Le gouvernement du Canada annonce la première phase du Programme canadien de certification en cybersécurité English

Protéger les chaînes d'approvisionnement de défense du Canada

GATINEAU, QC, le 12 mars 2025 /CNW/ - Le gouvernement du Canada s'est engagé à mettre en place des mesures rigoureuses en matière de cybersécurité, lesquelles sont essentielles à la stabilité économique et à la sécurité nationale du pays. L'industrie canadienne de la défense est régulièrement la cible de cyberattaques menées contre des entrepreneurs et des sous-traitants, compromettant ainsi la sécurité de renseignements fédéraux non classifiés. Il est primordial que le Canada agisse pour protéger les chaînes d'approvisionnement essentielles de ce secteur.

Aujourd'hui, l'honorable Jean-Yves Duclos, ministre des Services publics et de l'Approvisionnement et lieutenant du Québec, a annoncé la première phase du déploiement du Programme canadien de certification en cybersécurité (PCCC). En mars 2025, le PCCC établira une norme sur la cybersécurité pour les entreprises qui traitent des renseignements non classifiés de nature délicate du gouvernement ayant trait aux contrats de défense.

Le PCCC sera déployé graduellement par phase. Ainsi, les entreprises pourront adapter leurs activités selon les nouvelles exigences. La première phase consistera à publier une nouvelle norme canadienne sur la cybersécurité industrielle, à lancer le processus d'accréditation ainsi qu'un outil d'autoévaluation pour la certification de niveau 1. Cette première phase aidera les entreprises à bien comprendre le Programme avant son déploiement à grande échelle, plus tard en 2025.

Pour les phases initiales du programme, la certification sera exigée non pas pendant le processus d'appel d'offres, mais plutôt lorsque le contrat sera attribué. Ce déploiement graduel vise à renforcer la résilience et la sécurité des chaînes d'approvisionnement de défense du Canada en donnant au gouvernement et aux entreprises le temps et les ressources nécessaires pour s'adapter à l'évolution des normes sur la cybersécurité.

Citation

« La cybersécurité est une question de sécurité nationale. Or, les menaces sont de plus en plus complexes et ne cessent d'évoluer. Dans le domaine de l'approvisionnement de défense, les cyberincidents peuvent compromettre la sécurité des renseignements fédéraux non classifiés. Pour contrer cette menace, nous lançons la première phase du Programme canadien de certification en cybersécurité. Nous sommes déterminés à protéger l'intégrité du secteur de la défense et sommes impatients de collaborer avec les entreprises à l'application de pratiques solides en matière de cybersécurité. »

L'honorable Jean-Yves Duclos
Ministre des Services publics et de l'Approvisionnement et lieutenant du Québec

Les faits en bref

• L'écosystème du Programme canadien de certification en cybersécurité est un cadre structuré composé de 3 niveaux. Le Programme vise à faire en sorte que la certification en cybersécurité au Canada soit assurée par des entités accréditées et des évaluateurs certifiés et qu'elle soit soumise à une surveillance gouvernementale. Il respecte les normes internationales tout en soutenant les initiatives de sécurité nationales.
• Les exigences obligatoires du Programme sur la certification en cybersécurité comporteront 3 niveaux différents :
  • niveau 1 : nécessite une autoévaluation annuelle de la cybersécurité
  • niveau 2 : nécessite des évaluations externes de la cybersécurité menées par un organisme de certification accrédité
  • niveau 3 : nécessite des évaluations de la cybersécurité réalisées par la Défense nationale
• Le déploiement du Programme canadien de certification en cybersécurité suivra ces étapes importantes :
  • Phase 1 (mars 2025) : Une nouvelle norme sur la cybersécurité pour les niveaux 1 et 2 sera accessible aux entreprises; pour le niveau 1, un outil d'autoévaluation sera lancé au plus tard lorsque le Programme sera pleinement déployé. Le Conseil canadien des normes commencera à accepter les demandes des organisations qui souhaitent contribuer à l'évaluation et à la certification de la conformité à la norme en tant qu'organisme de certification. Des systèmes de soutien seront mis en place pour aider les entreprises à obtenir la certification de niveau 2 au moyen d'évaluations réalisées par des tiers.
  • Phase 2 (automne 2025) : Certains contrats de défense nécessiteront une certification de niveau 1 réalisée par autoévaluation. La certification de niveau 2, qui est obtenue au moyen d'une évaluation réalisée par un tiers, sera mise à l'essai pour certains contrats de défense.
  • Phase 3 (printemps 2026) : Pendant que la certification de niveau 2 commencera à être exigée pour certains contrats de défense, la certification de niveau 3 sera officiellement lancée à la suite de la publication des contrôles supplémentaires liés au niveau 3.
  • Phase 4 (2027) : Pour un petit nombre de contrats, les exigences liées à la certification de niveau 3 seront intégrées graduellement dans un certain nombre de demandes de propositions concernant la défense. La certification de niveau 3 sera réalisée par la Défense nationale.
• L'industrie de la défense et d'autres intervenants clés continueront d'être conviés à des séances de mobilisation.
• Le gouvernement du Canada est déterminé à soutenir le secteur canadien de la cybersécurité en pleine croissance, particulièrement en ce qui a trait à l'approvisionnement de défense.

Liens connexes

Programme canadien de certification en cybersécurité

Suivez-nous sur X (Twitter)
Suivez-nous sur Facebook

SOURCE Services publics et Approvisionnement Canada

Personnes-ressources: Mathis Denis, Attaché de presse et conseiller principal aux communications, Cabinet de l'honorable Jean-Yves Duclos, 343-573-1846, [email protected]; Relations avec les médias, Services publics et Approvisionnement Canada, 819-420-5501, [email protected]