Profil de risqué organisationnel 2021-22

Introduction
- Risques organisationnels
  - Programmes de Sécurité publique (selon le Répertoire des programmes)
- Classement des risques organisationnels
  - Classement des risques résiduels
Premier risque organisationnel
Deuxième risque organisationnel
Troisième risque organisationnel
Quatrième risque organisationnel
La voie à suivre
Annexe A : échelles de classement des risques
- Échelle de classement des risques ― Probabilité
- Échelle de classement des risques ― Impact
Annexe B : évaluation des risques résiduels
- Carte de densité des risques 5x5

Le risque fait référence à l'effet de l'incertitude sur les objectifs. Il est l'expression de la probabilité et de l'impact qu'un événement peut avoir sur l'atteinte des objectifs.

Introduction

Le Profil de risque organisationnel (PRO) est le résultat du processus ministériel de gestion des risques, qui est facilité par la Direction de la planification stratégique (DPS). Le PRO comprend les commentaires des cinq secteurs, des deux directions et du Bureau de l'ombudsman de Sécurité publique. II et décrit les éléments suivants :

Les principaux risques organisationnels susceptibles d'entraver la capacité du Ministère à atteindre les résultats escomptés;
Le contexte ou l'environnement dans lequel le Ministère fonctionne;
Les facteurs de risque^{Notes de bas de page 1} qui influent sur la probabilité que le risque se matérialise;
Les impacts^{Notes de bas de page 2} si les risques se matérialisent;
Les contrôles^{Notes de bas de page 3} que le Ministère a mis en place pour atténuer la probabilité que le risque se matérialise et/ou l'impact du risque s'il se matérialise;
Les responsables des risques;
Les stratégies et mesures supplémentaires mises en œuvre pour atténuer davantage le risque résiduel.

Le PRO est mis à jour chaque année pour rester actuel, flexible et adapté, tandis qu'un examen et une révision complets et approfondis sont effectués tous les trois ans. L'exercice 2021-2022 est la troisième année du cycle de vie du PRO.

Le PRO, ainsi que le Cadre de gestion intégrée du risque (SGDDI 3068822) et le Cadre stratégique de gestion du risque du Conseil du Trésor, fournissent la gouvernance, les processus et les responsabilités liés à la gestion intégrée du risque à Sécurité publique.

Risques organisationnels

Le PRO est composé des quatre risques suivants, qui ont été déterminés via une consultation ministérielle en 2018-2019 et qui furent publiés pour la première fois en 2019-2020 :

Il y a un risque que certains résultats liés aux programmes qui reposent sur les mesures prises par les partenaires ne soient pas atteints.
Il y a un risque que le Ministère ne soit pas capable de suivre le rythme des avancées technologiques et de tirer profit de celles‑ci.
Il y a un risque que le Ministère ne réagisse pas efficacement au rythme et à l'ampleur du changement dans l'environnement de menace tous risques.
Il y a un risque que le Ministère ne parvienne pas à attirer et à maintenir en poste les employés nécessaires pour atteindre ses objectifs organisationnels.

Les quatre risques ont des répercussions potentielles sur l'ensemble des 12 programmes de Sécurité publique. Par exemple, la plupart des programmes et certains des services internes du ministère dépendent de partenaires externes pour atteindre les résultats escomptés. Ils s'appuient tous sur la technologie pour effectuer leur travail et fournir leurs services. Étant donné la nature du mandat de Sécurité publique, qui consiste à renforcer la sécurité nationale, la sécurité communautaire et la gestion des urgences, tous les programmes sont touchés par les grands changements dans l'environnement des menaces tous risques. Enfin, l'ensemble du Ministère en souffre s'il n'est pas en mesure d'attirer et de retenir les bons employés pour répondre à ses exigences spécialisées.

Programmes de Sécurité publique (selon le Répertoire des programmes)

Responsabilités essentielle 1 : Sécurité nationale

Leadership en matière de sécurité nationale
Cyber sécurité
Infrastructures essentielles

Responsabilités essentielle 2 : Sécurité communautaire

Prévention du crime
Application de la loi et police
Crimes graves et crime organisé
Politique frontalière
Services de police autochtones
Services correctionnels

Responsabilités essentielle 3 : Gestion des mesures d'urgence

Prévention et atténuation des urgences
Préparation aux urgences
Intervention et rétablissement en cas s'urgence

Classement des risques organisationnels

Les risques organisationnels sont classés en fonction de la probabilité qu'ils se produisent et de l'impact s'ils pourraient produire (voir l'Annexe A) pour les échelles de probabilité et d'impact des risques et l'Annexe B pour la matrice de classement des risques). Parmi tous les risques identifiés au cours du processus organisationnel de gestion des risques en 2018-2019, les quatre risques actuels ont été classés au plus haut niveau - les plus susceptibles de se produire et ceux qui engendreraient les impacts les plus significatifs s'ils se produisaient - et, par conséquent, ont été retenus pour être surveillés et atténués.

Au cours des trois dernières années, le Ministère a surveillé à chaque année les niveaux de risque résiduel^{Notes de bas de page 4} pour les quatre risques organisationnels au moyen de consultations à l'échelle du Ministère. Au cours de cette période, les secteurs ont noté un réduction dans les niveaux de risque résiduel. Les contrôles et les stratégies d'atténuation supplémentaires qui ont été partiellement ou entièrement mis en œuvre ont contribué à réduire les niveaux d'extrême à moyen ou moyen-élevé^{Notes de bas de page 5}. Les consultations ont été menées entre août et novembre 2021.

Classement des risques résiduels
Risques organisationnels	Risques organisationnels	Impact	Risque résiduel ^{Notes de bas de page 6}
Il y a un risque que certains résultats liés aux programmes qui reposent sur les mesures prises par les partenaires ne soient pas atteints.	Assez probable (2.8)	Modéré (3.4)	Moyen-élevé (9.5)
Il y a un risque que le Ministère ne soit pas capable de suivre le rythme des avancées technologiques et de tirer profit de celles‑ci.	Assez probable (3.0)	Modéré (3.0)	Moyen (9.0)
Il y a un risque que le Ministère ne réagisse pas efficacement au rythme et à l'ampleur du changement dans l'environnement de menace tous risques.	Assez probable (3.0)	Élevé (4.0)	Moyen-élevé (12.0)
Il y a un risque que le Ministère ne parvienne pas à attirer et à maintenir en poste les employés nécessaires pour atteindre ses objectifs organisationnels.	Assez probable (3.2)	Élevé (3.8)	Moyen-élevé (12.2)

Premier risque organisationnel

Énoncé de risque

Il y a un risque que certains résultats liés aux programmes qui reposent sur les mesures prises par les partenaires ne soient pas atteints.

Contexte de risque

La majorité des programmes de Sécurité publique doivent établir des partenariats pour mettre en œuvre des initiatives et des ententes de financement, atteindre des objectifs et obtenir des résultats. La nécessité de former des partenariats crée un degré de dépendance, ce qui peut rendre le Ministère vulnérable aux actions de partenaires dont les intérêts ou les approches peuvent ne pas correspondre aux siens. Dans certains cas, cette situation peut être atténuée en s'engageant avec des partenaires dont les intérêts sont compatible. Cela n'est pas toutefois toujours possible étant donné la vaste portée des partenariats que le Ministère doit établir avec d'autres ministères et organismes fédéraux, d'autres ordres de gouvernement au Canada, des gouvernements étrangers, le secteur privé et des organisations non gouvernementales.

Facteurs de risque

Les facteurs de risque qui ont été identifiés au début du cycle du PRO en 2018-2019 sont les suivants :

Les difficultés à établir et à maintenir des partenariats et/ou des relations efficaces avec les organismes du portefeuille, les autres ministères, les provinces, les municipalités, les organisations non gouvernementales et les groupes d'intérêts spéciaux;
La dépendance à l'égard des partenaires et/ou des intervenants pour la prestation des programmes et des services fédéraux;
L'évolution de l'environnement économique et politique national et international;
Le partage des responsabilités et la coordination entre les secteurs, le Ministère et d'autres administrations;
Des ressources insuffisantes pour s'engager correctement auprès de toutes les populations.

Impacts

Les impacts potentiels en cascade de ce risque, s'il devait se produire, sont les suivants :

Le Ministère peut agir de manière non coordonnée, inefficace ou inefficiente;
Le Ministère pourrait perdre sa crédibilité;
Il peut y avoir une rupture des relations et des obstacles aux collaborations stratégiques futures;
Le Ministère pourrait ne pas se conformer aux normes, politiques et exigences nationales ou internationales en matière de vérification, d'évaluation et de rapports;
Le Ministère pourrait être incapable de s'acquitter efficacement de son mandat;
La vie des Canadiens pourrait être mise en danger en raison de l'incapacité à tirer parti des partenariats clés.

Contrôles

Au cours des trois dernières années, les secteurs ont identifié les contrôles suivants :

Des canaux de communication efficaces pour la communication des priorités stratégiques, des risques et des problèmes aux agences du Portefeuille;
Des procédures intégrées harmonisées entre les agences du Portefeuille;
Un plan d'action avec les partenaires comportant des livrables, des échéances et des cadres clairement identifiés qui guident et facilitent les activités;
Des mécanismes de rapports réguliers pour l'identification précoce des problèmes et des opportunités avec les partenaires;
Des mécanismes de coordination opérationnelle et de gouvernance (par exemple, le plan fédéral d'intervention en cas de terrorisme et cadre de coopération SP-CSCRS, le cadre de l'initiative horizontale de la Stratégie nationale de cybersécurité, le concept d'opérations pour la réponse aux événements) pour une coordination et une gouvernance efficaces;
Des comités et groupes de travail conjoints avec des ministères partenaires, divers ordres de gouvernement et des chefs de file de l'industrie pour discuter de questions et d'initiatives transversales et pour faire avancer les priorités stratégiques (p. ex, les SM fédéraux/provinciaux/territoriaux (FPT) de la Justice et de la Sécurité publique, le Comité de coordination du Profil de risque national des DG, les hauts fonctionnaires responsables de la gestion des urgences, le Programme Cosmicheskaya Sistyema Poiska Avariynich Sudov-Search and Rescue Satellite-Aided Tracking (COSPAS-SARSAT), le Forum national intersectoriel, le groupe de travail FPT pour les infrastructures essentielles, les réunions du réseau multisectoriel, le réseau des infrastructures essentielles (IE) des ministères fédéraux, le groupe de travail FPT pour les infrastructures essentielles, les comités de lutte contre le blanchiment d'argent et le financement du terrorisme, le groupe consultatif sur la protection des passagers);
Des accords de financement de contribution avec les partenaires qui comprennent des attentes et des résultats clairs, ainsi que des systèmes d'incitation appropriés;
Des protocoles d'entente avec les provinces et les territoires (p. ex., le Programme de subventions commémoratives, les accords de contribution au financement de l'application de la loi avec les provinces et les territoires afin de renforcer la capacité de mettre en œuvre les nouvelles lois sur la conduite avec facultés affaiblies par les drogues);
Des relations et forums axés sur la mobilisation avec des alliés comme les collectivités, les provinces, les territoires, les groupes autochtones, l'industrie et d'autres partenaires (p. ex. le Centre canadien pour l'engagement communautaire et la prévention de la violence, le Plan fédéral d'intervention contre le terrorisme, le Forum national intersectoriel et le Programme d'atténuation des catastrophes naturelles);
La Communauté de praticiens d'exercices pour les infrastructures essentielles et la cybersécurité;
Les enseignements tirés des incidents de réponse collective par le biais du Portail d'interconnectivité des centres d'opérations^{Notes de bas de page 7} (PICO).

Stratégies et mesures d'atténuation

Lorsque des lacunes dans les contrôles des risques ont été identifiées pour des risques élevés, de nouvelles stratégies, mesures et mécanismes peuvent être mis en œuvre pour combler ces lacunes et réduire davantage le classement du risque. Aucune nouvelle stratégie ou mesure n'a été proposée pour le premier risque - Partenariats, lors des consultations 2021 à l'échelle du Ministère.

Deuxième risque organisationnel

Énoncé du risque

Il y a un risque que le ministère ne soit pas capable de suivre le rythme des avancées technologiques et de tirer profit de celles-ci.

Contexte de risque

Au cours des cinq dernières années, le gouvernement du Canada a élaboré des politiques, des directives, des plans, des stratégies et des normes liés à la technologie pour s'adapter au rythme des progrès technologiques et combler les lacunes considérables de ses capacités et de son infrastructure. Le gouvernement fédéral a également investi des sommes considérables dans des mises à niveau essentielles et dans la modernisation de son infrastructure de TI afin de s'attaquer à son « déficit technique^{Notes de bas de page 8} ».

Dans la récente itération du Plan stratégique des opérations numériques, le Secrétariat du Conseil du Trésor du Canada (SCT) détaille la liste des mesures stratégiques et des initiatives simultanées que le SCT, Services partagés Canada et d'autres partenaires prennent pour réaliser les six priorités numériques du gouvernement, y compris une fonction publique numérique. Certaines de ces mesures ont été accélérées en raison de l'arrivée de la pandémie de COVID-19 et du passage rapide au travail à domicile. Conformément à cette orientation, Sécurité publique a amélioré la connectivité de la bande passante et mis à jour l'équipement audiovisuel pour faciliter les communications.

Bien que le numérique progresse, il s'agit toujours d'un travail progressif. En effet, de nombreux défis subsistent :

Une grande partie de l'infrastructure et des systèmes informatiques essentiels à la mission du gouvernement sont vieillissants et risquent de tomber en panne. Ils doivent être entretenus et mis à niveau, ce qui est coûteux;
Les systèmes sont incapables de stocker toutes les données qui résultent de l'accroissement de la puissance de calcul et du travail numérique;
Les cybermenaces et les atteintes à la vie privée numérique sont en croissance;
De nouvelles technologies - telles que l'apprentissage automatique, les bases de données de partage d'informations dans l'infonuagique, la communication sans fil 5G et l'intelligence artificielle - et de nouveaux modèles commerciaux font rapidement leur entrée sur le marché et continueront à le faire dans un avenir prévisible;
Les employés manquent d'outils modernes et efficaces sur le lieu de travail pour leur permettre de servir les Canadiens et de travailler efficacement. Ce problème a été amplifié par la pandémie et le passage au travail à domicile;
Dans un environnement technologique en constante évolution, les fonctionnaires et les dirigeants ne disposent pas de toutes les compétences requises pour suivre le rythme; en fait, certaines compétences technologiques sont très rares dans la société en général, ainsi que dans la fonction publique.

Facteurs de risque

Les facteurs de risque qui ont été identifiés au début du cycle du PRO en 2018-2019 sont les suivants :

La nécessité de se tenir au courant des dernières avancées technologiques;
Des systèmes désuets, comme le système ministériel de gestion financière, qui accuse un retard par rapport aux systèmes financiers des autres ministères (c.-à-d. le traitement des factures électroniques, la veille économique, la production de rapports, la qualité des données, etc.);
Des problèmes de connectivité;
Plusieurs juridictions sont responsables des initiatives de communication de Sécurité publique et, par conséquent, plusieurs systèmes sont en jeu;
Des difficultés à recruter et à maintenir en poste des employés possédant des compétences spécialisées;
Des difficultés d'interface et de partage des données avec les partenaires et les parties prenantes;
Gérer la centralisation des services de GI/TI;
Trop peu de ressources sont affectées au Système de subventions et de contributions de Sécurité publique (SSCSP) pour mettre en œuvre les mises à jour des systèmes en temps opportun.

Impacts

Les impacts potentiels en cascade de ce risque, s'il devait se produire, sont les suivants :

Le Ministère peut manquer d'informations pour prendre des décisions opportunes et fondées sur des données probantes;
Les employés et les partenaires peuvent ne pas être au courant des nouvelles menaces ou ne pas avoir accès à des technologies e/ou à des outils appropriés et modernes pour s'acquitter de leurs responsabilités;
Les partenariats clés peuvent se détériorer;
Le Ministère pourrait ne pas être en mesure de respecter les engagements de son mandat en temps opportun;
Les Canadiens pourraient ne pas être au courant des services disponibles et, par conséquent, ne pas les utiliser;
L'intervention en cas d'urgence et d'évènements de la part de Sécurité publique pourrait être ralentie ou entravée, ce qui entraînerait des dommages économiques et des pertes de vie.

Contrôles

Au cours des trois dernières années, les secteurs ont identifié les contrôles suivants comme étant des mesures utilisées pour réduire la probabilité que ce risque se produise et l'impact s'il se produit :

Le maintien d'un calendrier de mise à jour des systèmes informatiques essentielles afin de prévenir l'exploitation des vulnérabilités informatiques;
L'acquisition de technologies en partenariat avec des partenaires clés afin d'accroître les capacités existantes et l'interopérabilité (par exemple, des portails Internet permettant aux utilisateurs externes restreints d'échanger des informations);
Le groupe de travail axé sur la gestion et la technologie de l'information pour discuter des nouvelles solutions technologiques aux problèmes liés aux processus;
La communication et la mobilisation avec le partenaire commercial de la GI/TI pour discuter des solutions numériques aux problèmes axés sur les processus;
La formation sur les nouvelles technologies et la sécurité de l'information;
L'amélioration de l'équipement audiovisuel afin d'améliorer les communications entre les salles de conseil des régions et de l'administration centrale et de permettre la collaboration dans un environnement de travail hybride;
L'amélioration de la connectivité de la bande passante des bureaux régionaux par l'installation d'équipement informatique supplémentaires;
Le maintien de la liaison avec les intervenants des autres ministères et de l'industrie, particulièrement dans les secteurs jugés sensibles, afin de s'assurer que Sécurité publique demeure au fait des développements technologiques;
La migration vers Windows 10 pour tous les systèmes d'exploitation.

Stratégies d'atténuation et mesure de rendement

Stratégies d'atténuation et mesure de rendement
Stratégie d'atténuation du risque	Imputabilité / responsable de la stratégie	Indicateur(s)	Cible(s)
Mise en œuvre d'une solution de veille stratégique pour fournir un accès direct aux ensembles de données sur les subventions et les contributions au moyen d'une interface conviviale, et pour permettre aux employés et aux cadres supérieurs d'organiser et de rendre compte des données en temps réel.	SGUP	Pourcentage des ETP du SGUP qui ont été formés à la solution de veille stratégique.	10%
Nouveau - Assurer la préparation de la nouvelle solution SAP S4 / HANA qui sera mise en œuvre par la GRC en 2022-2023 en effectuant une analyse d'adéquation des processus de gestion financière et en participant aux principales activités de planification du projet.	SGM	Pourcentage des processus de gestion financière qui sont inclus dans l'analyse concordance-écarts.	100 %
Nouveau - Développer et déployer une plateforme et des outils de communication et de collaboration sécurisés, basés sur l'infonuagique (M365, Teams), afin de maintenir et d'augmenter la continuité des activités, la productivité et les performances, à l'appui d'une main-d'œuvre plus résiliente, mobile et distribuée.	SGM	Pourcentage de dispositifs qui ont été migrés vers M365 et Teams.	100 %
Nouveau - Investir dans des appareils informatiques mobiles à jour - tablettes, ordinateurs portables et téléphones intelligents - afin de fournir une capacité améliorée et de secours (par exemple, transférer les appels des équipes des tablettes aux téléphones mobiles) à l'appui de méthodes et d'environnements de travail souples et diversifiés.	SGM	Pourcentage de nouveaux dispositifs informatiques mobiles et de téléphones intelligents déployés.	100 %
Nouveau - Investir dans de nouveaux outils de sécurité informatique (par exemple [Caviardé] Titus) afin d'accroître la surveillance, l'analyse et la sensibilisation aux cyberincidents au sein du Ministère.	SGM	Déploiement des applications [Caviardé] Titus.	Pleinement déployé
Nouveau - Mettre à niveau les connexions Internet et augmenter la capacité par le biais du tunnelage fractionné, et donnez des instructions sur l'accès au réseau corporatif par le biais d'un RPV sécurisé pour permettre le travail à distance partout et à tout moment.	SGM	Pourcentage de sites de travail de SP disposant d'une bande passante de réseau améliorée et d'un Wi-Fi amélioré dans tous les bâtiments de la région de la capitale nationale. Mettre à la disposition de l'ensemble du personnel des communications pédagogiques et des sessions de formation sur l'accès au réseau corporatif via un RPV sécurisé.	Mise à niveau de 100 % des sites régionaux à la largeur de bande recommandée par Services partagés Canada/Microsoft et migration vers le Wi-Fi du GC dans tous les bâtiments de la région de la capitale nationale. 100 % de disponibilité via les communiqués du DPI, l'InfoBulletin et les sessions de formation.

Troisième risque organisationnel

Énoncé du risqué

Il y a un risque que le ministère ne réagisse pas efficacement au rythme et à l'ampleur du changement dans l'environnement de menace tous risques.

Contexte de risque

Un environnement de menaces tous risques englobe les activités naturelles et humaines susceptibles de causer des décès ou des blessures, des dommages matériels, des perturbations sociales et économiques et une dégradation de l'environnement. La probabilité que cela survienne, la fréquence et l'impact des événements - y compris les phénomènes météorologiques extrêmes tels que les incendies de forêt, les inondations et les tornades - augmentent, ce qui accroît le risque pour la sécurité nationale et la sécurité des collectivités, et crée une pression sur la gestion des urgences. Les menaces tous risques comprennent également des événements qui évoluent rapidement et qui sont souvent sensibles et qui représentent une menace pour les Canadiens, les infrastructures essentielles, les cybersystèmes et la sécurité nationale. Sécurité publique élabore des politiques, des lois et des programmes pour soutenir la capacité du Canada à réagir à ce large éventail de menaces. Le Ministère assure également la coordination et le leadership à l'échelle nationale auprès des partenaires et des intervenants, et travaille à renforcer l'état de préparation et la capacité du Canada à prévenir, à atténuer, à intervenir et à se rétablir en cas d'événements tous risques.

Facteurs de risque

Les facteurs de risque qui ont été identifiés au début du cycle du PRO en 2018-2019 sont les suivants^{Notes de bas de page 9}:

La complexité de la cybersécurité;
Les événements météorologiques extrêmes dus au changement climatique;
Les catastrophes environnementales d'origine humaine;
L'urbanisation et les interdépendances des infrastructures essentielles;
L'évolution des risques de sécurité;
Les développements géopolitiques;
La nature interconnectée des chaînes d'approvisionnement mondiales.

Impacts

Les impacts potentiels en cascade de ce risque, s'il devait se produire, sont les suivants :

Le Ministère peut être incapable de se préparer ou de réagir de manière appropriée à une menace tous risques en temps opportun;
Le Ministère pourrait être incapable de prendre des décisions appropriées;
Le Ministère pourrait ne pas être en mesure de remplir son mandat;
Le Ministère pourrait perdre sa crédibilité;
Le Ministère peut être incapable de fournir une réponse efficace aux catastrophes et aux efforts de récupération qui entraînent des dommages économiques, des blessures ou des pertes de vie.

Contrôles

Au cours des trois dernières années, les secteurs ont identifié les contrôles suivants comme des mesures utilisées pour réduire la probabilité que ce risque se produise et l'impact s'il se produit :

Des analyses de l'environnement pour aider à évaluer les risques et les opportunités potentiels;
Des processus de planification et d'évaluation des risques pour répondre aux menaces;
Des mécanismes de coordination opérationnelle et de gouvernance (par exemple, le plan de gestion de la continuité du Ministère, les plans d'intervention d'urgence des bâtiments, protocoles COVID, le programme de prévention des risques);
Du financement et une mobilisation avec des partenaires pour améliorer la prévention de la criminalité, les activités frontalières et répressives liées à la criminalité grave et organisée, et pour lutter contre le blanchiment d'argent et la criminalité financière;
Une mobilisation conjointe avec le collectivité de la sécurité et du renseignement pour rester au courant des principales menaces terroristes et extrémistes violentes auxquelles le Canada est confronté;
Une mobilisation conjointe avec des partenaires internationaux et des entreprises technologiques pour s'assurer que la radicalisation en ligne vers la violence soit comprise et traitée efficacement;
Le programme de la cellule virtuelle d'analyse des risques (VRAC), qui développe et partage des produits analytiques et produit des évaluations d'impact sur les perturbations des infrastructures critiques;
Une formation pratique offerte aux experts en systèmes de contrôle industriel (SCI) par le biais de Symposium du programme de cyberengagement, d'exercices et d'ateliers;
Des plans de formation du Centre des opérations du gouvernement (COG) utilisés pour s'assurer que les employés ont les connaissances et l'expertise nécessaires pour assumer leurs responsabilités;
Une collaboration avec les partenaires nationaux pour tirer parti de l'expertise existante dans le domaine cybernétique;
Une planification basée sur les capacités (PBC) adoptée par les gouvernements FPT pour faire face à l'évolution de l'environnement des risques de catastrophes tous risques;
Des outils non techniques d'évaluation de la cybersécurité du Programme d'évaluation de la résilience régionale (PARR) mis en œuvre pour évaluer les vulnérabilités des réseaux (p. ex. l'outil d'évaluation de la vulnérabilité des réseaux et l'outil canadien de cybersécurité);
De la surveillance, des mesures et des directives établies pour protéger la santé et la sécurité des employés, y compris en relation avec la pandémie et le retour prévu à un lieu de travail centralisé/physique;
Des outils et des stratégies pour les partenaires ministériels qui traitent des risques de catastrophe influencés par le changement climatique (par exemple, la stratégie nationale d'adaptation, le projet pilote d'Optique des changements climatiques, la Stratégie fédérale de développement durable pour 2022-2026);
Le renouvellement et le suivi continu de la Stratégie nationale pour les infrastructures essentielles, en collaboration avec les parties prenantes des secteurs public et privé, afin de promouvoir la résilience des infrastructures essentielles;
La mise à jour du Plan de sécurité ministérielle de Sécurité publique pour aider à atténuer les risques de sécurité associés au travail à distance;
La Stratégie nationale de lutte contre la violence liée aux armes à feu et aux gangs élaborée en collaboration avec des partenaires fédéraux, provinciaux et territoriaux et des intervenants clés.

Stratégies d'atténuation et mesure de rendement

Stratégies d'atténuation et mesure de rendement
Stratégie d'atténuation du risque	Stratégie d'atténuation du risque	Indicateur(s)	Cible(s)
Mise en œuvre des recommandations de l'examen de la modernisation du Centre des opérations du gouvernement (COG)	SGUP	Pourcentage des recommandations de modernisation du GOC traitées.	56 %
Nouveau - Établir une communauté de pratique en matière de gestion des risques (CPGR) afin de mieux répondre à l'évolution constante de l'environnement des menaces tous risques. L'objectif sera d'accroître la sensibilisation aux concepts et aux pratiques de gestion des risques par le biais de présentations, d'échanges sur les meilleures pratiques et de discussions sur les défis et les stratégies de gestion des risques.	SAPC	Pourcentage des membres de la CPGR qui indiquent que le forum les a sensibilisés aux pratiques de gestion des risques.	70 %
	SAPC	Pourcentage de membres qui indiquent que les connaissances acquises dans le cadre de la CPGR les aideront à mieux répondre à l'évolution constante de l'environnement des menaces tous risques.	70 %
Nouveau - Fournir un soutien en matière de politiques, de formation et d'opérations aux partenaires du Régime canadien de lutte contre le blanchiment d'argent et le financement du terrorisme par l'entremise du Centre de coordination de la lutte contre la criminalité financière (CCLF).	SPC (anciennement SSNC)	Pourcentage de partenaires qui ont déclaré que le soutien de l'Équipe d'action, de coordination et d'exécution de la loi pour la lutte contre le recyclage des produits de la criminalité a renforcé leurs efforts pour détecter, perturber et prévenir le financement du terrorisme.	20 %

Quatrième risque organisationnel

Énoncé du risque

Il y a un risque que le ministère ne parvienne pas à attirer et à maintenir en poste les employés nécessaires pour atteindre ses objectifs organisationnels.

Contexte de risque

Sécurité publique est en concurrence avec d'autres ministères et organismes gouvernementaux ainsi qu'avec le secteur privé pour attirer et retenir des personnes compétentes, qualifiées et bien informées pour effectuer le travail du ministère. Le défi de la rétention des talents est encore aggravé par le fait que les employés changent fréquemment d'emploi. Les postes vacants créés par ce mouvement constant, combinés à une main-d'œuvre inexpérimentée, peuvent entraver la capacité du Ministère à remplir son mandat.

Facteurs de risque

Les facteurs de risque qui ont été identifiés au début du cycle du PRO en 2018-2019 sont les suivants :

Une mobilité croissante des employés en raison de l'augmentation des possibilités d'emploi dans la fonction publique et ailleurs dans l'économie canadienne;
Des processus d'embauche longs et complexes;
Une population vieillissante et un plus grand nombre de personnes qui quittent le marché du travail;
Une mondialisation rapide et des changements technologiques entraînant une modification de la nature du travail;
Une pénurie de certains employés, tels que les agents financiers et les agents des TI, ce qui entraîne un roulement et un mouvement important des employés;
La complexité de la cybersécurité et des compétences et responsabilités qui y sont associées.

Impacts

Les impacts potentiels en cascade de ce risque, s'il devait se produire, sont les suivants :

Le Ministère pourrait ne pas être en mesure de rendre des décisions opportunes et bien informées;
Le Ministère pourrait ne pas être en mesure de remplir son mandat;
Le Ministère pourrait perdre sa crédibilité;
Les partenariats de Sécurité publique pourraient s'éroder;
Le Ministère pourrait ne pas être en mesure de fournir une réponse efficace lors de catastrophes naturelles et d'efforts de récupération entraînant des dommages économiques, des blessures ou des pertes de vie.

Contrôles

La tenue d'un inventaire en mobilité des talents des employés actuels de Sécurité publique pour aider les gestionnaires à répondre aux besoins en personnel tout en encourageant les opportunités internes;
La formation et la communication aux gestionnaires recruteurs sur les options de dotation et l'instrument de délégation des pouvoirs en matière de ressources humaines;
La mise en œuvre de la Stratégie de gestion des talents de Sécurité publique pour obtenir des pratiques efficaces en gestion humaine intégrées;
La participation à des salons de l'emploi et à des événements sur la diversité virtuels à l'intérieur et à l'extérieur de la RCN tout au long de l'année afin de promouvoir le Ministère en tant qu'employeur de choix et de recruter des personnes talentueuses;
Des initiatives et des structures de gouvernance axées sur l'amélioration de la culture, du milieu de travail et de la main-d'œuvre du Ministère (p. ex., Culture Connect, les Journées et semaines de la santé mentale, le Comité consultatif en milieu de travail, les sondages d'opinion, « Inclusif par nature » et l'Initiative de l'espace positif);
Des options pour le travail à distance et le travail mixte bureau-domicile permettant aux employés de travailler à partir de lieux autres que les bureaux de Sécurité publique;
L'amélioration du processus^{Notes de bas de page 10}d'embarquement (et de débarquement) de Sécurité publique pour aider les nouveaux arrivants au Ministère à s'adapter rapidement à leur lieu de travail;
Une évaluation des risques psychologiques (une évaluation de référence de la santé mentale) des employés de Sécurité publique.

Stratégies d'atténuation et mesure de rendement

Stratégies d'atténuation et mesure de rendement
Stratégie d'atténuation des risques	Imputabilité/ responsable de la stratégie	Indicateur(s)	Cible(s)
Nouveau - Mettre en œuvre le modèle de lieu de travail hybride pour soutenir la culture et la communauté, le maintien et le bien-être des employés, et la résilience organisationnelle.	SGM	Pourcentage d'employés ayant répondu positivement à la question : « Dans quelle mesure êtes-vous satisfait des modalités actuelles de travail à distance?». La source de données est les sondages éclair. (Les réponses incluent : très satisfait et plutôt satisfait).	81 % (On vise des résultats égaux ou supérieurs à ceux de mai 2021)
Nouveau - Mettre en œuvre la stratégie de recrutement équitable, diversifié et inclusif afin de modifier les approches opérationnelles en matière de recrutement pour faciliter l'embauche accrue de Canadiens d'origines et de capacités diverses. Les approches sont conformes à notre approche « Une seule Sécurité publique » et aux objectifs établis en matière de diversité et d'inclusion dans le Cadre stratégique et le plan d'action sur les valeurs et l'éthique. Les mesures de cette stratégie contribuent également au Cadre stratégique sur la diversité et l'inclusion de Sécurité publique, publié à l'automne 2020.	SGM	Pourcentage d'employés qui répondent positivement à : « J'ai le sentiment d'avoir un accès équitable aux opportunités de carrière et de développement ». La source de données est les sondages éclair.	Femmes : > 72 % Personnes handicapées : > 45 % Autochtones : > 57 % Minorités visibles : > 43 % LGBTQ+ : > 70 % (On vise des résultats égaux ou supérieurs à ceux de mai 2021)

La voie à suivre

Les risques organisationnels étant considérés comme moyens à moyen-élevés alors que le Ministère entre dans la dernière année du cycle triennal du PRO, il semble que les contrôles mis en œuvre et les stratégies d'atténuation des risques en cours aident à réduire les risques organisationnels que le Ministère affronte.

À chaque année, Sécurité publique détermine les priorités sur lesquelles elle concentre son attention et ses ressources. Les priorités du Ministère sont généralement établies en réponse aux engagements du mandat ministériel ainsi qu'en fonction des événements critiques et de l'environnement opérationnel du Ministère. Elles peuvent également découler des risques ministériels, ce qui permettra de s'assurer que des ressources adéquates soient allouées et qu'une attention soit accordée à la gestion efficace des risques très-élevés du Ministère.

Une fois les risques traités, ou à tout le moins acceptés et contrôlés, le Ministère peut se tourner vers l'avenir et se sentir en confiance pour relever de nouveaux défis.

Annexe A : échelles de classement des risques

Les échelles suivantes sont utilisées pour évaluer la probabilité et l'impact d'un risque donné.

Probabilité du risque

Niveau 1 : Très peu probable - L'événement est considéré comme très peu susceptible de se produire dans des circonstances normales.
Niveau 2 : Improbable - L'événement est considéré comme peu probable dans des circonstances normales.
Niveau 3 : Modérément probable - L'événement est considéré comme raisonnablement susceptible de se produire dans des circonstances normales.
Niveau 4 : Probable - L'événement est considéré comme susceptible de se produire dans des circonstances normales.
Niveau 5 : Imminent - On s'attend à ce que l'événement se produise (ou soit imminent) presque tout le temps, ou continuellement, dans des circonstances normales.

Échelle de classement des risques ― Impact

Niveau 1 : Négligeable - Les conséquences du risque, s'il se matérialise, peuvent être absorbées par l'activité normale.

Calendrier : Le calendrier n'est pas affecté. Le calendrier peut être géré dans le cadre du plan. Possibilité de respecter les principaux jalons sans retard de calendrier.
Coûts : Le budget n'est pas affecté. Les augmentations de coûts peuvent être gérées dans le cadre du plan.
Ampleur : L'ampleur n'est pas affectée. Les changements de portée peuvent être gérés dans le cadre du plan.
Qualité et rendement : Nécessite des échanges mineurs de qualité et de rendement dans la fourchette de seuil de l'objectif. Aucun impact sur la réussite de l'objectif.

Niveau 2 : Faible - Les conséquences du risque, s'il se matérialise, peuvent être absorbées mais un effort de gestion est nécessaire pour minimiser l'impact et empêcher qu'il n'interfère avec les objectifs de l'organisation.

Calendrier : Dérapage mineur du calendrier. Activités du chemin non critique en retard. Impact sur le chemin critique jusqu'à 1 mois seulement.
Coûts : Budget affecté de moins de 5%.
Ampleur : L'ampleur peut être affectée. Les changements de portée peuvent être gérés dans le cadre du plan.
Qualité et rendement : La qualité et le rendement sont inférieurs à l'objectif mais dans des limites acceptables. Aucun changement requis. Peut ne pas répondre aux exigences des objectifs non critiques.

Niveau 3 : Modéré - Les conséquences du risque, s'il se matérialise, pourraient affecter les objectifs de l'organisation, mais peuvent être absorbées par une intervention ciblée de la direction pour minimiser l'impact. Des modifications de programme pourraient être nécessaires.

Calendrier : Glissement modéré du calendrier. Retarde les activités du chemin critique de 1 à 2 mois.
Coûts : Budget affecté de 5 % à un peu moins de 10 %.
Ampleur : L'ampleur sera affectée. Les changements de portée peuvent être gérés dans le cadre du plan. L'implication de la direction peut être nécessaire. Des objectifs non essentiels peuvent être menacés.
Qualité et rendement : La qualité et le rendement sont inférieurs à l'objectif. Changements modérés requis. Pourrait ne pas répondre à une exigence objective.

Niveau 4 : Élevé - Les conséquences du risque, s'il se matérialise, pourraient menacer les objectifs de l'organisation, mais peuvent être supportées par une intervention significative et soutenue de la direction pour en contenir l'impact. Des modifications majeures du programme pourraient être nécessaires.

Calendrier : Retard des activités de 2 ou 3 mois.
Coûts : Budget affecté de 10 % à 20 %.
Ampleur : L'ampleur sera affectée. Les changements de portée peuvent ne pas être gérés dans le cadre du plan. Une implication majeure de la direction sera nécessaire. Les objectifs clés risquent de ne pas être atteints.
Qualité et rendement : La qualité et le rendement deviennent inacceptables. Des changements majeurs sont nécessaires. Ne répondra pas aux exigences objectives.

Niveau 5 : Extrême - Les conséquences du risque, s'il se matérialise, pourraient entraîner des dommages permanents ou à long terme sur la capacité de l'organisation à atteindre ses objectifs. Elles pourraient nécessiter une refonte totale du programme ou un changement organisationnel à grande échelle et à long terme.

Calendrier : Les activités du chemin critique sont retardées de plus de 3 mois.
Coûts : Budget affecté de plus de 20 %.
Ampleur : L'ampleur sera affectée. Les changements de portée ne seront pas gérés dans le cadre du plan. Une participation importante de la direction sera nécessaire. Les objectifs clés ne seront pas atteints.
Qualité et rendement : La qualité et le rendement sont inacceptables. Des changements significatifs sont nécessaires. Les exigences des objectifs clés ne seront pas satisfaites.

Annexe B : évaluation des risques résiduels

Une carte de densité des risques est un outil utilisé pour représenter visuellement les résultats d'un processus d'évaluation des risques d'une manière significative et concise. Elle consiste à évaluer la probabilité et l'impact potentiel des risques identifiés.

Carte de densité des risques 5x5
		1 Très peu probable	2 Peu probable	3 Modérément probable	4 Probable	5 Imminent
		Probabilité
Impact	5 Extrême	5 Modéré	10 Modéré-Élevé	15 Élevé	20 Très élevé	25 Très élevé
	4 Élevé	4 Modéré-Faible	8 Modéré	12 Modéré-Élevé	16 Élevé	20 Très élevé
	3 Modéré	3 Faible	6 Modéré-Faible	9 Modéré	12 Modéré-Élevé	15 Élevé
	2 Faible	2 Très faible	4 Faible	6 Modéré-Faible	8 Modéré	10 Modéré-Élevé
	1 Négligeable	1 Très faible	2 Très faible	3 Faible	4 Modéré-Faible	5 Modéré

Très faible : Risque acceptable
Faible : Risque acceptable avec surveillance
Modéré-Faible et Modéré: Implication souhaitable de la part de la direction
Modéré-Élevé et Élevé: Implication considérable requise de la part de la direction
Très élevé : Implication soutenue requis de la part de la direction

Notes de bas de pages

Notes de bas de page 1

Les facteurs de risque (sources) sont des éléments tangibles ou intangibles qui créent le potentiel de risque, soit en combinaison avec d'autres facteurs de risque, soit en tant que facteurs individuels.

Retour à la référence de note de bas de page 1 referrer

Notes de bas de page 2

L'impact du risque est la conséquence découlant d'un événement qui a un impact négatif sur un objectif ministériel. L'impact peut déclencher une série d'événements en cascade avec des effets négatifs cumulatifs.

Retour à la référence de note de bas de page 2 referrer

Notes de bas de page 3

Les contrôles sont des mesures exercées intentionnellement et conçues pour diminuer la probabilité et l'impact du risque. Les contrôles comprennent, sans s'y limiter, des politiques, des processus, des pratiques, des stratégies, des mécanismes ou des dispositifs.

Retour à la référence de note de bas de page 3 referrer

Notes de bas de page 4

Le risque résiduel est le niveau de risque restant après avoir pris en compte les contrôles en place. Le risque résiduel peut avoir une incidence sur la capacité du Ministère à atteindre ses résultats s'il n'est pas davantage atténué et surveillé efficacement.

Retour à la référence de note de bas de page 4 referrer

Notes de bas de page 5

Les échelles utilisées pour évaluer le risque résiduel ont été modifié depuis la création du PRO en 2018-2019, passant d'une échelle à 6 points à une échelle à 5 points. Sur la base de l'échelle à 6 points, le risque résiduel était élevé. Les notes ont été transposées sur l'échelle à 5 points en 2020.

Retour à la référence de note de bas de page 5 referrer

Notes de bas de page 6

Voir la carte de densité de l'Annexe B pour plus de détails sur le calcul du risque résiduel.

Retour à la référence de note de bas de page 6 referrer

Notes de bas de page 7

Le PICO est hébergé sur des serveurs gouvernementaux en dehors du réseau de Sécurité publique et est utilisé par les bureaux régionaux et les partenaires fédéraux.

Retour à la référence de note de bas de page 7 referrer

Notes de bas de page 8

Stratégie du gouvernement numérique du Canada; Sécuritaire, fiable et facile d'accès : Transformer votre expérience avec le gouvernement du Canada; https://www.canada.ca/fr/gouvernement/systeme/gouvernement-numerique/strategie-du-gouvernement-numerique/message-ministre.html

Retour à la référence de note de bas de page 8 referrer

Notes de bas de page 9

À cette liste, on pourrait ajouter la pandémie de COVID-19.

Retour à la référence de note de bas de page 9 referrer

Notes de bas de page 10

Ce processus présente des informations sur la culture organisationnelle (notamment les valeurs, la mission et la vision), les priorités ministérielles, les politiques internes et les processus de travail. Tenant compte des effets de la pandémie de COVID-19 sur l'organisation du travail, il présente également des ressources pour le télétravail et la santé mentale et souligne l'importance de la diversité et de l'inclusion ainsi que des langues officielles. Le Programme cible les besoins organisationnels et personnels et contribue à faire en sorte que Sécurité publique soit un employeur de choix pour les nouveaux employés et les employés actuels, améliorant ainsi la mobilisation et la rétention.

Retour à la référence de note de bas de page 10 referrer

Date de modification :: 2023-03-10