Un nouveau paragraphe est en train d'apparaître dans les appels d'offres de la Défense canadienne : la preuve d'un certain niveau de cybersécurité. C'est le Programme canadien de certification en cybersécurité (PCCC, en anglais CPCSC). Lancé officiellement en avril 2026, il devient une condition d'admissibilité pour les contrats visés dès l'été 2026. Pour beaucoup de fournisseurs et de sous-traitants, la question n'est plus « faut-il s'y mettre » mais « sommes-nous prêts pour l'auto-attestation du Niveau 1 ».
Voici ce que le programme exige, ce que couvre concrètement le Niveau 1, et par où commencer sans se noyer dans la norme.
Ce qu'est le PCCC, et sur quoi il repose
Le PCCC est le cadre fédéral qui oblige les fournisseurs de la Défense à démontrer qu'ils protègent l'information contractuelle non classifiée. Il ne s'invente pas une norme : il s'appuie sur l'ITSP.10.171 du Centre canadien pour la cybersécurité, l'équivalent canadien du NIST SP 800-171 révision 3, soit 97 contrôles répartis en 17 familles.
Le programme comporte trois niveaux, du plus léger au plus exigeant :
- Niveau 1 : une auto-évaluation annuelle, sans évaluateur tiers. C'est le socle attendu de la majorité des fournisseurs, et le sujet de ce guide.
- Niveau 2 : une évaluation externe tous les trois ans par un organisme de certification accrédité, avec une affirmation annuelle.
- Niveau 3 : une évaluation menée par le gouvernement du Canada, pour l'information la plus sensible.
Le niveau requis est précisé dans chaque appel d'offres. Si vous vendez à la Défense, directement ou en tant que sous-traitant, attendez-vous à ce que l'exigence se répercute jusqu'à vous.
Les 13 exigences du Niveau 1
Le Niveau 1 ne demande pas les 97 contrôles. Il retient 13 exigences, tirées de 6 des 17 familles de l'ITSP.10.171, pour environ 71 objectifs d'évaluation. Elles couvrent l'hygiène de sécurité fondamentale :
- Contrôle d'accès (4 exigences). Inventorier et gérer les comptes, appliquer le moindre privilège, restreindre l'usage des systèmes externes aux systèmes approuvés, et encadrer l'information publiée sur des sites publics.
- Identification et authentification (3). Des identifiants uniques et des identités vérifiées, seuls des appareils connus autorisés à se connecter, et l'authentification multifacteur avant l'accès, idéalement résistante à l'hameçonnage.
- Protection des supports (1). Assainir ou détruire les supports (disques, clés USB, papier) avant leur élimination ou leur réutilisation.
- Protection physique (2). Tenir une liste des personnes autorisées, contrôler les accès aux locaux et escorter les visiteurs.
- Protection des systèmes et des communications (1). Surveiller et contrôler les communications aux frontières du réseau.
- Intégrité des systèmes et de l'information (2). Corriger les failles en temps voulu et bloquer le code malveillant sur les postes et serveurs.
Aucune de ces exigences n'est exotique. Une PME dont l'hygiène de sécurité est correcte en satisfait déjà plusieurs. Le piège n'est pas la difficulté technique, c'est la preuve et la constance.
Ce qu'il faut avoir sous la main
L'auto-attestation du Niveau 1 n'est pas une case à cocher en l'air. Avant de déclarer votre conformité, préparez trois éléments que le programme vous demandera d'être en mesure de fournir :
- Une justification du périmètre. Quels systèmes, réseaux et personnes traitent l'information visée, et lesquels en sont exclus, et pourquoi.
- Un schéma réseau simple. Où circule l'information en périmètre, et où se trouvent ses frontières.
- Un inventaire des actifs en périmètre. Les postes, serveurs, services infonuagiques et supports concernés.
Ces trois livrables forcent la clarté. Beaucoup d'organisations découvrent, en les rédigeant, que leur périmètre réel est plus large qu'elles ne le pensaient.
Là où les fournisseurs trébuchent
- Problème : les équipes lisent « auto-évaluation » comme « déclaration rapide », alors que l'attestation engage l'organisation et se renouvelle chaque année. Un contrôle coché mais non maintenu devient une fausse déclaration au prochain cycle.
- Impact : une attestation inexacte, ou absente, coûte l'admissibilité à des contrats de la Défense, et l'écart se découvre souvent au pire moment, quand un appel d'offres est déjà ouvert.
- Action : traitez le Niveau 1 comme un socle permanent, pas comme un formulaire. Documentez le périmètre, la preuve de chaque exigence, et un responsable clair qui maintient l'ensemble entre deux attestations.
Prenez de l'avance
Le programme est récent, et c'est précisément l'occasion. Les fournisseurs qui atteignent le Niveau 1 maintenant, proprement et de façon vérifiable, se positionnent devant ceux qui attendront la première exigence contractuelle pour s'y intéresser.
Faites le point
Avant toute démarche, situez votre point de départ. Notre diagnostic gratuit de préparation au PCCC (Niveau 1) parcourt les 13 exigences ci-dessus, calcule un score de préparation et met en évidence vos priorités par famille. Aucune inscription, aucune donnée transmise : tout est calculé dans votre navigateur.
Une fois vos écarts visibles, notre page Préparez votre certification PCCC explique comment la plateforme et l'accompagnement FortaRisks les transforment en plan priorisé, centralisent la preuve et maintiennent votre attestation exacte toute l'année. Le Niveau 1 n'est pas un obstacle insurmontable : c'est une hygiène de sécurité documentée et tenue dans le temps. Ce guide ne remplace pas les procédures officielles du gouvernement du Canada, mais il vous montre précisément par où commencer.