Norme de sécurité opérationnelle - Programme de planification de la continuité des activités (PCA)

Hiérarchie

Renseignements supplémentaires

Directive : 

Sujet : 

Version imprimable XML

1. Préambule

Aux termes des articles 10.1, 10.14 et 10.12.4 de la Politique du gouvernement sur la sécurité (PGS), on doit assurer la prestation continue des services gouvernementaux selon des exigences sécuritaires de base, une planification de la continuité des activités, y compris une planification de la continuité de la gestion de l'information (GI) et de la technologie de l'information (TI) et une gestion continue des risques. La PGS et les normes connexes décrivent ces exigences sécuritaires de base. Elles se fondent sur une évaluation pangouvernementale des menaces et des risques et visent à protéger les ressources sur lesquelles le gouvernement compte pour fournir les services : employés, information et autres biens.

Pour respecter les exigences sécuritaires de base, les ministères doivent établir un programme de planification de la continuité des activités (PCA) pour permettre la disponibilité continue :

  1. des services et des biens afférents qui sont essentiels à la santé, la sûreté, la sécurité et le bien-être économique des Canadiens et des Canadiennes ainsi que l'efficacité du gouvernement. La non-disponibilité de ces biens et services pourrait causer un préjudice élevé aux Canadiens et aux Canadiennes ainsi qu'au gouvernement.
  2. de tout autre service ou bien dont la disponibilité est jugée importante selon une évaluation des menaces et des risques.

Cette norme fournit une orientation et des conseils dont les ministères pourront se servir au moment d'établir leur programme. Elle est accompagnée de documents techniques qui présentent des suggestions, des exemples, des pratiques exemplaires et d'autres conseils.

Le Programme de PCA va de pair avec la protection civile qui est prescrite par la loi ou la politique du gouvernement (par exemple les plans d'évacuation des édifices et en cas d'incendie; les plans d'intervention civils). Il appuie en outre la planification nécessaire au rétablissement des services autres qu'essentiels et des biens et ressources connexes; les ministères devraient se servir de ce programme pour planifier les mesures à prendre concernant les services autres qu'essentiels.

2. Définitions

Voir le Glossaire à l'annexe 1

3. Programme de planification de la continuité des activités

Le Programme de PCA se compose de quatre éléments :

  1. L'établissement d'une structure de régie pour le Programme de PCA.
  2. La tenue d'une analyse des répercussions sur les opérations.
  3. L'élaboration de plans et de préparatifs pour la continuité des activités.
  4. La mise à jour de l'état de préparation du Programme de PCA.

3.1 Structure de régie

L'une des activités essentielles de la structure de régie consiste en l'élaboration d'une politique ministérielle sur le Programme de PCA qui sert à mettre en application les exigences de la PGS à des activités et à des programmes ministériels nouveaux ou en cours en conformité avec toute loi habilitante ou toutes autres exigences législatives.

Les cadres supérieurs du ministère doivent donc s'engager à réaliser le Programme de PCA, à l'intégrer dans un cadre de planification stratégique, à assurer la conformité à la politique du gouvernement, à garantir la tenue d'examens par les spécialistes compétents au sein du ministère (par exemple des spécialistes en droit, en politiques, en finances, en communications, en gestion de l'information et en ressources humaines), et à nommer des participants. Ces mesures sont prises habituellement par un comité de la haute direction. Leur soutien est essentiel pour :

  1. Fournir des conseils et des communications stratégiques.
  2. Approuver la politique et la structure de régie du Programme de PCA du ministère.
  3. Affecter les ressources financières et autres.
  4. Examiner et approuver les services essentiels et les biens afférents relevés.
  5. Donner suite aux priorités et aux intérêts conflictuels.
  6. Approuver les plans et les mesures liés à la continuité des activités.
  7. Garantir la tenue de façon régulière de séances de formation, d'examens, de mises à l'essai et de vérifications.
  8. Garantir que les activités du Programme de PCA reposent sur des plans de continuité de la TI et de la GI et d'autres plans de continuité ainsi que sur des préparatifs, s'il y a lieu.

La structure de régie prévoit la nomination d'un coordonnateur ministériel de la PCA chargé :

  1. d'obtenir l'appui et le financement nécessaires de la haute direction;
  2. d'élaborer une politique et une structure de régie pour le Programme de PCA ministériel;
  3. de garantir l'élaboration d'une stratégie pour faire part des activités relatives à la PCA aux membres du personnel et aux intervenants;
  4. de mettre sur pied des groupes de travail et de définir leurs rôles et leurs responsabilités;
  5. de garantir l'achèvement de l'analyse des répercussions sur les opérations ainsi que l'élaboration et la mise à jour des plans de continuité des activités;
  6. de garantir que les plans de continuité de la TI, de la GI et autres et les préparatifs sont dûment intégrés au Programme de PCA;
  7. de prévoir la tenue régulière de séances de formation, d'examens, de mises à l'essai et de vérifications;
  8. de faire la liaison avec les autres ministères et agences, si nécessaire, pour effectuer la coordination des PCA;
  9. de collaborer avec le coordonnateur de la sécurité de la TI pendant tout le processus; et
  10. d'informer l'Agent de sécurité du ministère (ASM) pendant tout le processus si le coordonnateur ne se rapporte pas de façon fonctionnelle à l'ASM.

Veuillez noter que conformément à l'article 10.1 de la PGS, l'Agent de sécurité du ministère dirige et coordonne le programme de sécurité, dans lequel figure la PCA.

3.2 Analyse des répercussions sur les opérations

Le coordonnateur et les groupes de travail doivent effectuer une analyse des répercussions sur les opérations pour évaluer l'incidence des interruptions sur le ministère et pour relever les services essentiels et les biens afférents et les classer par ordre de priorité. Cette analyse est menée en suivant les étapes suivantes :

  1. Déterminer la nature des activités du ministère (par exemple, son rôle et son mandat) et les services qu'il doit fournir selon sa loi habilitante ou d'autres exigences législatives, la politique du gouvernement, ses obligations envers d'autres ministères, les dispositions établies pour les services partagés, les traités, les marchés, les protocoles d'entente ou d'autres accords conclus. L'analyse doit également faire état des fonctions internes et externes sur lesquelles les services reposent.
  2. Déterminer les répercussions directes et indirectes des interruptions sur le ministère, y compris les effets quantitatifs et qualitatifs.
  3. Évaluer les services pour déterminer ceux qui sont les plus susceptibles de causer un préjudice élevé aux Canadiens et aux Canadiennes et au gouvernement, s'ils sont interrompus. Il est d'importance capitale de veiller à la reprise immédiate des activités ou de maintenir un niveau de services minimal jusqu'à ce que tous les services soient rétablis.
  4. Relever les services essentiels, les classer par ordre de priorité et dresser une liste des ressources (personnel, entrepreneurs, fournisseurs, information, systèmes et autres biens) qui soutiennent directement ou indirectement les services au sein et à l'extérieur du ministère. La priorité est établie selon le temps d'arrêt maximal admissible et le niveau de services minimal requis avant qu'un préjudice élevé ne soit causé. Les services qui doivent toujours être disponibles, c'est-à-dire pour lesquels une interruption est inacceptable et la reprise immédiate est essentielle, viennent au premier rang.
  5. Faire approuver les résultats de l'analyse des répercussions sur les opérations par la haute direction avant de procéder à l'élaboration des plans de continuité.

3.3 Plan de continuité des activités et préparatifs

D'après les résultats de l'analyse des répercussions sur les opérations, la planification de la continuité des activités doit comprendre :

  1. l'élaboration d'options de reprise qui permettront d'établir une stratégie de reprise pour chacun des services essentiels;
  2. l'évaluation de chaque option en termes d'interruption possible, de répercussions sur le ministère, d'avantages, de risques, de faisabilité et de coûts afin de choisir la stratégie la plus pertinente;
  3. l'obtention de l'approbation de la haute direction pour appuyer et financer certaines stratégies;
  4. l'élaboration de plans de continuité des activités, y compris des plans de continuité de la TI et de la GI qui font état :
    1. des services essentiels, des produits d'information et des dépendances relevés dans l'analyse des répercussions sur les opérations;
    2. des stratégies de reprise approuvées;
    3. des mesures à prendre pour donner suite aux répercussions et aux effets des interruptions sur le ministère;
    4. des équipes d'intervention et de reprise, y compris la composition des équipes et les coordonnées des membres;
    5. des rôles, responsabilités et tâches des équipes, y compris des intervenants internes et externes;
    6. des ressources requises et des procédures à suivre pour la reprise;
    7. des mécanismes et des procédures de coordination;
    8. des stratégies de communication;
  5. l'obtention de l'approbation de la haute direction concernant les plans élaborés;
  6. l'achèvement des préparatifs pour garantir que les plans peuvent être mis en œuvre et, dans les instances ou les ministères partage la prestation de services essentiels, des ententes pour s'assurer que les plans de ces ministères agissent de concert;
  7. l'organisation de séances d'information et de formation à l'intention du personnel.

3.4 État de préparation du Programme de PCA

Lorsque les plans ont été élaborés, approuvés et prêts à être mis en œuvre, il faut établir un cycle permanent de mise à jour qui comprend :

  1. l'examen et la révision continus de tous les plans pour tenir compte de tout changement survenu (lois, services essentiels, organisation, mandat, gestion, menaces, environnement, intervenants, dépendances, etc.);
  2. des séances de formation supplémentaires, s'il y a lieu;
  3. des mises à l'essai et une validation régulières de tous les plans, incluant la préparation d'un rapport des leçons dégagées après ces mises à l'essai ou lors d'incidents réels (la validation peut consister en un questionnaire, en une simulation en salle de conférence tout comme en des exercices ministériels ou interministériels en milieu réel - il revient aux ministères d'en déterminer la fréquence);
  4. l'élaboration d'un cycle de vérification pour le Programme de PCA qui servira de fondement à l'établissement des rapports à remettre au Secrétariat du Conseil du Trésor.

3.5 Disposition spéciale pour la GRC et les Forces canadiennes

Il est reconnu que la Gendarmerie royale du Canada (GRC) et les Forces canadiennes (FC), aux fins de leur programme respectif de la planification de la continuité des activités, peuvent y inclure des mesures supplémentaires, si nécessaire, afin d'assurer la protection du personnel et des biens. Cet état de fait est le résultat de leurs responsabilités légales en ce qui touche la protection des infrastructures critiques durant toute situation de crise.

4. Demandes de renseignements

Pour toute demande de renseignements au sujet du présent instrument de politique, veuillez communiquer avec la Division de la sécurité et gestion de l'identité.

Pour obtenir de l'aide en vue de l'élaboration et du maintien d'un programme PCA, veuillez communiquer avec le service suivant :

Centre d'Assistance PCA
Sécurité publique Canada
340, avenue Laurier Ouest
Ottawa (Ontario) K1A 0P8
Téléphone : 613-949-6522
Courriel : PCA.Assistance@sp-ps.gc.ca

Site web de Sécurité publique Canada :
http://www.securitepublique.gc.ca/index-fra.aspx


Annexe 1 : Glossaire

Continu (continued)
peut être interrompu, mais doit être rétabli dans un délai acceptable.
Dépendance (dependency)
les services internes/externes, les biens et les ressources (y compris les particuliers) utilisés pour assurer le service.
Interruption (disruption)
tout arrêt dans la prestation continue des services essentiels.
Intervention (response)
mécanismes d'action permettant de donner suite à un arrêt.
Ministère (departement)
tel qu'il est défini à l'article 5 de la Politique du gouvernement sur la sécurité entrée en vigueur le 1er février 2002.
Niveau de services minimal (minimum service level)
le niveau de prestation de services essentiel pour éviter un préjudice élevé; ce niveau est maintenu jusqu'à ce que tout soit complètement rétabli.
Permanent (continuous)
ne doit pas être interrompu.
Planification de la continuité de la technologie de l'information (TI) (Information Technology (IT) Continuity Planning)
en tant que partie intégrante du Programme de planification de la continuité des activités, la planification de la continuité de la TI consiste à élaborer des plans, des mesures, des procédures et des préparatifs (en se fondant sur la méthode de PCA) pour garantir que les services et biens essentiels en TI sont toujours disponibles ou interrompus pendant de très brèves périodes.
Planification de la continuité de la gestion de l'information (GI) (Information Management (IM) Continuity Planning)
en tant que partie intégrante du Programme de planification de la continuité des activités et en conformité avec la Politique de gestion de l'information gouvernementale, la planification de la continuité de la GI consiste à élaborer des plans, des mesures, des procédures et des préparatifs (en se fondant sur la méthode de PCA) pour garantir que les services et biens essentiels en GI sont toujours disponibles ou interrompus pendant de très brèves périodes.
Préjudice élevé (high degree of injury)
dommage grave lié à la fourniture de biens de subsistance (par exemple, nourriture, eau, abris, énergie), au maintien de l'ordre public, à la prestation de soins et d'interventions d'urgence; d'un environnement essentiel au maintien de la vie, de modes essentiels de communication et de transport ainsi que de services économiques de base; et au maintien des activités du gouvernement et de l'intégrité et de la souveraineté des territoires.
Reprise (recovery)
le rétablissement complet des niveaux de prestation de services.
Temps d'arrêt maximal admissible (maximum allowable downtime)
la plus longue période de temps qu'un service peut être non disponible ou en dérangement avant qu'un préjudice élevé ne soit causé.