Évaluation de la cybersécurité et certification des PME

Contexte

Innovation, Sciences et Développement économique Canada (ISDE) et ses partenaires travaillent au renouvellement du cadre en matière de cybersécurité. Un des éléments de ce cadre sera de permettre aux petites et moyennes entreprises (PME) qui le désirent d’obtenir une certification facilement reconnaissable pour démontrer à leurs clients — qu’il s’agisse d’entreprises ou de consommateurs — qu’elles adhèrent à un ensemble bien établi de pratiques en matière de cybersécurité. L’obtention de cette certification conforme aux normes aidera les participants à faire valoir leurs pratiques en matière de cybersécurité pour en tirer un avantage concurrentiel ainsi qu’à raviver la confiance à l’égard de l’économie numérique.

À l’échelle internationale, des initiatives similaires ont vu le jour, notamment au Royaume-Uni, en Australie et en Nouvelle-Zélande.

Des consultations seront menées auprès de l’industrie, des PME et des organismes d’accréditation potentiels dans le but d’éclairer la conception d’un programme adapté à leurs besoins, mais aisément accessible et facile à utiliser, deux points essentiels.

À l’heure actuelle, les PME canadiennes ne sont pas adéquatement protégées contre les atteintes à la cybersécurité. Près de 71 % des atteintes à la protection des données au Canada mettent en jeu des PME, et celles-ci représentent 98 % de toutes les entreprises canadiennes.

L’incapacité de fournir une sécurité adéquate peut avoir des conséquences économiques sérieuses, dont des pertes monétaires, le vol de propriété intellectuelle de valeur et la fuite de données sur les consommateurs. Cela peut même aller jusqu’à la fermeture d’entreprise.

Rôles

ISDE est responsable de la mise en œuvre, du contrôle et de l’évaluation du programme. Cela comprend l’élaboration de la documentation et du cadre de certification, l’établissement et la gestion de la marque de certification, la sensibilisation des PME de tous les secteurs pour qu’elles participent au programme, et la création et le maintien d’une base de données pour suivre la participation des PME.

Le Centre de la sécurité des télécommunications (CST) est responsable de tout l’aspect technique du programme. Le CST définira un ensemble de mesures visant à protéger les PME des cybermenaces les plus fréquentes, sans leur imposer un fardeau trop grand.

Le Conseil canadien des normes est l’organisme d’accréditation au Canada. Dans le cadre du programme, il est responsable de l’accréditation des organismes de certification.

Les organismes de certification seront accrédités spécifiquement pour évaluer les PME en fonction des normes établies.

Une fois que la PME sera jugée conforme en tous points à la norme, elle obtiendra sa certification. La certification sera valide pour une période de temps donnée, et ISDE maintiendra une base de données sur les certifications valides.

Le CST concevra une norme qui s’inspire des meilleures pratiques à l’échelle internationale et qui répond aux besoins des PME canadiennes. La participation du CST à l’élaboration de ce programme national visant à faire face aux menaces que rencontrent les PME canadiennes est l’élément qui distinguera ce programme des autres normes standards.

This backgrounder is also available in English.