Programme canadien de certification en cybersécurité – niveau 1

Dans le budget de 2023, une somme de 25 millions de dollars a été affectée sur trois ans à la mise sur pied du Programme canadien de certification en cybersécurité (PCCC). Dirigé par Services publics et Approvisionnement Canada et la Défense nationale, ce programme définit les normes de cybersécurité que les entrepreneurs du secteur de la défense doivent respecter pour protéger les renseignements de nature délicate et assurer l'interopérabilité avec nos alliés.

Le 12 mars 2025, le PCCC a été présenté officiellement au public, lançant par le fait même une nouvelle norme canadienne sur la cybersécurité industrielle, le système d'accréditation et un programme pilote mettant à l’essai l'autoévaluation pour certains contrats de défense.

Le PCCC est le programme officiel de certification en cybersécurité pour les fournisseurs du secteur de la défense au Canada. Il est constitué d'organismes accrédités, d'évaluateurs certifiés et d'un mécanisme de surveillance gouvernementale. Il a été élaboré selon les normes et les pratiques exemplaires internationales, ainsi que dans le respect des priorités nationales en matière de sécurité. De plus, il permet de renforcer l'infrastructure industrielle de défense du Canada et d'assurer l'interopérabilité avec nos principaux alliés, notamment les partenaires du Groupe des cinq.

Une fois pleinement mis en œuvre, le Programme permettra :

• de protéger les renseignements de nature délicate non classifiés sur les contrats fédéraux
• de maintenir l’accès des entreprises canadiennes aux occasions de marché internationales
• de relever le niveau de cybersécurité de base du secteur canadien de la défense
• de faire en sorte que les systèmes des fournisseurs demeurent solides et fiables par rapport aux capacités et à l’état de préparation des Forces armées canadiennes
• d’accroître la participation des entreprises canadiennes au programme de certification en cybersécurité

L’amélioration de la résilience de l’infrastructure industrielle de défense du gouvernement du Canada à l’égard de la cybersécurité permettra de renforcer les objectifs de la Stratégie nationale de cybersécurité du Canada.

Niveaux de la certification en cybersécurité

Les exigences obligatoires du programme de certification en cybersécurité comporteront trois niveaux :

• Niveau 1 (accessible aux fournisseurs à compter du 1er avril 2026) : exige une autoévaluation annuelle de la cybersécurité
• Niveau 2 : exige une évaluation externe de la cybersécurité menée tous les trois ans par un organisme d'évaluation certifié
• Niveau 3 : exige une évaluation de la cybersécurité menée tous les trois ans par la Défense nationale

Le programme est fondé sur la norme canadienne sur la cybersécurité industrielle du Centre canadien pour la cybersécurité, qui définit les exigences relatives à la protection de certains renseignements.

La mise en œuvre en en plusieurs phases, l’adoption d’un système d'accréditation national et l’harmonisation avec les contrôles définis par la National Institute of Standards and Technology (en anglais seulement) des États-Unis visent ensemble à réduire au minimum les contraintes et à aider les fournisseurs à renforcer leur cybersécurité de manière prévisible et économique.

Niveau 1

Le niveau 1 du PCCC exige que les fournisseurs évaluent l'état d'avancement de la mise en œuvre de 13 exigences et contrôles de sécurité. Le gouvernement du Canada offre aux fournisseurs un outil d'autoévaluation en ligne pour les aider à bien comprendre les exigences. Les exigences du niveau 1 seront intégrées à certains contrats de défense à compter de l'été 2026.

Les exigences obligatoires seront introduites progressivement pour laisser aux fournisseurs le temps de s'y préparer. Ceux-ci devront dans un premier temps démontrer qu'ils satisfont aux nouveaux contrôles de niveau 1 en évaluant et en consignant par écrit leurs pratiques en matière de cybersécurité. Des exigences plus poussées qui nécessiteront une certification officielle (niveaux 2 et 3) devront être satisfaites ultérieurement au cours du processus d'approvisionnement. Elles correspondront aux services offerts par les évaluateurs tiers accrédités en matière de cybersécurité.

Niveaux 2 et 3

Les évaluations de niveau 2 seront menées par des organismes d'évaluation tiers accrédités par le Conseil canadien des normes (CCN). Elles porteront sur la mise en œuvre par une organisation des contrôles de cybersécurité exigés. Les exigences du niveau 2 seront intégrées à certains contrats de défense à compter du printemps 2027. Elles s'appliqueront aux contrats nécessitant la manipulation de renseignements contrôlés de la Défense ou des travaux plus complexes d'une nature délicate concernant la cybersécurité. Les organismes qui souhaitent devenir des évaluateurs tiers accrédités pour le PCCC peuvent communiquer directement avec le CCN.

Le niveau 3 est réservé aux scénarios présentant les risques les plus élevés. Les évaluations de niveau 3 seront menées par le gouvernement du Canada plutôt que par des tiers. Ce niveau s'applique aux travaux de nature délicate pouvant impliquer des systèmes d'armes, l'accès à des infrastructures critiques ou des renseignements de nature délicate communiqués aux partenaires du Groupe des cinq.

Évaluation du risque

Dans les situations à faible risque, les autoévaluations constituent un point de départ jugé acceptable de part le monde, y compris par le modèle des États-Unis.

Les situations à faible risque peuvent concerner :

• des contrats de soutien administratif ou opérationnel
• des communications non techniques qui ne sont pas classifiées
• des services de technologies de l'information (TI) de base qui ne comportent aucunes données de nature délicate
• des fournisseurs dont l'intégration au réseau est limitée
• des discussions sur des prototypes ou des concepts sans détails techniques

Les travaux à risque plus élevé nécessiteront des évaluations menées par des tiers accrédités ou le gouvernement, une fois que les niveaux de certification pertinents auront été mis en place.

Les situations à risque élevé peuvent impliquer :

• la manipulation de renseignements contrôlés de la Défense
• des travaux visant des systèmes d’armes ou des plateformes militaires
• l’accès à des systèmes d’infrastructures critiques
• des travaux nécessitant des entrepreneurs en cybersécurité ou en TI disposant de privilèges élevés
• la manipulation de renseignements communiqués aux partenaires du Groupe des cinq

Harmonisation avec la certification du modèle de maturité de la cybersécurité des États-Unis

En plus d'introduire de nouvelles exigences, le PCCC définit plus clairement les attentes à l'égard des fournisseurs et permet aux entreprises canadiennes de demeurer compétitives sur les marchés internationaux de la défense.

Le PCCC a été conçu expressément pour limiter au maximum les chevauchements en suivant de près les exigences et les normes des États-Unis. Par conséquent, les fournisseurs canadiens et le gouvernement du Canada peuvent tirer parti des investissements déjà réalisés dans les mesures de cybersécurité, tout en préservant la souveraineté du Canada et en conservant l'accès aux possibilités offertes par les marchés internationaux de la défense ayant des besoins en matière de cybersécurité.

S’il est vrai que le Canada et les États-Unis ont leurs propres systèmes de certification, le PCCC est néanmoins fondé sur les mêmes contrôles techniques que la certification du modèle de maturité de la cybersécurité (CMMC) des États-Unis. Les normes canadiennes sur la cybersécurité industrielle sont identiques sur le plan technique aux 172 contrôles décrits dans les publications spéciales 800171 et 800172 de la National Institute of Standards and Technology (en anglais seulement), qui constituent la base du programme CMMC des États-Unis. Le PCCC indique clairement aux fournisseurs canadiens la voie à suivre au pays pour répondre aux exigences auxquelles ils doivent satisfaire d’emblée pour accéder au marché américain de la défense.

Au cas par cas, le Canada peut accepter une certification valide émise à un entrepreneur au titre du programme CMMC après s'être assuré que l'évaluation a la portée requise. Le Canada se réserve le droit de vérifier, au besoin, la conformité à des contrôles précis du programme CMMC. Cette vérification sera alors effectuée par le responsable technique du contrat.