Vérification de la sécurité au ministère
rapport sommaire final
3.2 Gestion des risques
La gestion des risques est un élément clé du programme de sécurité du gouvernement fédéral. La PGS prescrit l’utilisation de deux documents spécifiques pour l’examen et l’évaluation des risques qui visent les activités des ministères — l’Énoncé de la nature délicate (END) et l’Évaluation de la menace et des risques (EMR). L’END résume les exigences en matière d’information selon les secteurs d’activité du ministère en cause et la mesure dans laquelle les différents renseignements doivent être protégés. L’EMR examine les risques potentiels qui visent les activités d’un ministère et en tire un bilan. L’utilisation d’un processus normalisé d’EMR assure une norme de comparaison commune, quelle que soit la manière dont un ministère ou un organisme met en oeuvre ses mesures de sécurité.
Le guide de CIC sur les politiques et procédures en matière de sécurité explique comment on réalise une EMR dans les installations physiques. Toutefois, cette politique n’est pas appliquée de façon uniforme dans tous les secteurs. Dans la plupart des sites qui ont fait l’objet de l’évaluation, aucune EMR n’avait été faite récemment. De façon générale, on ne reconnaît pas l’utilité ni la nécessité de telles évaluations. La Sécurité ministérielle a conçu un outil d’EMR simplifié pour les gestionnaires locaux, mais il n’est pas utilisé.
La politique sur la sécurité de la technologie de l’information, en cours de préparation, définit les exigences relatives à une EMR visant les technologies de l’information. Pour le moment, l’EMR ne porte que sur le tiers des systèmes informatiques et des logiciels utilisés dans les activités quotidiennes.
L’absence d’une EMR à l’échelle du Ministère y affaiblit la gestion des risques. Si on procédait à une EMR à l’échelle du Ministère en s’attachant aux risques qui touchent l’ensemble du Ministère, on pourrait en dégager un cadre à partir duquel réaliser des analyses plus détaillées à l’échelle des régions et des sites.
- Date de modification :
