Certification des fournisseurs du secteur de la défense au Canada concernant la cybersécurité
Renseignez-vous sur les nouvelles exigences en matière de cybersécurité qui s'appliqueront aux fournisseurs qui soumissionnent les contrats de défense du gouvernement du Canada ou y travaillent. Ces exigences visent à protéger les réseaux, les systèmes et les applications contre les cyberactivités malveillantes.
Sur cette page
- À propos des changements à venir
- Aperçu du programme
- Niveaux de certification
- Avantages pour le Canada
- Avantages pour les fournisseurs
- Calendrier de la mise en œuvre des exigences à venir
- Communiquez avec nous
- Ressources pour les fournisseurs
- Liens connexes
À propos des changements à venir
Au début de l’hiver 2025, les fournisseurs qui souhaitent soumissionner certains contrats de défense du gouvernement du Canada ou y travailler devront détenir une certification du programme canadien de certification en cybersécurité (PCCC). Le PCCC viendra compléter les efforts que nous déployons pour renforcer la cybersécurité. Il le fera en resserrant la sécurité du processus de passation des contrats du gouvernement fédéral.
Demande de Renseignements du Programme Canadien de Certification en Cyber Sécurité
Services publics et Approvisionnement Canada souhaite remercier les experts de l'industrie qui ont fait part de leurs observations et de leurs commentaires dans le cadre de sa demande de renseignements (DR). Votre précieuse rétroaction contribuera grandement à l'élaboration et à la mise en œuvre du programme, de même qu'au renforcement de notre cybersécurité industrielle nationale.
La DR est maintenant terminée. Un rapport présentant les principales constatations sera publié au cours de l'été.
Aperçu du programme
Lorsque le PCCC sera en place, il visera à :
- protéger les renseignements non classifiés sur les contrats fédéraux qui sont conservés dans les systèmes, les réseaux et les applications des entrepreneurs
- permettre aux entreprises canadiennes de continuer d'avoir accès aux occasions de marché internationales qui exigent une certification similaire en matière de cybersécurité
- relever le niveau de cybersécurité de base du secteur canadien de la défense
- veiller à ce que les systèmes des fournisseurs demeurent solides et fiables par rapport aux capacités et à l'état de préparation des Forces armées canadiennes
- accroître la participation des entreprises canadiennes au programme de certification en cybersécurité
Voici les principales caractéristiques du PCCC :
Contrôles en matière de cybersécurité
Qui décriront les exigences applicables aux contrats fédéraux en fonction d’une nouvelle norme canadienne sur la cybersécurité. La norme est inspirée étroitement des publications spéciales 800-171 (Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations) et 800-172 du National Institute of Standards and Technology du département du Commerce des États-Unis (Enhanced Security Requirements for Protecting Controlled Unclassified Information)
Évaluations des risques
Le processus exhaustif permettra de cerner les contrats de défense comportant des exigences obligatoires et de déterminer le niveau de certification nécessaire
Clauses contractuelles
Les sections ou les clauses obligatoires des documents d'approvisionnement de défense, y compris les demandes de propositions (DP), appliqueront les exigences du PCCC
Évaluateurs externes accrédités
Les évaluateurs externes :
- seront accrédités par le Conseil canadien des normes, en tant que seul organisme d'accréditation du PCCC
- assureront l’évaluation et la certification pour les exigences de certification en cybersécurité de niveau 2 (modérées) applicables aux fournisseurs
Niveaux de certification
Les exigences obligatoires du programme de certification en matière de cybersécurité comporteront 3 niveaux différents :
- niveau 1 : nécessite une autoévaluation annuelle de la cybersécurité
- niveau 2 : nécessite des évaluations externes de la cybersécurité menées par un organisme de certification accrédité
- niveau 3 : nécessite des évaluations de la cybersécurité réalisées par la Défense nationale
Avantages pour le Canada
Le PCCC permettra de protéger les renseignements contractuels non classifiés du gouvernement du Canada. Il viendra également renforcer les capacités de cybersécurité de la chaîne d'approvisionnement de défense du Canada. Les changements apportés aux exigences permettront d'assurer le respect du Plan d’action national en matière de cybersécurité et de la Stratégie nationale de cybersécurité.
Avantages pour les fournisseurs
Un seul cyberincident malveillant peut avoir des répercussions considérables.
Le PCCC permettra de renforcer la cyberrésilience de l’industrie. Cela aidera les fournisseurs à mieux cerner, évaluer et gérer les risques susceptibles de menacer la chaîne d'approvisionnement du Canada.
Calendrier de la mise en œuvre des exigences à venir
À partir de l’hiver 2025, les exigences obligatoires en matière de cybersécurité du PCCC feront partie de certaines DP liées à la défense.
Les changements aux exigences de certification seront introduits de manière progressive, ce qui donnera aux fournisseurs et au milieu de la cybersécurité le temps de s'y adapter. D’ici là, nous invitons les fournisseurs du secteur de la défense à évaluer proactivement leur niveau de préparation actuel en matière de cybersécurité.
Communiquez avec nous
Communiquez avec la programme de cybersécurité du gouvernment du Canada à tpsgc.pacertcybersecur-apcybersecurcert.pwgsc@tpsgc-pwgsc.gc.ca
Ressources pour les fournisseurs
Examinez les ressources à la disposition des petites et moyennes entreprises :
- Programme canadien d'adoption du numérique : offre des subventions et des conseils d'experts pour transformer votre entreprise, notamment la subvention Améliorez les technologies de votre entreprise, laquelle vise à soutenir les fournisseurs admissibles qui souhaitent améliorer leurs outils et leurs systèmes de cybersécurité
- Soutien en approvisionnement Canada : offre une aide aux entreprises en ce qui a trait à l’approvisionnement
- Information pour les petites et moyennes entreprises : Conseils et avis en matière de cybersécurité à l’intention des petites et moyennes entreprises
Liens connexes
- Centre canadien pour la cybersécurité : conseille et guide les petites et moyennes entreprises en ce qui a trait à la cybersécurité
- Le gouvernement du Canada aide l’industrie de la défense à se protéger contre les menaces à la cybersécurité (31 mai 2023)
- Plan d’action national en matière de cybersécurité
- Stratégie nationale de cybersécurité
- Information pour les petites et moyennes entreprises
- Centre de la sécurité des télécommunications
- Date de modification :