top of page
Rechercher

Votre guide préliminaire sur le PCCSC et le CMMC pour les sous-traitants canadiens de la défense

  • Terry Telford
  • 19 août
  • 8 min de lecture
Icône de char vert sur fond vert, superposée sur un bouclier. Sans texte. Simple et audacieux.

Les règles d'engagement en matière de contrats de défense ont changé. Pour les petits et moyens sous-traitants de la défense au Canada ou aux États-Unis, le contexte est passé d'une simple poignée de main « faites-moi confiance » à une simple demande « montrez-moi ». L'époque où l'on se contentait d'un excellent produit ou service est révolue. Aujourd'hui, votre capacité à remporter et à conserver des contrats lucratifs repose sur la posture de cybersécurité de votre entreprise, vérifiée par deux nouveaux cadres performants : le nouveau Programme canadien de certification en cybersécurité (PCCSC) et la Certification du modèle de maturité en cybersécurité (CMMC) du Département de la Défense des États-Unis.


Pour tout sous-traitant de petite et moyenne entreprise (PME), comprendre et mettre en œuvre les normes PCCSC et CMMC est un nouveau coût d'entrée. Ce guide vous aidera à démystifier ces cadres, à comprendre leur objectif et à tracer la voie vers la conformité et la réussite durable sur le marché de la défense.


L'objectif du mandat du PCCSC et du CMMC : protéger les secrets nationaux


Le PCCSC et le CMMC sont nés d'une préoccupation commune face au taux alarmant de vols de propriété intellectuelle et d'exfiltration de données sensibles de la chaîne d'approvisionnement de la défense. À mesure que les gouvernements externalisent de plus en plus leurs fonctions critiques et leur développement technologique, ils confient des informations sensibles et non classifiées à un vaste réseau d'entreprises privées, dont beaucoup sont des PME. Si ces données sont compromises, elles peuvent conférer aux adversaires étrangers un avantage stratégique considérable, compromettant ainsi la sécurité nationale.


C'est là qu'interviennent les concepts d' information sur les contrats fédéraux (FCI) et d'information non classifiée contrôlée (CUI) .


  • Informations sur les contrats fédéraux (FCI) : Il s'agit de toute information, non destinée à être rendue publique, fournie par ou générée pour une entité gouvernementale dans le cadre d'un contrat. Pensez à des éléments tels que les calendriers de projet, les notes internes ou de simples listes de documents spécifiques au contrat. Il s'agit du niveau de protection des informations le plus élémentaire.

  • Informations non classifiées contrôlées (CUI) : Il s'agit d'une catégorie beaucoup plus large et sensible. Il s'agit d'informations non classifiées qui nécessitent néanmoins des contrôles de protection ou de diffusion, conformément à la loi, à la réglementation ou à la politique gouvernementale. Cela comprend tout, des dessins techniques et spécifications techniques aux données personnelles sensibles et aux informations financières liées à un projet. Un seul élément de CUI pourrait constituer le plan directeur d'un composant d'avion de chasse de nouvelle génération ou la conception d'un système de communication sécurisé.


Le PCCSC et le CMMC visent à créer un cadre de sécurité vérifiable garantissant que chaque entreprise manipulant ces informations, du plus grand donneur d'ordre au plus petit sous-traitant, dispose des contrôles nécessaires pour les protéger. Il s'agit d'un effort concerté visant à sécuriser l'ensemble de la chaîne d'approvisionnement, empêchant ainsi un seul maillon faible de compromettre l'ensemble.


PCCSC vs CMMC : l'histoire de deux cadres


Bien que les deux cadres partagent un objectif commun, leur mise en œuvre et leurs exigences spécifiques présentent des différences essentielles.


PCCSC (Programme canadien de certification en cybersécurité)

  • Organe directeur : Le Centre canadien pour la cybersécurité (CCCS) en collaboration avec Services publics et Approvisionnement Canada (SPAC) et le ministère de la Défense nationale (MDN).

  • Fondements : Conforme aux normes de sécurité canadiennes, notamment au cadre de gestion des risques liés à la sécurité des TI ITSG-33. Bien qu'il reflète étroitement la norme NIST SP 800-171, il est adapté au contexte canadien.

  • Structure : Similaire au CMMC, le PCCSC dispose d'une structure hiérarchisée conçue pour s'adapter à la sensibilité des informations traitées et au niveau de risque du contrat. Les spécificités de ses trois niveaux, notamment les exigences d'évaluation (auto-évaluation, évaluation par un tiers ou évaluation gouvernementale), reflètent étroitement le modèle du CMMC.

 

CMMC (Certification du modèle de maturité de la cybersécurité)

  • Organe directeur : Département de la Défense des États-Unis (DoD).

  • Fondation : Construit sur des normes américaines établies, principalement la publication spéciale (SP) 800-171 du National Institute of Standards and Technology (NIST), qui décrit 110 contrôles de sécurité pour protéger les CUI dans les systèmes non fédéraux.

  • Structure : CMMC 2.0 rationalise le modèle original en un système à trois niveaux :

  • Niveau 1 (Fondamental) : Exige la mise en œuvre de 15 pratiques de cyberhygiène de base pour protéger les FCI. Ce niveau permet généralement une auto-évaluation, qui doit être confirmée chaque année dans le Système de gestion des risques liés à la performance des fournisseurs (SPRS).

  • Niveau 2 (Avancé) : Nécessite la mise en œuvre complète des 110 contrôles de sécurité de la norme NIST SP 800-171 pour protéger les CUI. Selon le contrat, cela peut nécessiter une auto-évaluation triennale ou une évaluation tierce triennale par un organisme d'évaluation tiers CMMC (C3PAO).

  • Niveau 3 (Expert) : Pour les entreprises gérant les CUI les plus sensibles et à forte valeur ajoutée, ce niveau requiert les 110 contrôles de la norme NIST SP 800-171, ainsi que 24 contrôles supplémentaires renforcés de la norme NIST SP 800-172. L'évaluation est réalisée par le Centre d'évaluation de la cybersécurité des bases industrielles de défense (DIBCAC) du gouvernement.


Principales similitudes : une approche unifiée de la sécurité


Malgré leurs origines nationales et leurs normes fondamentales différentes, le PCCSC et le CMMC sont fondamentalement alignés dans leur approche stratégique.

  • Modèle à plusieurs niveaux : Les deux cadres utilisent une approche graduée et hiérarchisée. Le niveau de maturité requis en matière de cybersécurité correspond directement au type et à la sensibilité des informations traitées. Cela évite qu'un petit atelier d'usinage disposant de peu de données ait la même charge qu'une entreprise concevant des équipements avioniques critiques.

  • Accent sur les CUI : les deux cadres accordent la priorité à la protection des informations contrôlées non classifiées. Il s'agit de la propriété intellectuelle et des données critiques, essentielles à la sécurité nationale et aux capacités de défense.

  • Vérification, pas seulement confiance : L'évolution vers un modèle de conformité vérifiable constitue une avancée majeure par rapport aux réglementations antérieures. Auparavant, les entreprises pouvaient simplement attester elles-mêmes de leur conformité aux exigences de cybersécurité. Désormais, selon le niveau, vous devez être en mesure de démontrer vos contrôles par une évaluation officielle, réalisée par votre propre équipe, un tiers certifié ou le gouvernement lui-même. Ce passage de la confiance à la démonstration est au cœur des deux programmes.

  • Exigences standardisées : Les deux programmes standardisent les pratiques de cybersécurité dans un large éventail d'entreprises. Cela permet aux donneurs d'ordres de contrôler plus facilement leurs chaînes d'approvisionnement et aux organismes gouvernementaux de garantir un niveau de sécurité de base à tous leurs partenaires.


Différences clés : naviguer dans les nuances


Bien que l’esprit des deux programmes soit le même, les PME doivent prêter une attention particulière aux détails pour éviter un faux pas en matière de conformité.

  • Autorité de tutelle : La différence la plus évidente réside dans l'autorité de tutelle. Le PCCSC est une initiative du gouvernement canadien, tandis que le CMMC est un programme du Département de la Défense. Cette distinction est essentielle pour comprendre qui auditera votre entreprise et quelles clauses contractuelles s'appliqueront.

  • Normes fondamentales : Le PCCSC, bien qu'inspiré du NIST, s'appuie sur le cadre canadien ITSG-33. Le CMMC s'appuie sur les normes SP 800-171 et 800-172 du NIST américain. Bien que les contrôles se recoupent fortement, ils ne sont pas identiques. Une entreprise entièrement conforme aux normes du NIST peut néanmoins devoir procéder à des ajustements mineurs pour se conformer aux réglementations du PCCSC ou du CMMC.

  • Écosystème d'évaluation : Les organismes d'accréditation des évaluateurs sont différents. Au Canada, le PCCSC établira son propre écosystème d'évaluateurs accrédités. Un C3PAO américain ne peut pas, par défaut, réaliser une évaluation du PCCSC, et un évaluateur canadien du PCCSC devrait être accrédité par le Cyber AB pour réaliser une évaluation CMMC. Aux États-Unis, les évaluations sont réalisées par des C3PAO accrédités par le Cyber AB.


Ce que cela signifie pour votre entreprise : la voie à suivre


Le déploiement de ces cadres est déjà en cours, le PCCSC étant mis en œuvre progressivement, et les exigences devraient être obligatoires dans les contrats canadiens prochainement. Les exigences du CMMC apparaissent dans un nombre croissant de demandes d'information (RFI) et de demandes de propositions (DP) aux États-Unis ; il est donc temps d'agir.

 

Voici une approche pratique, étape par étape, pour votre PME :

  1. Identifiez vos données : La première étape, et la plus importante, consiste à comprendre le type de données gouvernementales que vous traitez. Recevez-vous ou générez-vous des FCI ? Vos systèmes contiennent-ils des CUI ? Les réponses à ces questions détermineront le niveau PCCSC et/ou CMMC à atteindre.

  2. Réalisez une évaluation des écarts : Une fois le niveau requis déterminé, effectuez une analyse complète des écarts. Cette analyse implique un examen professionnel de votre posture actuelle en matière de cybersécurité par rapport aux contrôles spécifiques requis par le cadre applicable. Elle permettra d'identifier les lacunes à combler.

  3. Correction et mise en œuvre : Suite à votre analyse des écarts, vous devrez mettre en place les contrôles techniques nécessaires, mettre à jour vos politiques et procédures et former vos employés. C'est souvent la partie la plus longue et la plus complexe du processus, mais elle est incontournable.

  4. Documentez tout : La conformité ne se résume pas à la mise en place de contrôles ; il s'agit de les prouver. Vous devrez créer un plan de sécurité du système (PSS) et d'autres documents décrivant clairement vos mesures de sécurité et leur conformité aux exigences.


Votre appel à l'action


Le secteur des contrats de défense connaît une transformation historique. L'époque où une PME pouvait opérer avec une cybersécurité minimale touche à sa fin. Les PCCSC et CMMC ne sont pas temporaires, mais des dispositifs permanents conçus pour protéger la sécurité nationale et seront bientôt les gardiens ultimes des contrats de défense.


Les coûts de la conformité peuvent paraître décourageants, mais le coût de la non-conformité est bien plus élevé. Ignorer ces obligations vous empêchera non seulement de saisir de nouvelles opportunités, mais pourrait également entraîner la perte de vos contrats existants. À l'inverse, en adoptant ces nouvelles exigences, vous sécurisez votre activité et bénéficiez d'un avantage concurrentiel considérable, démontrant ainsi aux donneurs d'ordre et aux gouvernements que vous êtes un partenaire fiable et sûr.

N'attendez pas que le prochain appel d'offres contienne une clause de conformité que vous ne pouvez pas respecter. Prenez en main l'avenir de votre entreprise dès aujourd'hui.


Effectuez une évaluation de votre état de préparation afin de déterminer le ou les cadres applicables à votre entreprise. Contactez-nous dès aujourd'hui pour planifier votre évaluation et faire le premier pas vers un avenir sûr et prospère dans le secteur de la défense.


 

Bibliographie

Programme canadien de certification en cybersécurité (PCCCS)

  • Centre canadien pour la cybersécurité (CCCS). ITSG-33 Gestion des risques de sécurité informatique : une approche axée sur le cycle de vie . Il s'agit du cadre fondamental sur lequel repose le CPCSC.

  • Gouvernement du Canada. Publications et directives officielles du Programme de certification en cybersécurité (PCCSC) . Le programme étant encore en phase de déploiement, les informations sont diffusées sur les sites web et publications officiels du gouvernement.

 

Certification du modèle de maturité de la cybersécurité aux États-Unis (CMMC)

  • CMMC pour les Canadiens. CMMC 2.0 – Découvrez la certification en cybersécurité du Département de la Défense des États-Unis. https://www.ccc.ca/fr/perspectives-pour-les-exportateurs/cmmc-2-0-know-about-dods-evolving-cybersecurity-certification/

  • Département de la Défense des États-Unis (DoD). Programme de certification du modèle de maturité de la cybersécurité (CMMC) . Il s'agit de la source officielle de toutes les informations relatives au CMMC.

  • Institut national des normes et de la technologie (NIST). Publication spéciale NIST 800-171, Protection des informations non classifiées contrôlées dans les systèmes et organisations non fédéraux . Ce document définit les exigences de sécurité fondamentales pour le CMMC niveau 2.

  • Institut national des normes et de la technologie (NIST). Publication spéciale NIST 800-172, Exigences de sécurité renforcées pour la protection des informations contrôlées non classifiées . Cette publication fournit les contrôles avancés pour la certification CMMC de niveau 3.

  • L'organisme d'accréditation cybernétique (The Cyber AB). Cyber AB est la seule organisation habilitée à accréditer les organismes d'évaluation tiers CMMC (C3PAO) et les évaluateurs individuels. Son site web fournit des informations sur le processus d'évaluation.

bottom of page