Naviguer dans les mandats de cybersécurité du Canada : projet de loi C-8, CMMC, CPCSC et CAN/DGSI 104

Le Canada s'apprête à adopter une importante législation pour renforcer ses cyberdéfenses, ce qui renforce la nécessité de stratégies de conformité rigoureuses. Ces cadres de cybersécurité canadiens essentiels, comme le projet de loi C-8, façonnent un avenir numérique résilient pour nos infrastructures essentielles. Pour les entreprises canadiennes qui détiennent des contrats ou des sous-contrats dans les secteurs des infrastructures essentielles, des télécommunications, de l'énergie, de la finance, des transports ou de l'énergie nucléaire, cela signifie qu'il est de plus en plus nécessaire de bien comprendre un réseau complexe de réglementations en matière de cybersécurité.

Bien que cet article porte principalement sur le projet de loi C-8, nous commençons par examiner le CPCSC, le CMMC et le CAN/DGSI 104, car ils sont tous des éléments étroitement liés du paysage canadien de la cybersécurité.

Comprendre le paysage canadien de la cybersécurité : explication des principaux cadres

L'approche du Canada en matière de cybersécurité est multidimensionnelle, reflétant la diversité des menaces et des secteurs à protéger. Plusieurs cadres clés guident les organisations dans la protection des informations sensibles et des systèmes critiques.

Centre canadien pour la cybersécurité (CCCS) et CAN/DGSI 104

Le Centre canadien pour la cybersécurité (CCCS), qui fait partie du Centre de la sécurité des télécommunications (CST), est l’autorité nationale du Canada en matière de cybersécurité. En 2019, le CCCS a publié les Contrôles de cybersécurité de référence pour les petites et moyennes organisations, qui sont devenus le fondement de la norme nationale du Canada CAN/DGSI 104.

La norme, CAN/DGSI 104:2021 / Rév 1:2024, Contrôles de cybersécurité de référence pour les petites et moyennes organisations, a été élaborée et est maintenue par l’Institut des normes en gouvernance du numérique (INGN), accrédité par le Conseil canadien des normes (CCN). Le CCCS a joué un rôle déterminant en fournissant l’ensemble de contrôles de référence d’origine, en contribuant son expertise en la matière et en assurant l’harmonisation avec les priorités du gouvernement du Canada en matière de cybersécurité.

Qu’est-ce que c’est?

CAN/DGSI 104 propose un cadre de référence de contrôles de cybersécurité conçu pour les petites et moyennes entreprises (PME). Il :

• Définit les contrôles de niveau 1 et de niveau 2 pour adapter les mesures de sécurité en fonction des risques.

• Couvre l’évaluation des risques, la réponse aux incidents, la configuration sécurisée, l’intégrité des sauvegardes, la protection des nuages et de l’impartition, et l’authentification des courriels (SPF, DKIM, DMARC).

• Sert de fondement technique au programme CyberSécuritaire Canada géré par le CCN et le programme Cyber Ready du Conseil de la gouvernance numérique.

Qui cela concerne-t-il?

• Les PME (moins de 500 employés) : Le public cible principal, en particulier celles qui traitent des données sensibles, personnelles ou financières.

• Les entrepreneurs et les fournisseurs de services : Les contrôles de la norme CAN/DGSI 104 reflètent les attentes du gouvernement et de la chaîne d’approvisionnement en matière de sécurité.

• Les grandes organisations : Bien que non obligatoire, la norme CAN/DGSI 104 peut servir de point de référence de base, auquel d’autres contrôles peuvent être ajoutés au besoin.

Composantes clés : CAN/DGSI 104 met l’accent sur une approche proactive de la cybersécurité, couvrant des domaines tels que :

• Identification des actifs : savoir quels actifs doivent être protégés.

• Évaluations des menaces et des risques (TRA) : identification des menaces et des vulnérabilités potentielles.

• Mise en œuvre des contrôles de sécurité : déploiement de contrôles techniques et administratifs pour atténuer les risques (par exemple, contrôles d'accès, chiffrement, gestion des correctifs).

• Gestion des événements de sécurité et réponse aux incidents : établissement de processus robustes pour détecter, analyser et répondre aux cyberincidents.

• Formation de sensibilisation à la sécurité : s’assurer que tout le personnel comprend son rôle dans le maintien de la sécurité.

Programme canadien de certification en cybersécurité (PCCCS)

Le CPCSC a été mis en place par le gouvernement du Canada pour renforcer la sécurité de la chaîne d'approvisionnement de la défense nationale. Il s'agit de l'équivalent canadien de la Certification du modèle de maturité de la cybersécurité (CMMC) du département de la Défense des États-Unis . Il vise à garantir que les entreprises canadiennes peuvent respecter les normes internationales et concourir pour l'obtention de contrats de défense auprès des pays alliés, notamment les États-Unis.

Description : L'objectif principal du programme est de protéger les informations contrôlées (IC) , qui comprennent des données sensibles mais non classifiées, telles que les dessins techniques, les spécifications techniques et autres informations exclusives liées aux projets de défense. En imposant une approche standardisée de la cybersécurité, le CPCSC vise à réduire le risque de compromission de ces informations par des cyberattaques et à empêcher tout accès ou transfert non autorisé de ces éléments sensibles, susceptibles de constituer une menace pour la sécurité nationale.

Personnes concernées : Si votre entreprise fabrique, possède, inspecte ou transfère des marchandises contrôlées, voire détient des données techniques les concernant, vous êtes probablement soumis aux exigences de la CPCSC. Cela inclut les sous-traitants des secteurs de l'aérospatiale, de la défense et des hautes technologies connexes.

Lien avec la cybersécurité : Une grande partie des données techniques sensibles associées aux marchandises contrôlées existent sous forme électronique. Une sécurité informatique robuste est donc primordiale. Les mandats de la CPCSC exigent des organisations qu'elles mettent en œuvre des mesures de sécurité complètes, notamment des protocoles de cybersécurité, pour protéger ces informations numériques contre tout accès, modification ou divulgation non autorisés. Cela implique de sécuriser les réseaux, les serveurs, les postes de travail et même les appareils portables qui traitent des données techniques contrôlées.

Certification du modèle de maturité de la cybersécurité (CMMC)

Bien qu'il s'agisse d'un cadre du Département de la Défense des États-Unis (DoD), la Certification du Modèle de Maturité en Cybersécurité (CMMC) a des répercussions importantes et croissantes pour les entreprises canadiennes. De nombreuses entreprises canadiennes font partie intégrante de la chaîne d'approvisionnement de la défense nord-américaine et concluent des contrats directs ou indirects avec le DoD des États-Unis.

Description : CMMC est une norme unifiée pour la mise en œuvre de la cybersécurité au sein de l'industrie de la défense (IDD). Elle vise à garantir que les entreprises de défense et leurs fournisseurs protègent adéquatement les informations sensibles non classifiées, notamment les informations contractuelles fédérales (ICF) et les informations non classifiées contrôlées (ICC) . CMMC propose un modèle hiérarchisé, avec cinq niveaux de maturité en matière de cybersécurité, chacun exigeant des pratiques et des processus spécifiques.

Personnes concernées : Si votre entreprise canadienne fait partie de la chaîne d'approvisionnement du Département de la Défense des États-Unis, ou prévoit le faire, vous devrez probablement atteindre un niveau CMMC spécifique pour soumissionner et remporter des contrats. Cela implique de protéger tout FCI ou CUI que vous traitez conformément aux normes CMMC.

Objectif principal : Le CMMC impose une approche proactive et vérifiable de la cybersécurité. Il se concentre sur la mise en œuvre des pratiques de cybersécurité (le « quoi ») et l'institutionnalisation des processus (le « comment ») pour atteindre différents niveaux d'hygiène informatique.

• Protection FCI : Protection de base des informations sur les contrats fédéraux (niveau 1).

• Protection CUI : Protection plus avancée des informations non classifiées contrôlées (niveaux 2 et 3).

• Protection avancée contre les menaces persistantes (APT) : défenses proactives et sophistiquées contre les menaces avancées (niveaux 4 et 5).

Projet de loi C-8 : une nouvelle initiative législative pour la cybersécurité des infrastructures essentielles

L'approche canadienne en matière de cybersécurité évolue, passant de cadres largement volontaires à un cadre législatif obligatoire et exécutoire. Le dépôt du projet de loi C-8 marque une étape importante dans cette évolution, visant à renforcer les infrastructures essentielles du pays contre l'escalade des cybermenaces.

Qu’est-ce que le projet de loi C-8?

Titre officiel : Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.

Objectif : Le projet de loi C-8 vise à protéger proactivement les systèmes et services essentiels du Canada contre les cybermenaces. Il constitue une réponse directe à la fréquence et à la sophistication croissantes des cyberattaques visant les services essentiels, qui peuvent avoir des conséquences économiques et sociales dévastatrices.

Contexte : Le projet de loi C-8 n'est pas entièrement nouveau; il s'agit essentiellement d'une réintroduction du projet de loi C-26 , mort au Feuilleton lors de la prorogation du Parlement. Sa réintroduction sous un nouveau numéro témoigne de l'engagement indéfectible du gouvernement à adopter cette loi cruciale en matière de cybersécurité. Cette continuité signifie que de nombreuses organisations connaissent peut-être déjà les exigences proposées.

Éléments clés : Le projet de loi C-8 s’articule autour de deux axes législatifs principaux :

1. Modifications à la Loi sur les télécommunications : Ces modifications accorderont au gouvernement, et plus particulièrement au ministre de l'Innovation, des Sciences et de l'Industrie, de plus grands pouvoirs pour donner des directives aux fournisseurs de services de télécommunications (FST) afin de sécuriser le système de télécommunications canadien. Cela comprend des directives visant à interdire certains produits et services ou à mettre en œuvre des mesures pour contrer les menaces.

2. Adoption de la nouvelle Loi sur la protection des systèmes cybernétiques essentiels (LPSCSE) : Il s'agit du cœur de la protection des infrastructures essentielles prévue par le projet de loi C-8. La LSCSE établira un nouveau cadre réglementaire visant à améliorer la cybersécurité des systèmes cybernétiques essentiels désignés dans les secteurs vitaux.

Qui est touché par le projet de loi C-8?

Le volet LSCA du projet de loi C-8 touchera principalement les secteurs d'infrastructures essentielles sous réglementation fédérale , appelés « exploitants désignés ». Il s'agit des entités dont les systèmes sont jugés essentiels à la sécurité nationale, à la sécurité publique ou à la stabilité économique.

Secteurs spécifiques initialement couverts :

• Télécommunications : Fournisseurs de services de communication essentiels.

• Énergie : Opérateurs du réseau électrique, des secteurs pétrolier et gazier.

• Finance : Acteurs clés des systèmes bancaires, de compensation et de règlement.

• Transport : Opérateurs de transport aérien, ferroviaire, maritime et par pipeline.

• Nucléaire : Organisations impliquées dans la production d’énergie nucléaire et les activités associées.

Il est important de noter que la portée des « opérateurs désignés » et des systèmes spécifiques sera davantage définie par la réglementation, mais les entreprises de ces secteurs doivent commencer à se préparer dès maintenant.

Principales obligations en matière de cybersécurité en vertu du projet de loi C-8 (CCSPA)

La loi sur la protection des systèmes cybernétiques critiques (CCSPA) impose de nouvelles obligations importantes en matière de cybersécurité aux opérateurs désignés, marquant ainsi un passage des lignes directrices volontaires aux exigences obligatoires.

1. Programmes de cybersécurité : Les opérateurs désignés seront tenus d’établir et de mettre en œuvre des programmes complets de cybersécurité. Ces programmes doivent être conçus pour protéger leurs systèmes critiques contre les cyberincidents et assurer la continuité des services essentiels. Ils devront être régulièrement révisés et mis à jour.

2. Gestion des risques : L'approche proactive face aux risques est un élément fondamental de la CCSPA. Les organisations devront :

• Identifier et évaluer les risques de cybersécurité pour leurs systèmes cybernétiques critiques.

• Mettre en œuvre des mesures pour atténuer ces risques, notamment ceux liés aux chaînes d'approvisionnement et aux fournisseurs tiers . Cet aspect est particulièrement crucial, car les attaques contre les chaînes d'approvisionnement sont de plus en plus fréquentes et dévastatrices.

• Établir et tenir à jour un registre de leurs évaluations des risques et de leurs stratégies d’atténuation.

3. Signalement des incidents : Afin d'assurer une réponse nationale coordonnée aux cybermenaces, la CCSPA imposera des exigences strictes en matière de signalement des incidents de cybersécurité importants. Les opérateurs désignés seront tenus de signaler ces incidents au Centre canadien pour la cybersécurité (CCCS) et, potentiellement, à d'autres organismes de réglementation compétents. Cela permettra un partage plus rapide des renseignements sur les menaces et une défense collective.

4. Audits et conformité : La LSCC introduit des mécanismes de surveillance et d’application. Les exploitants désignés seront tenus de procéder régulièrement à des audits et à des examens de cybersécurité de leurs programmes. De plus, le ministre de la Sécurité publique aura le pouvoir de mener des inspections et des audits pour assurer la conformité.

5. Partage d’informations : Bien que des détails spécifiques émergeront par le biais de réglementations, la CCSPA envisage un environnement dans lequel les opérateurs désignés pourraient être tenus de partager certaines informations de cybersécurité avec les organismes gouvernementaux afin d’améliorer la sensibilisation aux menaces collectives et les capacités de réponse.

L'impact sur les industries critiques

Le projet de loi C-8 représente un changement de paradigme pour les exploitants d’infrastructures essentielles du Canada, les orientant vers une posture de cybersécurité plus réglementée et plus responsable.

1. Passer à une sécurité proactive : La législation oblige les organisations à adopter une approche proactive, plutôt que réactive, en matière de cybersécurité. Elle impose la mise en œuvre de programmes et de contrôles rigoureux avant qu'un incident ne survienne.

2. Augmentation du fardeau de la conformité : Pour de nombreuses organisations, se conformer à la CCSPA nécessitera un investissement important en temps, en ressources et en expertise. De nouvelles politiques, de nouveaux processus, des mises à niveau technologiques et des formations seront nécessaires. La charge administrative liée à la documentation de la conformité augmentera également.

3. Sanctions financières en cas de non-conformité : Le projet de loi C-8 prévoit des sanctions importantes en cas de non-conformité, avec des amendes pouvant atteindre des millions de dollars pour les infractions graves. Ce risque financier souligne l’urgence pour les organisations de prendre la loi au sérieux.

4. Implications pour la chaîne d'approvisionnement : L'un des impacts les plus importants concernera la chaîne d'approvisionnement . Les opérateurs désignés étant tenus de gérer les risques liés à leurs fournisseurs tiers, ils imposeront sans aucun doute des exigences de cybersécurité plus strictes à ces derniers. Cela signifie que même les entreprises qui ne sont pas directement classées comme infrastructures critiques pourraient devoir renforcer leur cybersécurité pour rester compétitives dans ces chaînes d'approvisionnement.

5. Sécurité nationale renforcée : En fin de compte, le projet de loi C-8 vise à renforcer la cyberrésilience globale du Canada. En imposant une sécurité renforcée pour les systèmes critiques, il contribue à la protection contre les attaques commanditées par l'État, la cybercriminalité et d'autres activités malveillantes susceptibles de perturber les services essentiels et de compromettre la sécurité nationale.

123 Cyber vous maintient en conformité

Le paysage canadien de la cybersécurité en constante évolution, marqué par des cadres comme CANDGSI 104, CPCSC, CMMC et le projet de loi C-8, présente à la fois des défis et des opportunités. 123 Cyber est particulièrement bien placé pour aider votre organisation à naviguer dans ces complexités.

Notre expertise dans tous les cadres

Nous proposons une approche intégrée de la conformité en matière de cybersécurité. Notre équipe maîtrise parfaitement les exigences spécifiques de chaque cadre et reconnaît leurs chevauchements. Cela nous permet d'élaborer des stratégies globales qui répondent efficacement à de multiples besoins de conformité. Que vous soyez un entrepreneur public, une PME ayant besoin de la norme CAN/DGSI 104, un fournisseur de défense souhaitant se conformer à la norme CMMC ou un exploitant d'infrastructures essentielles se préparant à l'application du projet de loi C-8, nous avons l'expertise pour vous guider.

Notre processus de pré-audit

Notre processus complet de pré-audit est conçu pour apporter de la clarté, identifier les vulnérabilités et garantir que votre organisation est conforme et véritablement sécurisée.

1. Évaluation et analyse des lacunes : Nous commençons par une évaluation approfondie de votre dispositif actuel de cybersécurité par rapport aux exigences spécifiques des cadres pertinents. Cela permet d'identifier les lacunes cruciales à combler.

2. Élaboration de politiques et de procédures : Nous aidons à élaborer ou à affiner les politiques, procédures et documentations de cybersécurité nécessaires à la conformité et à la gestion efficace des risques.

3. Rapports et assistance à la correction : nous fournissons des rapports clairs et exploitables décrivant les résultats et offrons des conseils et un soutien d'experts pour la mise en œuvre des stratégies de correction recommandées.

Comment nous travaillons

Nos services de pré-audit évaluent l'alignement de votre organisation avec les réglementations et exigences appropriées, en identifiant les lacunes et en recommandant des mesures concrètes pour garantir que vos systèmes et processus répondent aux exigences strictes de la protection des données gouvernementales.

• Compréhension approfondie du paysage réglementaire canadien : Notre cabinet connaît intimement les nuances des lois et réglementations canadiennes en matière de cybersécurité, y compris les derniers développements entourant le projet de loi C-8.

• Auditeurs certifiés et expérimentés : Notre équipe certifiée est composée de professionnels expérimentés en cybersécurité qui apportent une richesse de connaissances pratiques à chaque engagement.

• Approche proactive face à la législation émergente : Nous restons à l’affût des changements législatifs, comme le projet de loi C-8, en veillant à ce que nos clients soient préparés aux nouvelles exigences bien à l’avance.

• Solutions sur mesure : Nous comprenons que chaque organisation est unique. Nous proposons des services de pré-audit et de conseil personnalisés, adaptés à vos besoins spécifiques, à votre secteur d'activité et à votre profil de risque.

Construire ensemble un avenir cybernétique canadien résilient

Les exigences imposées aux organisations en matière de protection de leurs données et de leurs systèmes sont en constante évolution. Du respect des directives rigoureuses de la norme CAN/DGSI 104 aux certifications à plusieurs niveaux du CPCSC, en passant par le respect des normes internationales comme la CMMC pour les chaînes d'approvisionnement de la défense, et maintenant la préparation aux exigences du projet de loi C-8 pour les infrastructures essentielles, la conformité en matière de cybersécurité est plus complexe et cruciale que jamais.

Nous croyons qu'une cybersécurité robuste n'est pas seulement un fardeau réglementaire, mais un avantage stratégique. Elle protège vos actifs, préserve votre réputation et assure la continuité de vos activités dans un monde incertain. En collaborant avec nous, vous bénéficiez d'un allié de confiance qui se consacre à renforcer vos défenses numériques et vous guide dans le labyrinthe complexe de la réglementation canadienne en matière de cybersécurité.

N'attendez pas une violation ou une sanction pour non-conformité. Agissez proactivement sur votre cybersécurité et préparez votre organisation à l'avenir.

Contactez-nous dès aujourd'hui pour discuter de vos besoins en matière d'audit et de conformité en matière de cybersécurité

Bibliographie

Législation et cadres canadiens

• Projet de loi C-8 : Parlement du Canada - Projet de loi C-8

• Informations législatives : openparliament.ca - Projet de loi C-8

• Centre canadien pour la cybersécurité (CCCS) : CCCS

• Certification CyberSecure Canada : Conseil canadien des normes - CAN/DGSI 104:2021

• Conseil de gouvernance numérique : Conseil de gouvernance numérique - Validation CyberReady

• Aperçu du programme : Canada.ca – Programme des marchandises contrôlées

• Contact et ressources : Canada.ca – Contactez le Programme des marchandises contrôlées

Législation et cadres américains

• Informations officielles sur le programme CMMC : DSI du Département de la Défense des États-Unis - À propos du CMMC

• Organisme d'accréditation : Le Cyber AB - Site officiel

• NIST SP 800-171 : NIST - SP 800-171 Rév. 2

• NIST SP 800-172 : NIST - SP 800-172