gps-cyber-certification-new-webpage

Sécuriser la chaîne d’approvisionnement de la défense au Canada

Services liés au Programme canadien de certification en cybersécurité (PCCC)

Le gouvernement du Canada a mis en place le Programme canadien de certification en cybersécurité (PCCC) afin de protéger les renseignements non classifiés traités par ses partenaires de l’industrie. Si vous fournissez des biens ou des services au ministère de la Défense nationale (MDN), l’autoattestation ne suffit plus.

Depuis mars 2026, le programme exige des entrepreneurs qu’ils respectent des normes de sécurité définies, en particulier l’ITSP.10.171, alignée sur la norme NIST SP 800-171, afin de demeurer admissibles aux contrats fédéraux. Nous aidons les organisations à s’y retrouver dans ces exigences obligatoires, des autoévaluations de niveau 1 aux certifications de niveau 2 des tiers, afin qu’elles puissent rester conformes aux exigences et concurrentielles dans le secteur de la défense.

Une démarche de certification par étapes

Nous considérons la conformité comme un avantage stratégique, et non comme un obstacle réglementaire. Notre approche reflète le déploiement progressif prévu par le gouvernement du Canada.

Nous commençons par définir votre périmètre de conformité en déterminant quels réseaux traitent de l’information contrôlée, afin d’éviter une portée excessive et coûteuse. Nous vous accompagnons ensuite tout au long du cycle de vie, de l’évaluation initiale des écarts par rapport aux contrôles de la nouvelle norme jusqu’à la collecte rigoureuse des éléments probants exigés par les organismes de certification accrédités.

L’avantage transfrontalier

PwC a accompagné des fournisseurs du secteur de la défense aux États-Unis dans leur démarche relative à la Cybersecurity Maturity Model Certification (CMMC), en travaillant avec les mêmes contrôles NIST 800-171 qui constituent le fondement du PCCC. Il ne s’agit pas d’une expérience théorique. Nos équipes comprennent la façon de penser des évaluateurs, les points sur lesquels les fournisseurs échouent le plus souvent et les éléments probants qui résistent à l’examen. 

Pour les fournisseurs canadiens qui se concentrent sur le PCCC, nous proposons un parcours de certification fondé sur une expérience transfrontalière éprouvée. De plus, comme de nombreuses grandes entreprises américaines collaborent avec des organisations canadiennes, nous offrons une approche intégrée qui aligne le PCCC et la CMMC au sein d’un même programme de cybersécurité, ouvrant ainsi l’accès à des contrats des deux côtés de la frontière. 

Comment nous pouvons aider

Définir vos exigences de certification

Nous analysons les contrats actuels et futurs qui vous lient au MDN afin de déterminer si vous avez besoin d’une certification de niveau 1, fondée sur une autoévaluation, ou de niveau 2, réalisée par un tiers. Nous schématisons ensuite vos flux de données afin de définir une enclave sécurisée précise et de vous aider à appliquer les contrôles rigoureux là où ils sont nécessaires.

Mesurer la conformité aux normes gouvernementales

Nous réalisons une évaluation officielle de votre environnement par rapport à la norme ITSP.10.171, adaptation canadienne de la norme NIST SP 800-171. Vous recevez une fiche d’évaluation détaillée ainsi qu’un plan d’action et des jalons pour combler les écarts avant l’audit officiel.

Soutien et conseils pour votre parcours de conformité

Nous fournissons à votre équipe les conseils spécialisés dont elle a besoin pour mener à bien le processus de correction. Nous conseillons vos équipes TI internes ou vos fournisseurs de services gérés sur les configurations nécessaires pour respecter l’ITSP.10.171. Nous soutenons l’élaboration de votre plan de sécurité des systèmes en vous fournissant des modèles structurés, en interprétant les exigences complexes et en passant en revue votre documentation afin de l’aligner sur les attentes des auditeurs.

Conception et mise en œuvre des contrôles (ITSP.10.171 / alignée sur la norme NIST) 
Concevoir et mettre en œuvre des contrôles de sécurité alignés sur les exigences du PCCC : contrôle des accès, gestion de la configuration, intervention en cas d’incident, intégrité des systèmes et tenue de journaux d’audit. Nous traduisons les exigences réglementaires en cadres de contrôle pratiques et faciles à mettre en œuvre.

Protection de l’information contrôlée tout au long de son cycle de vie 
Sécuriser les renseignements relatifs aux contrats et les informations désignées tout au long de leur cycle de vie — au repos, en cours d’utilisation et en transit — au moyen de la classification des données, du chiffrement, de configurations sécurisées et d’une surveillance alignée sur les attentes du secteur de la défense.

Assurance de la chaîne d’approvisionnement et des tiers 
Évaluer et surveiller la posture de sécurité des tiers dans l’ensemble de la base industrielle de défense. Nous mettons en œuvre des cadres évolutifs de gestion des risques liés aux tiers afin de soutenir la responsabilité partagée à l’égard de l’information contrôlée.

Identité, accès et architecture à vérification systématique 
Mettre en œuvre des modèles de sécurité centrés sur l’identité, notamment l’accès selon le principe du moindre privilège, l’authentification multifacteur et les principes de la vérification systématique, afin de protéger les systèmes sensibles et de permettre une collaboration sécurisée avec les partenaires du secteur de la défense.

Intervention en cas d’incident et reprise des activités 
Élaborer et tester des plans d’intervention en cas d’incident alignés sur les attentes liées au PCCC. Réaliser des exercices de simulation de crise et offrir du soutien en cas d’atteinte à la sécurité, afin de réduire les risques opérationnels, réglementaires et contractuels.

Surveillance continue et services de sécurité gérés 
Favoriser une conformité permanente par des opérations de sécurité, la détection des menaces et la surveillance en continu des contrôles. Nous vous aidons à maintenir votre degré de préparation à la certification dans un environnement de menaces en constante évolution.

Valider votre état de préparation à l’évaluation par un tiers

Avant que vous fassiez appel à un organisme de certification accrédité, nous réalisons une simulation d’évaluation pour valider votre état de préparation. Nous examinons vos éléments probants et votre documentation comme le ferait un auditeur, ce qui réduit le risque de non-conformité à l’étape de votre certification officielle.

Services liés au Programme canadien de certification en cybersécurité (PCCC)

Sécuriser la chaîne d’approvisionnement de la défense

Contactez-nous

Asif  Qayyum

Asif Qayyum

Associé, Cybersécurité et Risques liés aux technologies émergentes, PwC Canada

Tél. : +1 416 941-8383

John Proctor

John Proctor

Associé, leader, Défense en matière de cybersécurité, Protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 613 297-6706

Suivre PwC Canada