à la protection des renseignements et des données de nature délicate.

• 7.9 Sécurité des communications

  Les objectifs d’EDSC en matière de sécurité des communications (COMSEC) comprennent la prévention de l’accès non autorisé à l’information et aux données issues des télécommunications, l’assurance de l’authenticité de ces télécommunications et la protection des renseignements et des données classifiés et protégés.

  L’organisation est responsable de ce qui suit :

  • 7.9.1

    S’assurer que les gardiens de la COMSEC suivent leur formation avant d’administrer les tâches des comptes auxiliaires COMSEC, dans le contexte de l’évolution de la technologie et de l’augmentation des risques liés aux données et à la sécurité.

  • 7.9.2

    Assurer le maintien et la mise à jour périodique des systèmes de technologie de l’information (TI) afin de permettre le stockage et l’utilisation du matériel de chiffrement cryptographique.

  • 7.9.3

    S’assurer que les installations utilisées sont sécurisées et approuvées conformément aux exigences de protection appropriées pour le matériel COMSEC comptable (MCC).

  • 7.9.4

    Protéger les aires de bureau de façon à ce qu’elles soient protégées au niveau le plus élevé de l’équipement lorsque les données sont saisies.

    Remarque 2 : L’utilisation de l’infrastructure secrète du gouvernement du Canada (ISGC) peut appuyer le traitement de l’information de niveau secret en raison du passage à un monde plus numérique, à un environnement sans papier, à un environnement de travail en collaboration et au principe du besoin de savoir.

• 7.10 Pratiques en matière de protection des renseignements personnels

  En raison de ses dépôts de renseignements ainsi que de son utilisation et de sa divulgation de renseignements personnels, EDSC est assujetti aux politiques et directives sur la protection des renseignements personnels du Conseil du Trésor ainsi qu’aux exigences de la Loi sur la protection des renseignements personnels et de la Loi sur le ministère de l’Emploi et du Développement social.

  EDSC responsable de ce qui suit :

  • 7.10.1

    Maintenir une étroite collaboration entre les unités de gestion de la sécurité et de la protection des renseignements personnels d’EDSC pour définir et communiquer au Ministère les attentes en matière de protection des renseignements personnels.

    • 7.10.1.1

      Le Ministère doit identifier clairement les postes des employés qui sont autorisés à utiliser ou à divulguer des renseignements personnels et indiquer dans quelles circonstances ils peuvent le faire.

  • 7.10.2

    Appuyer une sensibilisation accrue, promouvoir les pratiques exemplaires en matière de gérance des renseignements personnels et démontrer un engagement soutenu à protéger les renseignements personnels en appuyant et en approuvant la formation obligatoire.

    Remarque 3 : Pour obtenir des directives supplémentaires sur les efforts de collaboration et la gestion des atteintes à la vie privée, consultez les politiques et processus du SGIS et de la DGPRP.

    Remarque 4 : Les activités nouvelles ou modifiées qui comportent des renseignements personnels profitent de l’examen collectif grâce à la collaboration des partenaires et des intervenants ministériels dans l’exécution de leurs responsabilités respectives en matière de sécurité.

• 7.11 Gestion des événements de sécurité

  Le personnel d’EDSC doit composer avec divers événements de sécurité, y compris les incidents internes, les catastrophes naturelles et les incidents touchant la sécurité nationale. Compte tenu de la diversité des événements qui peuvent se produire, le Ministère fait enquête et intervient lorsque des problèmes importants se présentent, prend des mesures correctives appropriées pour régler ces problèmes et met en place des mesures en prévision de situations futures.

  EDSC doit :

  • 7.11.1

    Veiller à ce qu’une approche nationale axée sur les risques soit élaborée pour la gestion des incidents de sécurité ministérielle et régionale et la détection des menaces.

  • 7.11.2

    Utiliser une technologie modernisée pour mettre en œuvre des mesures qui garantissent que les événements de sécurité et les interventions en cas d’incident sont déclenchés en temps réel en cas de perturbations qui touchent le Ministère.

  • 7.11.3

    Officialiser les rôles et les responsabilités et coordonner les processus de gestion des incidents de sécurité avec les plans de communication, la continuité des activités, la gestion des urgences, la gestion des grèves et d’autres plans et mesures d’urgence, le cas échéant.

  • 7.11.4

    Informer les autres ministères et les intervenants lorsqu’il y a lieu de croire qu’un événement/incident provient d’une organisation ou pourrait toucher une organisation, y compris des organisations de services internes intégrés, des ministères qui fournissent ou reçoivent des services en vertu d’ententes ou d’autres dispositions, des fournisseurs et d’autres partenaires.

  • 7.11.5

    Coordonner les processus et les mesures de préparation avec les processus de gestion des incidents de sécurité, les plans de continuité des activités et les mesures de préparation et d’intervention en cas d’urgence.

  • 7.11.6 Accessibilité

    Les pratiques de sécurité servent d’obstacles pour protéger le personnel, les clients et les biens d’une organisation. Toutefois, des conséquences imprévues peuvent entraîner la création d’obstacles pour les personnes handicapées, les personnes qui souhaitent avoir accès aux programmes et services d’EDSC et pour le personnel de l’organisation qui a besoin de processus homogènes pour accomplir ses tâches quotidiennes.

    L’organisation doit :

    • 7.11.6.1

      Intégrer de façon proactive aux pratiques de sécurité de l’organisation les considérations en matière d’accessibilité qui appuient la pleine participation de toutes les personnes dans l’environnement de travail.

    • 7.11.6.2

      Intégrer les exigences juridiques et les solutions de rechange pratiques en matière d’accessibilité liées à la sécurité dans le processus décisionnel de l’organisation ainsi que dans ses plans d’intervention d’urgence et de sécurité matérielle.

    • 7.11.6.3

      Élaborer, adopter, déclarer et examiner régulièrement les normes de sécurité et les directives afin d’optimiser l’accessibilité.

      Remarque 5 : Les pratiques de sécurité de la TI et de protection des renseignements personnels relatives à l’accessibilité aux systèmes, aux programmes et aux services dans l’environnement numérique d’EDSC sont décrites plus en détail dans la Politique sur l’accessibilité de l’organisation

• 7.12 Inspections et enquêtes internes de sécurité

  Les pratiques de gestion d’EDSC pour les inspections et les enquêtes internes (planifiées et périodiques) comprennent la description de la façon dont les inspections et les enquêtes sur l’inconduite présumée ou soupçonnée des employés doivent être menées; la définition des mesures du rendement; et l’établissement de la façon dont les renseignements sur les inspections ou les enquêtes doivent être utilisés tout en respectant les droits des employés.

  Il incombe au Ministère d’assumer les responsabilités suivantes :

  • 7.12.1

    S’assurer que les inspections et les enquêtes de l’organisation sont fondées sur des évaluations des risques à jour et des analyses des tendances en matière de sécurité, et qu’elles sont menées de manière équitable, uniforme et impartiale. Elles doivent être réalisées pour :

    • Évaluer les protocoles de sécurité, les pratiques et les contrôles pour les inspections et les enquêtes internes sur l’inconduite présumée ou soupçonnée des employés;
    • Mettre à jour les risques potentiels pour l’organisation; et
    • Présenter à la haute direction des recommandations axées sur l’action pour des mesures correctives à l’appui de sa prise de décisions.
  • 7.12.2

    Définir et documenter clairement les rôles et responsabilités des praticiens qui effectuent des inspections et des enquêtes. Ces exigences sont examinées et mises à jour régulièrement.

  • 7.12.3

    Fournir aux inspecteurs de la sécurité et aux enquêteurs un accès aux outils et aux systèmes appropriés (dotés de capacités accrues de production de rapports) pour appuyer leur travail et faciliter la gestion du flux de travail et les processus de suivi.

  • 7.12.4

    Officialiser et communiquer les documents nationaux normalisés sur les procédures afin que les inspections et les enquêtes soient documentées et exécutées de manière équitable, uniforme et transparente. Veiller à ce que ces outils soient régulièrement mis à jour, approuvés et mis à la disposition du personnel dans un dépôt centralisé (ou s’ils sont de nature délicate) selon le principe du besoin de savoir.

  • 7.12.5

    Inclure des constatations et des recommandations claires, concises et fondées sur des faits dans chaque rapport d’inspection et d’enquête. Cette façon de faire appuiera les connaissances collectives des praticiens de la sécurité ainsi que la prise de décisions par la haute direction.

  • 7.12.6

    Mettre en pratique un processus de surveillance officiel pour évaluer et surveiller la qualité des inspections et des enquêtes en cours; consigner les modifications au besoin et veiller à ce que les recommandations qui en découlent soient mises en œuvre efficacement.

  • 7.12.7

    Élaborer et communiquer rapidement à la haute direction concernée des rapports périodiques comprenant des renseignements quantitatifs et qualitatifs ainsi que des comparaisons par rapport aux paramètres de rendement approuvés et aux normes de niveau de service.

  • 7.12.8

    Signaler rapidement aux autorités d’application de la loi concernées lorsqu’il y a des motifs raisonnables de croire que la conduite d’un employé peut être illégale ou criminelle.

  • 7.12.9

    Effectuer des examens périodiques des données et des sources de données utilisées pour produire les rapports d’inspection et d’enquête afin d’assurer la qualité et l’intégrité des renseignements fournis.

    Remarque 6 : Pour obtenir des renseignements sur les inspections liées à la TI d’EDSC qui portent sur la conception, le code, le déploiement et la surveillance, veuillez consulter la Politique sur la technologie de l’information.

    Remarque 7 : Principe du besoin de savoir – Le fait de limiter l’accès aux renseignements de nature délicate aux personnes permet d’avoir accès aux renseignements nécessaires à l’exercice de leurs fonctions officielles et comprend la communication de renseignements à quiconque que les personnes ayant les connaissances jugent nécessaires pour les partager. Pour assurer la confidentialité, il faut également veiller à préserver l’intégrité des renseignements sensibles, surtout dans les situations où les employés ont des exigences variées en matière de besoin de savoir.

• 7.13 Sécurité dans la passation de marchés

  Le Ministère évalue et détermine les exigences en matière de sécurité à toutes les étapes du processus de passation de marchés et s’assure que les entrepreneurs retenus et leurs entreprises suivent les processus de filtrage de sécurité requis pour déterminer leur fiabilité et leur crédibilité pour accéder aux renseignements et aux biens du gouvernement.

  EDSC doit s’assurer que :

  • 7.13.1

    Des contrôles de sécurité pertinents sont mis en œuvre et surveillés uniformément à toutes les étapes du processus de passation de marchés, que le Ministère utilise son propre processus interne de passation de marchés ou le Programme de sécurité industrielle de SPAC.

    • 7.13.1.1

      Le Programme de sécurité industrielle est utilisé dans les situations où un marché comporte l’accès à des renseignements et à des biens de nature délicate dont l’autorité contractante est approuvée par l’organisation.

  • 7.13.2

    La vérification des exigences relatives à la sécurité qui sert à déterminer les conditions et les prérequis du ministère relatif au processus interne de la passation de marchés sont respectés. Selon la liste des exigences dressée, les entrepreneurs ainsi que les entreprises doivent obtenir les cotes de sécurité appropriées.

  • 7.13.3

    Les exigences relatives à la sécurité d’un marché sont validées avant le début du marché ou avant que l’entrepreneur ait un accès physique aux installations, aux renseignements ou aux biens.

  • 7.13.4

    Des examens périodiques des dossiers contractuels sont effectués dans le cadre du programme d’assurance de la qualité du ministère afin de vérifier que les dossiers satisfont aux exigences en matière de sécurité dans la passation de marchés.

• 7.14 Sensibilisation et formation à la sécurité

  Les employés d’EDSC ont accès à des possibilités d’apprentissage continu et de sensibilisation à la sécurité novatrices pour leur permettre de comprendre et respecter leurs responsabilités en matière de sécurité et de contribuer à bâtir une solide culture de sécurité.

  L’organisation doit :

  • 7.14.1

    Élaborer et mettre en œuvre une approche de formation structurée et un programme de perfectionnement professionnel pour les praticiens de la sécurité (national et régional). Cette approche favorisera le perfectionnement et la mobilité des analystes qui exécutent les diverses activités liées à la sécurité, favorisera le maintien en poste et contribuera au perfectionnement professionnel.

  • 7.14.2

    S’assurer que les praticiens de la sécurité suivent la formation nécessaire pour mener à bien leurs activités quotidiennes en ce qui a trait à leurs rôles et responsabilités spécifiques en matière de sécurité. Cette formation leur permettra :

    • D’être mieux positionné pour résoudre des problèmes de sécurité complexes et réagir aux nouvelles menaces à la sécurité;
    • D’être en mesure de mettre en œuvre de façon proactive des mesures et des contrôles de sécurité au sein de l’organisation, conformément aux politiques et directives d’EDSC et du SCT en matière de sécurité. Ils pourront également évaluer les conséquences de toute action;
    • De disposer d’outils et de pratiques de sécurité pour assurer une coordination et une interaction efficaces avec leurs collègues ministériels, pangouvernementaux et le secteur privé; et
    • De profiter d’un milieu de travail, d’un cheminement de carrière et d’un ensemble distinct de compétences afin d’attirer et de maintenir en poste ces professionnels.
  • 7.14.3

    Veiller à ce que tous les employés participent aux activités de sensibilisation et aux possibilités d’apprentissage continu et demeurent au fait de la formation obligatoire sur la sécurité (protocoles, outils et systèmes) afin de :

    • Prendre connaissance des principales mesures de contrôle de la sécurité qui visent à prévenir et à détecter les risques, menaces et (ou) événements liés à la sécurité et à y réagir;
    • Respecter les exigences énoncées dans les politiques et directives de sécurité tout en demeurant vigilant afin de repérer et de signaler les incidents de sécurité.
  • 7.14.4

    Élaborer et mettre en œuvre des processus et des pratiques normalisés pour offrir des séances d’information sur la sécurité aux employés qui se rendent à l’étranger et (ou) qui y travaillent à distance.

  • 7.14.5

    Utiliser le site des voyages du gouvernement du Canada et d’autres plateformes de renseignements de source ouverte pour fournir des renseignements sur les déplacements sécuritaires, y compris la protection de l’information et des biens lorsque les employés sont en déplacement commandé par le Ministère.

    • 7.14.5.1

      Il faut tenir compte des niveaux de risque associés aux avertissements et aux alertes de voyage, aux avis de maladies infectieuses et aux recommandations générales de prudence lors de voyages dans certains pays.

    • 7.14.5.2

      Les séances d’information sur la sécurité aux voyageurs doivent également comprendre des renseignements sur la façon d’obtenir de l’aide en cas de situation d’urgence pendant un voyage à l’étranger.

  • 7.14.6

    Effectuer des examens périodiques du programme de formation et de sensibilisation en matière de sécurité afin de cerner et de prioriser les besoins en formation sur la sécurité; observer et appliquer les tendances actuelles en matière de sécurité et de menaces/risques, tout en fournissant aux employés les outils, les pratiques et les protocoles appropriés.

La gestion de la sécurité recoupe d’autres directions générales d’EDSC, des fonctions de gestion, le Programme du travail d’EDSC et d’autres organismes gouvernementaux. Le Ministère est structuré de manière à gérer le programme de sécurité dans cinq régions, le rôle et les responsabilités de chaque employé étant liés au Code de conduite d’EDSC.

L’organisation doit :

• 8.1

  Définir et communiquer (à l’échelle du Ministère et conformément à la Politique sur la sécurité du gouvernement du SCT) les rôles et responsabilités des praticiens de la sécurité de l’organisation ainsi que les responsabilités des employés et des clients en matière de sécurité.

• 8.2

  Veiller à ce que des liens interministériels et interorganisationnels soient établis et maintenus et à ce que les mécanismes de sensibilisation, de mobilisation et de collaboration continues avec ces entités soient maintenus.

• 8.3

  Les rôles et responsabilités sont décrits à l’ Annexe B ci-après.

EDSC exerce ses pouvoirs délégués en matière de sécurité d’une manière qui isole certaines tâches, examine les rôles en matière de sécurité de ses praticiens, évalue la pertinence de leur accès et modifie les rôles attribués

L’organisation doit :

• 9.1

  Veiller à ce que la structure du programme de sécurité d’EDSC englobe une séparation claire des protocoles de sécurité afin de prévenir les défaillances de contrôle qui pourraient entraîner des atteintes à la sécurité, des préjudices pour le personnel et les clients ainsi que la perte de renseignements.

• 9.2

  Inclure un plan de séparation des tâches dans les processus d’évaluation et de planification des risques d’EDSC qui reflète les mécanismes de contrôle et d’équilibre appropriés pour prévenir les menaces internes et externes.

EDSC s’engage à harmoniser les ressources avec les niveaux de risque et à affecter les ressources de façon stratégique afin que les employés, tout en travaillant sur les bonnes choses pour remplir le mandat de l’organisation, prennent également en compte leurs responsabilités en matière de sécurité.

L’organisation doit :

• 10.1

  Élaborer un modèle de financement durable pour l’ensemble du programme de sécurité afin de comptabiliser avec exactitude le coût des activités de sécurité du Ministère et de s’assurer que les priorités en matière de sécurité de l’organisation appuient ses objectifs, ses plans et ses priorités stratégiques.

• 10.2

  Évaluer périodiquement le modèle opérationnel du programme de sécurité, y compris les capacités de dotation et les plans de ressourcement (à l’administration centrale et dans les régions) pour s’assurer que le Ministère peut donner suite aux priorités et aux plans établis.

• 10.3

  Mettre en place un agent régional de sécurité (ARS) à temps plein pour chaque région et s’assurer que les responsabilités de l’ARS de l’ARS n’entrainent pas le fractionnement des tâches dans une région donnée et de s’assurer qu’aucun recours à des ressources externes ne soit effectué pour les évaluations de sécurité des installations, des enquêtes de sécurité du personnel et d’autres fonctions de sécurité.

• 10.4

  Structurer le processus de planification ministérielle d’EDSC de manière à inclure les exigences en matière de sécurité afin que le Programme de sécurité suive le rythme des risques de sécurité de plus en plus complexes et dynamiques.

• 10.5

  Intégrer des contrôles de sécurité aux processus et pratiques standard d’intégration et de départ du personnel d’EDSC afin que les gestionnaires et les employés soient au courant des aspects clés de leurs responsabilités en matière de sécurité et qu’ils soient tenus au courant de ces aspects, et réduisent les risques critiques pour l’intégrité de la posture de sécurité de l’organisation.

La mise en place d’un programme d’assurance de la qualité et d’amélioration continue peut fournir à l’organisation des occasions supplémentaires de prévenir et de contrer les risques et les menaces internes et externes, d’atteindre ses objectifs et de mieux servir les Canadiens.

Le Ministère doit :

• 11.1

  Utiliser l’analyse des données et les renseignements analytiques pour décrire les soutiens nécessaires à l’acquisition d’une connaissance de la situation afin d’optimiser les ressources limitées, mettre en évidence les leçons précieuses apprises pour améliorer les politiques et les opérations, et éclairer les activités d’assurance qualité (AQ) actuelles et futures.

• 11.2

  Définir les attentes en matière de rendement, les activités et les résultats en matière d’AQ et veiller à ce qu’ils soient régulièrement déposés aux comités de la haute direction et de la gouvernance concernés.

• 11.3

  Envisager et exécuter les activités de planification appropriées pour établir et maintenir les exigences actuelles et futures en ressources humaines liées aux activités d’AQ.

• 11.4

  Définir et documenter clairement les rôles et les responsabilités de tous les contributeurs à tous les niveaux du processus d’AQ.

• 11.5

  Mettre en place la formation, les outils et les ressources nécessaires pour les employés responsables de l’exécution des activités d’AQ.

• 11.6

  Documenter les activités d’AQ afin qu’elles soient accessibles à tous les intervenants.

• 11.7

  Adopter des protocoles de surveillance et de production de rapports pour les activités d’AQ afin d’assurer la cohérence et l’efficacité des processus et des pratiques.

• 11.8

  Entreprendre des analyses comparatives qui comprennent des méthodologies et des outils pour déterminer clairement les domaines à comparer ainsi que les organisations ou industries à modéliser (gouvernements fédéral, provinciaux et territoriaux et entités internationales).

La surveillance des politiques contribue à éclairer et à élaborer des politiques de sécurité nouvelles et pertinentes fondées sur des renseignements connus et aide les praticiens et les dirigeants à prendre des décisions fondées sur des données.

EDSC doit :

• 12.1

  Effectuer des examens et des évaluations prévus à la présente Politique au moins tous les trois ans ou plus tôt si nécessaire.

• 12.2

  Surveiller et évaluer la mise en œuvre de la présente Politique afin de créer une base solide pour l’ensemble du programme de sécurité.

• 12.3

  Examiner les mesures correctives recommandées en lien avec l’efficacité et la conformité aux exigences de la Politique et en faire rapport aux comités de gouvernance compétents.

La documentation des procédures et des pratiques en matière de rapports sur la sécurité permettra de s’assurer que les incidents de sécurité soupçonnés ou confirmés sont clairement signalés, ce qui donne un aperçu de l’efficacité des contrôles et des risques d’incidents semblables futurs.

EDSC doit :

• 13.1

  Diffuser des rapports exacts et en temps opportun sur les événements et incidents de sécurité aux organismes de surveillance afin de prioriser et d’orienter les ressources nécessaires pour répondre aux besoins de sécurité et aux vulnérabilités.

• 13.2

  Fournir au sous-ministre, aux comités de gouvernance et aux organismes centraux (c.-à-d. le SCT) des rapports sur l’état d’avancement de la mise en œuvre de la Politique sur la sécurité du gouvernement du SCT, de la présente Politique et du rendement du programme de sécurité.

• 13.3

  Élaborer et rendre accessibles des rapports sur le rendement du programme de sécurité, y compris des renseignements quantitatifs et qualitatifs sur l’état actuel, la qualité et la valeur de la fonction de sécurité.

Les conséquences d’un programme de sécurité inefficace peuvent comprendre des risques inutiles pour la sécurité personnelle des employés et des clients, la compromission de renseignements de nature délicate, la perte de biens ministériels et, en fin de compte, la perte ou la réduction de la confiance du public dans la capacité du Ministère de gérer son programme de sécurité et de fournir ses services au public.

Par conséquent, la non‐conformité à la présente Politique et aux normes connexes sera considérée comme un problème grave. Les employés d’EDSC qui enfreignent la présente Politique peuvent faire l’objet de mesures administratives pouvant aller jusqu’au licenciement. Le personnel ne faisant pas partie d’EDSC qui enfreint la présente Politique pourrait voir son accès révoqué et faire l’objet de poursuites judiciaires.

Il peut arriver que des pratiques ou des processus de sécurité doivent être utilisés et ne soient pas conformes aux présentes politiques. Dans ces circonstances, il faut obtenir l’approbation préalable de l’agent principal de la sécurité.

Les politiques, directives, normes et autres documents d’EDSC et du gouvernement du Canada se rapportant à la présente politique figurent à l’ Annexe C.

Toutes les demandes de renseignements concernant la présente Politique sur la sécurité et les modifications à venir peuvent être adressées au Directeur général, Intégrité interne et agent principal de la sécurité.

Historique des modifications

Les exigences en matière de sécurité dans les contrats et autres ententes doivent être identifiées et documentées, et les contrôles de sécurité connexes doivent être mis en œuvre et surveillés à toutes les étapes du processus de passation de marchés ou d’entente afin de fournir une assurance raisonnable que les renseignements, les personnes, les biens et les services associés à l’exécution du marché ou de l’entente sont protégés adéquatement.

Les pratiques de gestion des événements de sécurité doivent être définies, documentées, mises en œuvre et maintenues pour surveiller les menaces, les vulnérabilités, les incidents de sécurité et autres événements/incidents de sécurité, y réagir et en faire rapport, et veiller à ce que ces activités soient coordonnées efficacement au sein du Ministère, avec les partenaires et à l’échelle du gouvernement, afin de gérer les répercussions potentielles, d’appuyer la prise de décisions fondées sur des données et de permettre l’application de mesures correctives.

La sensibilisation et la formation en matière de sécurité doivent être menées de façon systématique et exhaustive pour s’assurer que les personnes sont informées de leurs responsabilités en matière de sécurité et qu’elles maintiennent les connaissances et les compétences nécessaires pour s’acquitter efficacement de leurs fonctions, et pour fournir une assurance raisonnable que les personnes ne compromettront pas sciemment la sécurité et qu’elles comprennent les conséquences potentielles de ne pas s’acquitter de leurs responsabilités en matière de sécurité.

• Internes

  Administrateur général

  Veiller à ce que ses directions générales ou organisations respectent la Politique.

  Dirigeant principal de la sécurité (DPS)

  Nommé par l’administrateur général, il est chargé d’élaborer, de mettre en œuvre, de maintenir et de surveiller les processus de gestion des risques pour la sécurité afin de respecter les contrôles de sécurité et d’adapter continuellement les processus aux besoins changeants en matière de sécurité d’EDSC. Le DPS doit également assurer la communication, la collaboration et la planification des activités de sécurité matérielle entre l’AC, les DGR et les fonctions régionales des ARS.

  Dirigeant principal de l’information (DPI)

  Assure la gestion efficace et efficiente des actifs informationnels et technologiques du Ministère. Le DPI et le DPS collaborent pour veiller à ce que des mesures de sécurité appropriées soient appliquées à l’ensemble des biens, des activités et des processus ministériels d’information et de technologie.

  Chef de la protection des renseignements personnels (CPRP)

  Représente l’autorité fonctionnelle du Ministère pour toutes les questions de protection des renseignements personnels.

  Dirigeant principal des données (DPD)

  Dirige et gère l’élaboration d’une stratégie de données à l’échelle de l’organisation visant à optimiser l’utilisation des actifs de données d’EDSC.

  Représentant désigné pour la cybersécurité (RDC)

  Évalue les répercussions et les mesures d’atténuation en réponse aux événements et incidents de cybersécurité et veille à ce que les exigences en matière de cybersécurité et les mesures appropriées soient appliquées dans le cadre d’une approche axée sur cycle de vie pour protéger les services de TI. Le RDC veille également à ce que les plans, processus et procédures ministériels soient en place pour répondre aux événements et incidents de cybersécurité et pour signaler les incidents aux autorités compétentes et aux intervenants touchés, conformément au Plan de gestion des événements de cybersécurité du gouvernement du Canada.

  Dirigeant principal des finances (DPF)

  Est responsable de la planification financière ministérielle et de la surveillance du rendement, de la saine gérance des investissements ministériels, de l’approvisionnement stratégique, de la comptabilité ministérielle, des rapports externes et de gestion, de la gestion des biens et des services opérationnels partagés pour EDSC.

  Dirigeant principal de la vérification interne

  Est chargé de fournir au sous-ministre d’EDSC une évaluation et une assurance indépendantes et objectives de l’efficacité et de la pertinence des processus de gestion des risques, de contrôle et de gouvernance au sein du Ministère.

  Directeurs exécutifs régionaux (DER)

  Établissent et promeuvent l’orientation stratégique régionale en matière de transformation opérationnelle, de gestion des risques et d’exécution des programmes.

  Agents de sécurité régionaux (ASR)

  Appuient la prestation du programme de sécurité dans leurs régions respectives et participent à l’élaboration et à la mise en œuvre nationales du programme de sécurité, y compris les politiques, les directives, les normes et les outils.

  Directeurs et gestionnaires

  S’assurent que leurs employés se conforment à la politique de sécurité et appliquent efficacement les pratiques de sécurité dans le cadre des activités quotidiennes. Ils doivent mettre en place des pratiques et des protocoles pour assurer la protection des employés et protéger les renseignements, les biens et les services dont ils sont responsables.

  Praticiens de la sécurité

  Veillent à ce que les activités de sécurité du Ministère soient coordonnées et intégrées tout en appuyant et en fournissant au DPS des recommandations pour les lacunes relevées dans la mesure et les évaluations du rendement. Les praticiens de la sécurité doivent également fournir des conseils avisés concernant l’application et l’efficacité des contrôles de sécurité liés à leur secteur de responsabilité.

  Tous les employés

  Doivent se familiariser avec la Politique sur la sécurité et se conformer à tous les outils et documents de référence liés à la sécurité du gouvernement du Canada et du ministère. Ils doivent rapidement signaler à leur superviseur ou directeur toute violation ou tout incident de sécurité soupçonné ou réel ou tout cas de non-conformité, activité inhabituelle ou suspecte et autres risques ou lacunes possibles en matière de sécurité.

  Toutes les directions générales d’EDSC

  Chaque direction générale doit assurer l’intégration de la présente Politique dans sa planification stratégique et opérationnelle afin d’assurer une harmonisation maximale des programmes et des politiques opérationnelles à l’échelle du Ministère.

  Direction générale de l’innovation, de l’information et de la technologie

  Les activités de la Direction générale de l’innovation, de l’information et de la technologie (DGIIT) établissent des lignes directrices pour la prévention des menaces intentionnelles et (ou) accidentelles visant les biens, les systèmes et les installations de valeur du Ministère et atténuent les risques de divulgation non autorisée, de retrait ou de modification de renseignements de nature délicate.

  Secrétariat ministériel

  La Direction générale du Secrétariat ministériel est responsable du programme d’accès à l’information du Ministère, de la publication et de la gestion de la politique de gestion de la protection des renseignements personnels, de la prestation de conseils et de directives en la matière et des activités liées à la protection des renseignements personnels dans la région de la capitale nationale. La Division de la gestion de la protection des renseignements personnels (DGPRP) de la Direction générale est le centre d’expertise du Ministère pour les conseils en matière de protection des renseignements personnels. La DGPRP appuie la mise en œuvre horizontale des politiques et initiatives du Ministère en matière de protection des renseignements personnels, effectue des analyses des risques, y compris des évaluations des facteurs relatifs à la protection des renseignements personnels, et fournit des services consultatifs sur la conformité à la protection des renseignements personnels pour les programmes d’EDSC.

  Audit interne

  L’Audit interne rend compte de la qualité des contrôles internes, de l’exactitude des transactions, de la mesure dans laquelle les actifs sont comptabilisés et protégés, ainsi que du niveau de conformité aux politiques et règlements ministériels et pangouvernementaux.

  Services des ressources humaines

  En tant que l’une des directions générales de services habilitants d’EDSC, la Direction générale des services des ressources humaines (DGSRH) est chargée d’appuyer les activités et le mandat du Ministère en fournissant des politiques, des programmes et des services pour renforcer la capacité, favoriser le maintien en poste et le perfectionnement d’un effectif mobilisé et d’un milieu de travail et d’une culture sains qui appuient l’orientation stratégique de l’organisation.

  Services financiers

  Les Services financiers fournissent des conseils et un soutien centralisés en matière de gestion financière et de fonction de contrôleur aux directions générales du Ministère afin qu’elles puissent transformer leurs activités courantes ainsi que la prestation des programmes et des services.

  Services juridiques

  Fournissent des services juridiques à l’appui des programmes, des opérations et des initiatives clés, y compris les initiatives législatives et réglementaires d’EDSC

• Externes

  Secrétariat du Conseil du Trésor

  Établit et supervise une approche pangouvernementale de la gestion de la sécurité à titre d’élément clé de toutes les activités de gestion en assurant la tenue d’examens périodiques de l’efficacité des services de soutien à la sécurité afin de fournir l’assurance qu’ils continuent de répondre aux besoins des ministères et du gouvernement dans son ensemble.

  Sécurité publique Canada

  Assure un leadership opérationnel pour la coordination, le partage de l’information et la sensibilisation à la situation concernant les événements et incidents de sécurité impliquant de nombreux ministères ou organismes du gouvernement du Canada qui peuvent avoir des répercussions à l’échelle du gouvernement, intergouvernementales ou nationales.

  Services publics et Approvisionnement Canada

  Assure le leadership et la coordination des activités afin d’assurer l’application des mesures de sécurité à toutes les étapes du processus de passation de marchés dans le cadre du programme de la sécurité industrielle (PSI). Ce Ministère fournit également des services liés à la sécurité matérielle concernant le Programme des biens immobiliers de SPAC et des services communs liés à la sécurité de la TI pour accroître l’efficience et l’économie du gouvernement du Canada.

  Services partagés Canada (SPC)

  Est responsable de la planification, de la conception, de la construction, de l’exploitation et du maintien efficace des services d’infrastructure de sécurité des TI intégrés efficaces et réactifs afin de protéger les données et les systèmes du gouvernement du Canada dont il est responsable.

  Autres ministères responsables

  Les principaux organismes chargés de la sécurité fournissent des conseils, une orientation et des services pour soutenir les opérations courantes de sécurité des ministères et permettre au gouvernement dans son ensemble de gérer efficacement les activités de sécurité, de coordonner les interventions face aux incidents de sécurité et d’atteindre et de maintenir un état acceptable de sécurité et de préparation. Des renseignements supplémentaires sur les rôles du ministère responsable se trouvent à la section 5 de la PSG.

  Agents du Parlement

  Les agents du Parlement exercent des fonctions indépendantes du gouvernement et appuient le Parlement dans son rôle de surveillance du gouvernement en examinant la mise en œuvre des mesures législatives et en agissant comme contrôleurs et ombudsman au nom des citoyens.

  Experts-conseils et entrepreneurs

  Dans le cadre d’un contrat avec EDSC, les experts-conseils et les entrepreneurs sont liés par les conditions de sécurité énoncées dans les documents contractuels; ils doivent respecter les exigences de la présente Politique et doivent rendre compte au DPS de toutes les questions relatives à la sécurité.

• Loi

  • Loi sur l’accès à l’information
  • Code canadien du travail
  • Règlement canadien sur la santé et la sécurité au travail
  • Charte canadienne des droits et libertés
  • Loi canadienne sur l’accessibilité
  • Code criminel
  • Loi sur la gestion des urgences
  • Loi sur la gestion des finances publiques
  • Loi sur les langues officielles
  • Loi sur la protection des renseignements personnels
  • Loi sur l’emploi dans la fonction publique
  • Loi sur la Commission des relations de travail et de l’emploi dans le secteur public fédéral
  • Loi sur la protection de l’information
  • Loi sur la communication d’information ayant trait à la sécurité du Canada
• Gouvernement du Canada

  • Politique sur les marchés
  • Cadre principal des politiques du Conseil du Trésor
  • Cadre stratégique sur la gestion de la conformité
  • Cadre stratégique de gestion du risque
  • Politique sur la gestion de l’information
  • Politique de planification des investissements - Actifs et services acquis
  • Politique sur la gestion des technologies de l’information
  • Politique sur la gestion du matériel
  • Politique sur la gestion des projets
  • Politique sur la gestion des biens immobiliers
  • Politique sur la sécurité et la santé au travail
  • Politique sur les résultats
  • Politique sur les services
  • Politique sur les services et le numérique
  • Code de valeurs et d’éthique du secteur public
• Instruments de politique ministériels connexes

  • Politique ministérielle sur la gestion de la protection de la vie privée
  • Cadre de gestion de la protection des renseignements personnels d’EDSC
  • Politique ministérielle sur la santé et la sécurité au travail d’EDSC