Certification des fournisseurs du secteur de la défense au Canada concernant la cybersécurité

À propos des changements à venir

Au début de l’hiver 2025, les fournisseurs qui souhaitent soumissionner certains contrats de défense du gouvernement du Canada ou y travailler devront détenir une certification du programme canadien de certification en cybersécurité (PCCC). Le PCCC viendra compléter les efforts que nous déployons pour renforcer la cybersécurité. Il le fera en resserrant la sécurité du processus de passation des contrats du gouvernement fédéral.

Aperçu du programme

Lorsque le PCCC sera en place, il visera à :

• protéger les renseignements non classifiés sur les contrats fédéraux qui sont conservés dans les systèmes, les réseaux et les applications des entrepreneurs
• permettre aux entreprises canadiennes de continuer d'avoir accès aux occasions de marché internationales qui exigent une certification similaire en matière de cybersécurité
• relever le niveau de cybersécurité de base du secteur canadien de la défense
• veiller à ce que les systèmes des fournisseurs demeurent solides et fiables par rapport aux capacités et à l'état de préparation des Forces armées canadiennes
• accroître la participation des entreprises canadiennes au programme de certification en cybersécurité

Voici les principales caractéristiques du PCCC :

Contrôles en matière de cybersécurité

Qui décriront les exigences applicables aux contrats fédéraux en fonction d’une nouvelle norme canadienne sur la cybersécurité. La norme est inspirée étroitement des publications spéciales 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations) et 800-172 du National Institute of Standards and Technology du département du Commerce des États-Unis (Enhanced Security Requirements for Protecting Controlled Unclassified Information)

Évaluations des risques

Le processus exhaustif permettra de cerner les contrats de défense comportant des exigences obligatoires et de déterminer le niveau de certification nécessaire

Clauses contractuelles

Les sections ou les clauses obligatoires des documents d'approvisionnement de défense, y compris les demandes de propositions (DP), appliqueront les exigences du PCCC

Évaluateurs externes accrédités

Les évaluateurs externes :

• seront accrédités par le Conseil canadien des normes, en tant que seul organisme d'accréditation du PCCC
• assureront l’évaluation et la certification pour les exigences de certification en cybersécurité de niveau 2 (modérées) applicables aux fournisseurs

Niveaux de certification

Les exigences obligatoires du programme de certification en matière de cybersécurité comporteront 3 niveaux différents :

• niveau 1 : nécessite une autoévaluation annuelle de la cybersécurité
• niveau 2 : nécessite des évaluations externes de la cybersécurité menées par un organisme de certification accrédité
• niveau 3 : nécessite des évaluations de la cybersécurité réalisées par la Défense nationale

Avantages pour le Canada

Le PCCC permettra de protéger les renseignements contractuels non classifiés du gouvernement du Canada. Il viendra également renforcer les capacités de cybersécurité de la chaîne d'approvisionnement de défense du Canada. Les changements apportés aux exigences permettront d'assurer le respect du Plan d’action national en matière de cybersécurité et de la Stratégie nationale de cybersécurité.

Avantages pour les fournisseurs

Un seul cyberincident malveillant peut avoir des répercussions considérables.

Le PCCC permettra de renforcer la cyberrésilience de l’industrie. Cela aidera les fournisseurs à mieux cerner, évaluer et gérer les risques susceptibles de menacer la chaîne d'approvisionnement du Canada.

Calendrier de la mise en œuvre des exigences à venir

À partir de l’hiver 2025, les exigences obligatoires en matière de cybersécurité du PCCC feront partie de certaines DP liées à la défense.

Les changements aux exigences de certification seront introduits de manière progressive, ce qui donnera aux fournisseurs et au milieu de la cybersécurité le temps de s'y adapter. D’ici là, nous invitons les fournisseurs du secteur de la défense à évaluer proactivement leur niveau de préparation actuel en matière de cybersécurité.

Communiquez avec nous

Communiquez avec la programme de cybersécurité du gouvernment du Canada à tpsgc.pacertcybersecur-apcybersecurcert.pwgsc@tpsgc-pwgsc.gc.ca

Ressources pour les fournisseurs

Examinez les ressources à la disposition des petites et moyennes entreprises :

• Programme canadien d'adoption du numérique : offre des subventions et des conseils d'experts pour transformer votre entreprise, notamment la subvention Améliorez les technologies de votre entreprise, laquelle vise à soutenir les fournisseurs admissibles qui souhaitent améliorer leurs outils et leurs systèmes de cybersécurité
• Soutien en approvisionnement Canada : offre une aide aux entreprises en ce qui a trait à l’approvisionnement
• Information pour les petites et moyennes entreprises : Conseils et avis en matière de cybersécurité à l’intention des petites et moyennes entreprises

Liens connexes

• Centre canadien pour la cybersécurité : conseille et guide les petites et moyennes entreprises en ce qui a trait à la cybersécurité
• Le gouvernement du Canada aide l’industrie de la défense à se protéger contre les menaces à la cybersécurité (31 mai 2023)
• Plan d’action national en matière de cybersécurité
• Stratégie nationale de cybersécurité
• Information pour les petites et moyennes entreprises
• Centre de la sécurité des télécommunications