Certification des fournisseurs du secteur de la défense au Canada concernant la cybersécurité

Renseignez-vous sur les exigences en matière de cybersécurité qui s’appliquent aux fournisseurs qui soumissionnent les contrats de défense du gouvernement du Canada ou qui y travaillent. Ces outils visent à protéger les réseaux, les systèmes et les applications contre les cyberactivités malveillantes.

Le 12 mars 2025, la première phase du Programme canadien de certification en cybersécurité (PCCC) a été lancée. Cette phase comprend la publication d’une nouvelle norme canadienne sur la sécurité industrielle, le lancement de l’écosystème d’accréditation et un programme pilote mettant à l’essai l’autoévaluation pour certains contrats de défense. Cette approche graduelle aidera les entreprises à se préparer avant le déploiement complet du programme plus tard en 2026. Renseignez-vous sur la  norme canadienne sur la sécurité industrielle (ITSP.10.171) et obtenez un exemplaire de la norme.

Sur cette page

• Aperçu du programme
• Niveaux de certification
• Avantages pour le Canada
• Avantages pour les fournisseurs
• Calendrier de la mise en œuvre des exigences à venir
• Communiquez avec nous
• Ressources pour les fournisseurs
• Liens connexes

Aperçu du programme

Le PCCC est une certification officielle en matière de cybersécurité au Canada pour les fournisseurs du secteur de la défense. Géré par Services publics et Approvisionnement Canada, le programme est composé d’organismes accrédités, d’évaluateurs certifiés et d’une surveillance gouvernementale. Il est conforme aux normes et aux pratiques exemplaires internationales et soutient les priorités liées à la sécurité nationale. Au-delà de cette conformité, le programme renforce la base industrielle de défense du Canada et permet l’interopérabilité avec les principaux alliés, y compris les partenaires de la communauté du Groupe des cinq.

La certification comprendra les principales caractéristiques suivantes :

• contrôles en matière de cybersécurité
• évaluations des risques liés à la cybersécurité
• clauses contractuelles
• évaluateurs externes accrédités

Une fois pleinement mise en œuvre, elle permettra :

• de protéger les renseignements de nature délicate non classifiés sur les contrats fédéraux
• de maintenir l’accès des entreprises canadiennes aux occasions de marché internationales
• de relever le niveau de cybersécurité de base du secteur canadien de la défense
• de faire en sorte que les systèmes des fournisseurs demeurent solides et fiables par rapport aux capacités et à l’état de préparation des Forces armées canadiennes
• d’accroître la participation des entreprises canadiennes au programme de certification en cybersécurité

Contrôles en matière de cybersécurité

Les contrôles en matière de cybersécurité décriront les exigences applicables aux contrats fédéraux en fonction d’une nouvelle norme canadienne sur la cybersécurité. La norme :

• est inspirée étroitement des publications spéciales suivantes du National Institute of Standards and Technology du département du Commerce des États-Unis :
  • 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations ITSP.10.171
  • 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information
• établit des contrôles de cybersécurité pour protéger les renseignements gouvernementaux de nature délicate dans des systèmes non gouvernementaux
• a été élaborée par le Centre canadien pour la cybersécurité
• reflète l’engagement du Canada à adopter des pratiques de sécurité rigoureuses tout en se conformant aux pratiques exemplaires internationales
• fournit des conseils aux fournisseurs du secteur de la défense sur la mise en œuvre de mesures de protection qui répondent aux exigences de la défense nationale du Canada en matière de confidentialité, d’intégrité et de disponibilité des données de nature délicate, aidant ainsi les entreprises à demeurer des partenaires sûrs et fiables dans la chaîne d’approvisionnement de la défense et de la sécurité du Canada

Évaluations des risques liés à la cybersécurité

Le processus permettra de cerner les contrats de défense comportant des exigences obligatoires et de déterminer le niveau de certification nécessaire en :

• permettant aux équipes chargées de l’approvisionnement d’évaluer de manière uniforme les exigences du PCCC pour chaque contrat
• servant d’addenda à la Liste de vérification des exigences relatives à la sécurité pour documenter les exigences du PCCC dans le contrat
• fournissant des définitions claires des différents types de renseignements de nature délicate
• favorisant la transparence et l’uniformité dans l’application des normes de cybersécurité dans l’ensemble des activités d’approvisionnement

Clauses contractuelles

Ces sections ou dispositions obligatoires des documents d’approvisionnement de la Défense nationale, comme les demandes de propositions (DP), appliqueront les exigences du PCCC suivantes :

• préciser le niveau de certification du PCCC requis pour les fournisseurs
• décrire les obligations en matière de protection des renseignements de nature délicate tout au long du cycle de vie du contrat
• fournir des définitions et des attentes claires en matière de conformité, afin d’aider les fournisseurs à comprendre et à respecter les normes de sécurité

Évaluateurs externes accrédités

Les évaluateurs externes :

• seront accrédités par le Conseil canadien des normes, en tant qu’organisme d’accréditation désigné du PCCC
• assureront l’évaluation et la certification pour les exigences de certification en cybersécurité de niveau 2 (modérées) applicables aux fournisseurs

Niveaux de certification

Les exigences obligatoires de certification en cybersécurité du programme sont organisées en 3 niveaux différents :

• niveau 1 : nécessite une autoévaluation annuelle de la cybersécurité
• niveau 2 : nécessite des évaluations externes de la cybersécurité menées par un organisme de certification accrédité, ainsi qu’une confirmation annuelle
• niveau 3 : nécessite des évaluations de la cybersécurité réalisées par la Défense nationale, ainsi qu’une confirmation annuelle

Avantages pour le Canada

Le PCCC renforce la capacité du Canada à protéger les renseignements contractuels de nature délicate et améliore l’état de la cybersécurité de la chaîne d’approvisionnement de la défense. En introduisant des exigences claires et fondées sur les risques, le programme assure  le respect du Plan d’action national en matière de cybersécurité et de la Stratégie nationale de cybersécurité, en soutenant les priorités en matière de sécurité nationale et l’interopérabilité avec les partenaires internationaux.

Avantages pour les fournisseurs

Le PCCC aide les fournisseurs à renforcer leur résilience en matière de cybersécurité en leur fournissant un cadre clair pour déterminer, évaluer et gérer les risques. Ce cadre permet non seulement de protéger la chaîne d’approvisionnement du Canada, mais aussi de positionner les fournisseurs comme des partenaires de confiance dans l’approvisionnement en matière de défense.

Calendrier de la mise en œuvre des exigences à venir

À compter du printemps 2026, les nouvelles DP cernées en fonction de leur évaluation des risques liés à la cybersécurité et lancées à l’appui de la Défense nationale devront respecter les exigences obligatoires en matière de cybersécurité du PCCC.

Le PCCC est actuellement mis en œuvre de façon graduelle, en commençant par les contrats de la Défense nationale, afin de donner à l’industrie canadienne de la défense le temps nécessaire pour s’adapter à l’évolution des normes de cybersécurité.

Les exigences en matière de cybersécurité peuvent s’appliquer à de nombreux contrats en dehors du domaine de la défense. Par conséquent, tous les fournisseurs du gouvernement du Canada sont encouragés à continuer d’évaluer de façon proactive leur état de préparation actuel en matière de cybersécurité. Les fournisseurs du secteur de la défense devraient examiner la norme ITSP.10.171 du PCCC et communiquer avec le PCCC s’ils sont certifiés en vertu du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification) des États-Unis.

Le déploiement du PCCC suivra les étapes importantes suivantes :

Phase 1 (mars 2025 à mars 2026) :

• Une nouvelle norme sur la cybersécurité pour les niveaux 1 et 2 sera disponible, et les exigences de certification de niveau 1 ainsi que les documents d’orientation seront rendus publics

Phase 2 (avril 2026 à mars 2027)

• Les contrats de la Défense nationale seront évalués au moyen d’une nouvelle évaluation des risques liés à la cybersécurité des contrats
• Les exigences de niveau 1 s’appliqueront à compter d’avril 2026
• Les entreprises devront s’autoévaluer et fournir une auto-attestation dans leur profil d’AchatsCanada
• Le Conseil canadien des normes commencera à accepter les demandes des organisations qui souhaitent contribuer à la certification de la conformité et à la mise en place d’un système de certification de niveau 2
• Des directives pour les niveaux 2 et 3 seront communiquées
• Une auto-attestation de niveau 1 sera exigée au moment de l’attribution du contrat, et non pendant le processus d’appel d’offres

Phase 3 (avril 2027 à mars 2028) 

• Les exigences de certification de niveau 3 seront graduellement intégrées à certains contrats de défense
• Les exigences de niveau 3 et les activités de conformité à la certification seront menées par les autorités de la Défense nationale
• Les exigences relatives aux niveaux 1 et 2 pourraient s’appliquer à tous les contrats de défense du gouvernement du Canada, en fonction des commentaires de l’industrie
• Des outils et des ressources supplémentaires seront mis à la disposition de l’industrie

Communiquez avec nous

Pour obtenir davantage de renseignements, communiquez avec le bureau du programme de cybersécurité du gouvernement du Canada à tpsgc.pacertcybersecur-apcybersecurcert.pwgsc@tpsgc-pwgsc.gc.ca.

Ressources pour les fournisseurs

Découvrez les ressources à la disposition des petits et moyens fournisseurs :

• Soutien en approvisionnement Canada : offre une aide aux entreprises en ce qui a trait à l’approvisionnement et leur apprend à déterminer leurs responsabilités en tant que fournisseurs pour répondre aux exigences de sécurité
• Centre canadien pour la cybersécurité : conseille et guide les petites et moyennes entreprises en ce qui a trait à la cybersécurité
• Information pour les petites et moyennes entreprises : fournit des conseils et des avis en matière de cybersécurité à l’intention des petites et moyennes entreprises
• Norme de sécurité industrielle canadienne (ITSP.10.171) : décrit les contrôles de sécurité de base et les pratiques exemplaires afin de protéger les renseignements de nature délicate pour les petits et moyens fournisseurs

Liens connexes

• Le gouvernement du Canada annonce la première phase du Programme canadien de certification en cybersécurité (12 mars 2025)
• Sommaire : Demande de renseignements du Programme canadien de certification en cybersécurité
• Demande de renseignements concernant le Programme canadien de certification en cybersécurité
• Le gouvernement du Canada aide l’industrie de la défense à se protéger contre les menaces à la cybersécurité (31 mai 2023)
• Plan d’action national en matière de cybersécurité
• Stratégie nationale de cybersécurité
• Centre de la sécurité des télécommunications Canada
• Conseil de gouvernance numérique
• Conseil canadien des normes