Plus tôt cette année, le gouvernement du Canada a lancé la première phase du Programme canadien de certification en cybersécurité (PCCC). Étant donné que l’objectif du PCCC est de protéger les renseignements gouvernementaux non classifiés qui sont conservés dans les systèmes, les réseaux et les applications des entrepreneurs, on peut s’attendre à ce qu’il s’inspire fortement du programme de certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification; CMMC) élaboré par le gouvernement américain.
Quelles sont les principales caractéristiques du PCCC?
Le dossier déposé par le Canada en février 2024 auprès du département américain de la Défense présente les principales caractéristiques du PCCC :
- Les normes de sécurité industrielle canadiennes à venir seront identiques sur le plan technique aux 172 normes des publications spéciales NIST 800-171 et NIST 800-172, telles qu’elles ont été évaluées dans le cadre du programme américain de CMMC.
- Le PCCC sera mis en œuvre par le biais de clauses dans certains contrats de défense.
- Le Conseil canadien des normes (CCN) sera l’organisme d’accréditation.
- Le gouvernement prend des mesures pour pouvoir effectuer certaines évaluations dans le cadre du PCCC.
Les évaluations des risques permettront de déterminer le niveau de certification que devra obtenir l’entrepreneur. Il y a trois niveaux, comme pour le programme de CMMC. Les entrepreneurs principaux seront responsables de transmettre les exigences à leur chaîne d’approvisionnement et d’assurer leur conformité. Le CCN établira des processus d’accréditation pour les évaluateurs externes, qui pourront accorder la certification de niveau 2, au maximum, à des fournisseurs.

Source [traduction] : Présentation sur l’avancement du PCCC, Services publics et Approvisionnement Canada (SPAC), été 2024
Quel est le calendrier de mise en œuvre du PCCC?
En date de mai 2025, la mise en œuvre du PCCC devrait se dérouler de la façon suivante :
|
Phase |
Objectifs |
Début prévu |
|
1 |
Publication de la norme de sécurité industrielle canadienne (ITSP 10.171) qui ne contient pas de « changements techniques importants » par rapport à la publication spéciale américaine sur la protection des renseignements non classifiés contrôlés dans les systèmes et organisations non fédéraux (NIST SP 800-171 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations). Plus tard ce printemps, le gouvernement publiera un guide et un outil d’autoévaluation pour la certification de niveau 1. |
Terminée |
|
2 |
Certains contrats de défense exigeront une certification de niveau 2 et de niveau 3. |
Automne 2025 |
|
3 |
Lancement de la certification de niveau 3 et publication des contrôles liés au niveau 3. |
Printemps 2026 |
|
4 |
Exigences de certification de niveau 3 intégrées dans certains approvisionnements et certification de niveau 3 réalisée par la Défense nationale. |
2027 |
Qu’est-ce que cela signifie pour les entrepreneurs fédéraux?
Le lancement de la phase 1 du PCCC marque une étape importante vers l’amélioration de la sécurité des renseignements gouvernementaux non classifiés dans les chaînes d’approvisionnement du secteur de la défense. Comme le PCCC prend exemple sur les normes américaines, on s’assure que les entrepreneurs et les fournisseurs canadiens du secteur sont bien outillés pour protéger les données sensibles et satisfaire à des exigences rigoureuses en matière de sécurité. Au fur et à mesure que le programme avancera dans les prochaines phases, il sera essentiel de demeurer informé et de se conformer aux exigences pour obtenir des contrats et conserver un avantage concurrentiel dans le secteur.
Renseignements supplémentaires ici.