Préparez votre certification PCCC avec FortaRisks
Le Programme canadien de certification en cybersécurité devient obligatoire pour les fournisseurs de la Défense. Évaluez vos écarts, montez au niveau requis et gardez votre attestation valide, sans y épuiser vos équipes.
13
exigences à l'auto-évaluation Niveau 1
2026
obligatoire pour les contrats de la Défense
ITSP.10.171
la norme sous-jacente (≈ NIST SP 800-171 r3)
Qu'est-ce que le PCCC ?
Le Programme canadien de certification en cybersécurité (PCCC, en anglais CPCSC) est le cadre fédéral qui oblige les fournisseurs de la Défense à démontrer un niveau de cybersécurité pour protéger l'information contractuelle non classifiée. Il s'appuie sur la norme ITSP.10.171 du Centre canadien pour la cybersécurité, l'équivalent canadien du NIST SP 800-171 révision 3, soit 97 contrôles répartis en 17 familles.
Concrètement, le niveau exigé apparaît désormais dans les appels d'offres de la Défense. Sans l'attestation correspondante, une organisation perd son admissibilité. Le programme étant tout récent, les fournisseurs qui s'y préparent dès maintenant prennent une avance nette sur leurs concurrents.
Trois niveaux, un point de départ
Le niveau requis dépend de la sensibilité de l'information manipulée. La plupart des fournisseurs commencent au Niveau 1.
- Niveau 1
Auto-évaluation annuelle
13 exigences tirées de 6 familles ITSP.10.171, en auto-attestation, sans évaluateur tiers. Le socle attendu de la majorité des fournisseurs, lancé en avril 2026.
- Niveau 2
Évaluation externe
L'ensemble des contrôles ITSP.10.171, vérifié tous les trois ans par un organisme de certification accrédité, avec une affirmation annuelle.
- Niveau 3
Évaluation gouvernementale
Les exigences les plus élevées, avec une évaluation menée par le gouvernement du Canada, pour l'information la plus sensible.
L'échéancier 2026
Avril 2026
Lancement du Niveau 1
Le gouvernement du Canada publie les critères du Niveau 1 et ouvre l'auto-attestation.
Été 2026
Premières exigences dans les contrats
Le Niveau 1 devient une condition d'admissibilité pour les appels d'offres de la Défense visés.
2026 à 2027
Montée en charge
Le programme s'étend à davantage de contrats et prépare la mise en œuvre des Niveaux 2 et 3.
Chaque année
Réattestation
L'attestation se renouvelle annuellement : les contrôles doivent rester en place et documentés.
Comment FortaRisks vous mène à l'attestation
La plateforme FortaRisks structure votre préparation, et nos experts vous accompagnent jusqu'à l'attestation et à son maintien dans le temps.
Analyse d'écarts guidée
Nous mappons votre posture aux 13 exigences du Niveau 1, et à l'ensemble ITSP.10.171 pour le Niveau 2, puis priorisons les écarts par effort et par impact.
Preuve et suivi continus
La plateforme centralise la preuve de chaque contrôle et surveille les dérives, pour que votre attestation reste exacte toute l'année, pas seulement le jour de la signature.
Périmètre et documentation
Nous vous aidons à établir la justification du périmètre, le schéma réseau et l'inventaire des actifs attendus lors de l'auto-attestation.
Accompagnement expert
Nos spécialistes vous guident de la remédiation à l'attestation, et préparent le chemin vers le Niveau 2 quand vos contrats l'exigeront.
Où en êtes-vous, vraiment ?
Répondez à 13 questions et obtenez votre score de préparation au Niveau 1, avec vos priorités. Gratuit, sans inscription, tout reste dans votre navigateur.
PCCC ou CMMC : quelle différence ?
Le PCCC est l'équivalent canadien du programme américain CMMC. Les deux protègent l'information de défense, mais relèvent de juridictions et de normes distinctes.
| PCCC (Canada) | CMMC (États-Unis) | |
|---|---|---|
| Juridiction | Contrats fédéraux de la Défense au Canada | Contrats du Département de la Défense (DoD) américain |
| Norme technique | ITSP.10.171 (≈ NIST SP 800-171 r3) | NIST SP 800-171 et 800-172 |
| Niveaux | 3 niveaux, de l'auto-évaluation à l'évaluation gouvernementale | 3 niveaux, de l'auto-évaluation à l'évaluateur tiers (C3PAO) |
| Niveau d'entrée | Auto-attestation annuelle sur 13 exigences | Auto-évaluation annuelle sur 15 exigences |
Passez à l'action
Diagnostic de préparation au PCCC (Niveau 1)
Répondez aux 13 questions du Niveau 1 et obtenez votre score de préparation, avec vos priorités par famille. Sans inscription.
Faire le diagnosticGuide : la certification PCCC Niveau 1 pour les fournisseurs de la Défense
Le guide du Niveau 1 pour les fournisseurs de la Défense : les 13 exigences, ce qu'il faut préparer, et par où commencer.
Lire l'articleVoyez votre vrai risque en 30 minutes de démo.
Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.
Questions fréquentes
Le PCCC me concerne-t-il ?
Si votre organisation vend, directement ou en sous-traitance, à la Défense canadienne et manipule de l'information contractuelle fédérale, oui. Le niveau exigé est précisé dans l'appel d'offres ; le Niveau 1 est le socle de la plupart des fournisseurs.
Combien de temps pour être prêt au Niveau 1 ?
Pour une PME dont l'hygiène de sécurité est correcte, de quelques semaines à quelques mois selon les écarts. Le diagnostic gratuit vous donne une première estimation, et notre analyse d'écarts précise le plan.
Faut-il un évaluateur tiers ?
Pas au Niveau 1 : c'est une auto-évaluation attestée annuellement. Le Niveau 2 requiert un organisme de certification accrédité, et le Niveau 3, le gouvernement du Canada.
Sommes-nous concernés si nous sommes seulement sous-traitants ?
Souvent oui. L'exigence se répercute dans la chaîne d'approvisionnement : un donneur d'ordre certifié demandera à ses sous-traitants qui manipulent l'information visée d'être conformes au niveau requis.
En quoi FortaRisks aide-t-il concrètement ?
Nous évaluons vos écarts face à ITSP.10.171, centralisons la preuve, surveillons les dérives et vous accompagnons jusqu'à l'attestation, puis à son maintien annuel et à la montée vers le Niveau 2.