Aller au contenu
FortaRisks
Solutions
Certification · Défense · Canada

Préparez votre certification PCCC avec FortaRisks

Le Programme canadien de certification en cybersécurité devient obligatoire pour les fournisseurs de la Défense. Évaluez vos écarts, montez au niveau requis et gardez votre attestation valide, sans y épuiser vos équipes.

13

exigences à l'auto-évaluation Niveau 1

2026

obligatoire pour les contrats de la Défense

ITSP.10.171

la norme sous-jacente (≈ NIST SP 800-171 r3)

Le programme

Qu'est-ce que le PCCC ?

Le Programme canadien de certification en cybersécurité (PCCC, en anglais CPCSC) est le cadre fédéral qui oblige les fournisseurs de la Défense à démontrer un niveau de cybersécurité pour protéger l'information contractuelle non classifiée. Il s'appuie sur la norme ITSP.10.171 du Centre canadien pour la cybersécurité, l'équivalent canadien du NIST SP 800-171 révision 3, soit 97 contrôles répartis en 17 familles.

Concrètement, le niveau exigé apparaît désormais dans les appels d'offres de la Défense. Sans l'attestation correspondante, une organisation perd son admissibilité. Le programme étant tout récent, les fournisseurs qui s'y préparent dès maintenant prennent une avance nette sur leurs concurrents.

Trois niveaux, un point de départ

Le niveau requis dépend de la sensibilité de l'information manipulée. La plupart des fournisseurs commencent au Niveau 1.

  • Niveau 1

    Auto-évaluation annuelle

    13 exigences tirées de 6 familles ITSP.10.171, en auto-attestation, sans évaluateur tiers. Le socle attendu de la majorité des fournisseurs, lancé en avril 2026.

  • Niveau 2

    Évaluation externe

    L'ensemble des contrôles ITSP.10.171, vérifié tous les trois ans par un organisme de certification accrédité, avec une affirmation annuelle.

  • Niveau 3

    Évaluation gouvernementale

    Les exigences les plus élevées, avec une évaluation menée par le gouvernement du Canada, pour l'information la plus sensible.

L'échéancier 2026

  1. Avril 2026

    Lancement du Niveau 1

    Le gouvernement du Canada publie les critères du Niveau 1 et ouvre l'auto-attestation.

  2. Été 2026

    Premières exigences dans les contrats

    Le Niveau 1 devient une condition d'admissibilité pour les appels d'offres de la Défense visés.

  3. 2026 à 2027

    Montée en charge

    Le programme s'étend à davantage de contrats et prépare la mise en œuvre des Niveaux 2 et 3.

  4. Chaque année

    Réattestation

    L'attestation se renouvelle annuellement : les contrôles doivent rester en place et documentés.

Notre accompagnement

Comment FortaRisks vous mène à l'attestation

La plateforme FortaRisks structure votre préparation, et nos experts vous accompagnent jusqu'à l'attestation et à son maintien dans le temps.

  • Analyse d'écarts guidée

    Nous mappons votre posture aux 13 exigences du Niveau 1, et à l'ensemble ITSP.10.171 pour le Niveau 2, puis priorisons les écarts par effort et par impact.

  • Preuve et suivi continus

    La plateforme centralise la preuve de chaque contrôle et surveille les dérives, pour que votre attestation reste exacte toute l'année, pas seulement le jour de la signature.

  • Périmètre et documentation

    Nous vous aidons à établir la justification du périmètre, le schéma réseau et l'inventaire des actifs attendus lors de l'auto-attestation.

  • Accompagnement expert

    Nos spécialistes vous guident de la remédiation à l'attestation, et préparent le chemin vers le Niveau 2 quand vos contrats l'exigeront.

Où en êtes-vous, vraiment ?

Répondez à 13 questions et obtenez votre score de préparation au Niveau 1, avec vos priorités. Gratuit, sans inscription, tout reste dans votre navigateur.

Lancer le diagnostic PCCC

PCCC ou CMMC : quelle différence ?

Le PCCC est l'équivalent canadien du programme américain CMMC. Les deux protègent l'information de défense, mais relèvent de juridictions et de normes distinctes.

PCCC (Canada)CMMC (États-Unis)
JuridictionContrats fédéraux de la Défense au CanadaContrats du Département de la Défense (DoD) américain
Norme techniqueITSP.10.171 (≈ NIST SP 800-171 r3)NIST SP 800-171 et 800-172
Niveaux3 niveaux, de l'auto-évaluation à l'évaluation gouvernementale3 niveaux, de l'auto-évaluation à l'évaluateur tiers (C3PAO)
Niveau d'entréeAuto-attestation annuelle sur 13 exigencesAuto-évaluation annuelle sur 15 exigences

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.

Questions fréquentes

Le PCCC me concerne-t-il ?

Si votre organisation vend, directement ou en sous-traitance, à la Défense canadienne et manipule de l'information contractuelle fédérale, oui. Le niveau exigé est précisé dans l'appel d'offres ; le Niveau 1 est le socle de la plupart des fournisseurs.

Combien de temps pour être prêt au Niveau 1 ?

Pour une PME dont l'hygiène de sécurité est correcte, de quelques semaines à quelques mois selon les écarts. Le diagnostic gratuit vous donne une première estimation, et notre analyse d'écarts précise le plan.

Faut-il un évaluateur tiers ?

Pas au Niveau 1 : c'est une auto-évaluation attestée annuellement. Le Niveau 2 requiert un organisme de certification accrédité, et le Niveau 3, le gouvernement du Canada.

Sommes-nous concernés si nous sommes seulement sous-traitants ?

Souvent oui. L'exigence se répercute dans la chaîne d'approvisionnement : un donneur d'ordre certifié demandera à ses sous-traitants qui manipulent l'information visée d'être conformes au niveau requis.

En quoi FortaRisks aide-t-il concrètement ?

Nous évaluons vos écarts face à ITSP.10.171, centralisons la preuve, surveillons les dérives et vous accompagnons jusqu'à l'attestation, puis à son maintien annuel et à la montée vers le Niveau 2.