Que signifie le PCCC pour les entrepreneurs canadiens de la défense?
- Terry Telford
- 6 avr.
- 4 min de lecture
La protection de la sécurité et de la stabilité économique du Canada est primordiale, et les vulnérabilités de nos chaînes d'approvisionnement de défense sont devenues une source de préoccupation majeure. Le réseau complexe d'entrepreneurs et de sous-traitants qui manipulent des informations contrôlées (IC) est une cible pour les acteurs malveillants. Pour contrer cette menace, le gouvernement canadien prend des mesures décisives en dévoilant le Programme canadien de certification en cybersécurité (PCCC), une initiative en plusieurs phases visant à protéger nos chaînes d'approvisionnement de défense.
Ce programme, annoncé par l'honorable Jean-Yves Duclos, ministre des Services publics et de l'Approvisionnement, représente une avancée significative vers le renforcement de la cybersécurité du Canada. Le PCCC vise à établir un cadre normalisé garantissant que les entreprises qui traitent des données d'infrastructures critiques respectent des pratiques de sécurité précises.
Une évolution progressive, pas un changement soudain
Conscient de la complexité de la mise en œuvre de changements radicaux en matière de cybersécurité, le gouvernement a adopté une approche progressive. Cette stratégie reconnaît la nécessité pour les entreprises de s'adapter et d'intégrer de nouvelles pratiques de sécurité sans perturber leurs activités. La phase initiale, lancée en mars 2025, pose les bases du déploiement plus large du programme.
Le 12 mars 2025, le gouvernement du Canada a lancé la première phase du PCCC, qui comprend la nouvelle norme canadienne de sécurité industrielle, l'ouverture de l'écosystème d'accréditation et un programme pilote d'auto-évaluation de certains contrats de défense. De plus, le Conseil canadien des normes commencera à accréditer des organismes de certification, des organisations qui joueront un rôle essentiel dans l'évaluation et la certification de la conformité à la nouvelle norme. Afin d'aider les entreprises dans leur démarche de conformité, un outil d'auto-évaluation convivial pour la certification de niveau 1 sera mis en place.
Au début, la certification ne sera pas une condition préalable à la soumission d'un appel d'offres public. Elle ne sera exigée qu'au moment de l'attribution du contrat. Cela laissera aux entreprises le temps nécessaire pour se familiariser avec le programme et mettre en œuvre les mesures de sécurité nécessaires.
Une stratégie de défense à trois niveaux
Le PCCC est structuré autour d’un système de certification à trois niveaux, chaque niveau représentant des niveaux croissants d’assurance de sécurité.
Niveau 1 : Auto-évaluation : Ce niveau fondamental exige des entreprises qu'elles procèdent à une auto-évaluation annuelle de leurs pratiques de cybersécurité. Cela leur permet d'identifier et de corriger les vulnérabilités potentielles de leurs systèmes.
Niveau 2 : Évaluation externe : Au-delà de l'auto-évaluation, le niveau 2 exige une évaluation externe de la cybersécurité réalisée par un organisme de certification accrédité. Cette évaluation indépendante permet une évaluation plus objective de la sécurité d'une organisation.
Niveau 3 : Évaluation de la Défense nationale : Le niveau de certification le plus élevé comprend des évaluations menées directement par la Défense nationale. Ce niveau est réservé aux contrats portant sur les informations les plus sensibles et exige les contrôles de sécurité les plus stricts.
Une feuille de route vers une sécurité renforcée
La mise en œuvre du PCCC se déroule en quatre phases distinctes :
Phase 1 (mars 2025) : La pierre angulaire de cette phase est la publication de la nouvelle norme de cybersécurité et le lancement de l'outil d'auto-évaluation de niveau 1. Le Conseil canadien des normes commencera également à accepter les demandes des organisations souhaitant devenir des organismes de certification accrédités.
Phase 2 (automne 2025) : Cette phase marque l'introduction des exigences de certification de niveau 1 pour certains contrats de défense. La certification de niveau 2 sera également expérimentée dans des contrats spécifiques, permettant une transition progressive.
Phase 3 (printemps 2026) : À mesure que le programme évoluera, la certification de niveau 2 deviendra obligatoire pour certains contrats. Les modalités de la certification de niveau 3 seront également publiées, ouvrant la voie à sa mise en œuvre.
Phase 4 (2027) : Au cours de cette phase finale, les exigences de certification de niveau 3 seront progressivement intégrées à un nombre limité d'appels d'offres de la Défense. La Défense nationale effectuera ces évaluations, garantissant ainsi le plus haut niveau de sécurité pour les contrats les plus critiques.
Au-delà de la conformité : renforcer la résilience
Le PCCC ne se limite pas à assurer la conformité ; il vise également à renforcer la résilience. En permettant aux entreprises d'identifier et de corriger leurs vulnérabilités potentielles, le programme vise à créer un écosystème de défense plus sûr et plus robuste.
Un investissement stratégique dans la cybersécurité
Le PCCC représente un investissement stratégique dans l'infrastructure de cybersécurité du Canada. En renforçant la sécurité de ses chaînes d'approvisionnement de défense, le gouvernement protège non seulement les renseignements sensibles, mais renforce également l'économie et la sécurité nationale du pays.
Regard vers l'avenir : un voyage continu
Le PCCC n'est pas un programme statique ; c'est un cadre vivant et évolutif qui s'adaptera à l'évolution des menaces. Le gouvernement s'engage à l'améliorer continuellement afin de garantir l'efficacité et la pertinence du programme pour les années à venir.
Références
![Comment élaborer un plan de réponse aux incidents [avec exemples]](https://static.wixstatic.com/media/2ada9a_624cced3f1c448ca83246f6fe732be3a~mv2.png/v1/fill/w_980,h_980,al_c,q_90,usm_0.66_1.00_0.01,enc_avif,quality_auto/2ada9a_624cced3f1c448ca83246f6fe732be3a~mv2.png)