Certification des fournisseurs du secteur de la défense au Canada concernant la cybersécurité
Renseignez-vous sur les nouvelles exigences en matière de cybersécurité qui s'appliqueront aux fournisseurs qui soumissionnent les contrats de défense du gouvernement du Canada ou y travaillent. Ces exigences visent à protéger les réseaux, les systèmes et les applications contre les cyberactivités malveillantes.
Sur cette page
- À propos des changements à venir
- Aperçu du programme
- Niveaux de certification
- Avantages pour le Canada
- Avantages pour les fournisseurs
- Calendrier de la mise en œuvre des exigences à venir
- Communiquez avec nous
- Ressources pour les fournisseurs
- Liens connexes
À propos des changements à venir
À compter du printemps 2025, les fournisseurs qui souhaitent soumissionner certains contrats de défense du gouvernement du Canada ou y travailler pourraient devoir détenir une certification du Programme canadien de certification en cybersécurité (PCCC). Des précisions seront communiquées sur les contrats concernés dès qu'elles seront connues. Le PCCC viendra compléter les efforts que nous déployons pour renforcer la cybersécurité. Il le fera en resserrant la sécurité du processus de passation des contrats du gouvernement fédéral.
Lancement de la phase 1
Le 12 mars 2025, le gouvernement du Canada a lancé la première phase du PCCC, qui comprend la nouvelle norme de sécurité industrielle canadienne, le lancement de l'écosystème d'accréditation et un programme pilote mettant à l’essai l'autoévaluation pour certains contrats de défense. Cette première phase aidera les entreprises à bien comprendre le Programme avant son déploiement à grande échelle, plus tard en 2025. Pour obtenir un exemplaire de la norme, visitez la page norme de sécurité industrielle canadienne (10.171).
Guide sur la certification de niveau 1 : à venir au printemps 2025
Le PCCC a pour engagement d’aider l'industrie à se familiariser avec le processus de certification. Ce printemps, nous publierons un guide sur la certification de niveau 1, qui décrira plus en détails les étapes à suivre pour obtenir cette certification. Le document aidera les entreprises à mieux comprendre les attentes et à se préparer à la certification avec clairvoyance.
Aperçu du Programme
Lorsque le PCCC sera pleinement mis en œuvre, il permettra :
- de protéger les renseignements non classifiés sur les contrats fédéraux qui sont conservés dans les systèmes, les réseaux et les applications des entrepreneurs
- de maintenir l’accès des entreprises canadiennes aux occasions de marché internationales qui exigent une certification similaire en matière de cybersécurité
- de relever le niveau de cybersécurité de base du secteur canadien de la défense
- de faire en sorte que les systèmes des fournisseurs demeurent solides et fiables par rapport aux capacités et à l'état de préparation des Forces armées canadiennes
- d’accroître la participation des entreprises canadiennes au programme de certification en cybersécurité
L'écosystème du PCCC est un cadre structuré selon lequel la certification en cybersécurité au Canada est assurée par des entités accréditées et des évaluateurs certifiés et est soumise à une surveillance gouvernementale. L'écosystème respecte les normes internationales tout en soutenant les initiatives de sécurité nationales. Le PCCC comprendra les principales caractéristiques suivantes : contrôles en matière de cybersécurité, évaluations des risques, clauses contractuelles et évaluateurs externes accrédités.
Contrôles en matière de cybersécurité
Ces contrôles décriront les exigences applicables aux contrats fédéraux en fonction d’une nouvelle norme canadienne sur la cybersécurité. La norme est inspirée étroitement des publications spéciales 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations ITSP.10.171) et 800-172 (Enhanced Security Requirements for Protecting Controlled Unclassified Information) du National Institute of Standards and Technology du département du Commerce des États-Unis.
Évaluations des risques
Le processus exhaustif permettra de cerner les contrats de défense comportant des exigences obligatoires et de déterminer le niveau de certification nécessaire
Clauses contractuelles
Ces sections ou ces clauses obligatoires des documents d'approvisionnement de défense, comme les demandes de propositions (DP), appliqueront les exigences du PCCC.
Évaluateurs externes accrédités
Les évaluateurs externes :
- seront accrédités par le Conseil canadien des normes, en tant que seul organisme d'accréditation du PCCC
- assureront l’évaluation et la certification pour les exigences de certification en cybersécurité de niveau 2 (modérées) applicables aux fournisseurs
Niveaux de certification
Les exigences obligatoires de certification en cybersécurité du Programme comporteront 3 niveaux différents :
- niveau 1 : nécessite une autoévaluation annuelle de la cybersécurité
- niveau 2 : nécessite des évaluations externes de la cybersécurité menées par un organisme de certification accrédité
- niveau 3 : nécessite des évaluations de la cybersécurité réalisées par la Défense nationale
Avantages pour le Canada
Le PCCC permettra de protéger les renseignements contractuels non classifiés du gouvernement du Canada. Il viendra également renforcer les capacités de cybersécurité de la chaîne d'approvisionnement de défense du Canada. Les changements apportés aux exigences permettront d'assurer le respect du Plan d’action national en matière de cybersécurité et de la Stratégie nationale de cybersécurité.
Avantages pour les fournisseurs
Un seul cyberincident malveillant peut avoir des répercussions considérables.
Le PCCC permettra de renforcer la cyberrésilience de l’industrie. Cela aidera les fournisseurs à mieux cerner, évaluer et gérer les risques susceptibles de menacer la chaîne d'approvisionnement du Canada.
Calendrier de la mise en œuvre des exigences à venir
À compter du printemps 2025, les exigences obligatoires en matière de cybersécurité du PCCC feront partie de certaines Demandes de propositions liées à la défense.
Les changements aux exigences de certification seront introduits de manière progressive. Ainsi, l'industrie canadienne de la défense aura le temps de s'adapter aux normes changeantes sur la cybersécurité. D’ici là, nous invitons les fournisseurs du secteur de la défense à évaluer proactivement leur niveau de préparation actuel en matière de cybersécurité.
Le déploiement du PCCC suivra les étapes importantes que voici :
- Phase 1 (mars 2025) : Une nouvelle norme sur la cybersécurité pour les niveaux 1 et 2 sera accessible aux entreprises; pour le niveau 1, un outil d'autoévaluation sera lancé au plus tard lorsque le Programme sera pleinement déployé
- Le Conseil canadien des normes commencera à accepter les demandes des organisations qui souhaitent contribuer à l'évaluation et à la certification de la conformité à la norme en tant qu’organisme de certification
- Des systèmes de soutien seront mis en place pour aider les entreprises à obtenir les certifications de niveaux 2 et 3 au moyen d'évaluations réalisées par des tiers
- Durant cette phase, la certification sera exigée seulement au moment de l'attribution du contrat, et non pas pendant le processus d'appel d'offres
- Phase 2 (automne 2025) : Certains contrats de défense nécessiteront :
- une certification de niveau 1 réalisée par autoévaluation
- une certification de niveau 2 sera mise à l'essai pour certains contrats de défense
- une certification de niveau 3 sera accessible aux entreprises
- Phase 3 (printemps 2026) : Pendant que la certification de niveau 2 commencera à être exigée pour certains contrats de défense, la certification de niveau 3 sera officiellement lancée à la suite de la publication des contrôles supplémentaires liés au niveau 3
- Phase 4 (2027) : Pour un petit nombre de contrats, les exigences liées à la certification de niveau 3 seront intégrées graduellement dans un certain nombre de DP concernant la défense. La certification de niveau 3 sera réalisée par la Défense nationale
Communiquez avec nous
Communiquez avec le programme de cybersécurité du gouvernement du Canada à tpsgc.pacertcybersecur-apcybersecurcert.pwgsc@tpsgc-pwgsc.gc.ca
Ressources pour les fournisseurs
Examinez les ressources à la disposition des petites et moyennes entreprises :
- Soutien en approvisionnement Canada : offre une aide aux entreprises en ce qui a trait à l’approvisionnement
- Centre canadien pour la cybersécurité : conseille et guide les petites et moyennes entreprises en ce qui a trait à la cybersécurité
- Information pour les petites et moyennes entreprises : Conseils et avis en matière de cybersécurité à l’intention des petites et moyennes entreprises
- Norme de sécurité industrielle canadienne (10.171)
Liens connexes
- Le gouvernement du Canada annonce la première phase du Programme canadien de certification en cybersécurité (12 mars 2025)
- Sommaire : Demande de renseignements du Programme canadien de certification en cybersécurité
- Demande de renseignements concernant le Programme canadien de certification en cybersécurité
- Le gouvernement du Canada aide l’industrie de la défense à se protéger contre les menaces à la cybersécurité (31 mai 2023)
- Plan d’action national en matière de cybersécurité
- Stratégie nationale de cybersécurité
- Centre de la sécurité des télécommunications Canada
Détails de la page
- Date de modification :