Aller au contenu
FortaRisks
Tous les outilsCertification · PCCC Niveau 1

Diagnostic de préparation au PCCC (Niveau 1)

Évaluez votre préparation à l'auto-attestation PCCC Niveau 1, et repartez avec vos priorités.

≈ 5 minutes · sans inscription

Le Programme canadien de certification en cybersécurité (PCCC) devient une condition pour les contrats de la Défense. Répondez aux 13 énoncés ci-dessous, tirés des exigences ITSP.10.171 du Niveau 1 : tout est calculé dans votre navigateur, aucune réponse n'est enregistrée.

Répondez à chaque énoncé selon votre situation réelle. Votre score et vos priorités s'affichent instantanément dans votre navigateur. Aucune donnée n'est transmise.

Progression0 / 13 répondu

1.Contrôle d'accès

Vous tenez un inventaire des comptes et vous les créez, désactivez et révisez au fil des arrivées et des départs.

Vous tenez un inventaire des comptes et vous les créez, désactivez et révisez au fil des arrivées et des départs.

Les accès aux systèmes et à l'information contractuelle sont limités aux personnes autorisées, selon le moindre privilège par rôle.

Les accès aux systèmes et à l'information contractuelle sont limités aux personnes autorisées, selon le moindre privilège par rôle.

L'usage de systèmes externes (infonuagique, appareils personnels) pour les travaux fédéraux est restreint aux systèmes approuvés.

L'usage de systèmes externes (infonuagique, appareils personnels) pour les travaux fédéraux est restreint aux systèmes approuvés.

Un processus contrôle l'information fédérale avant toute publication sur des sites accessibles au public.

Un processus contrôle l'information fédérale avant toute publication sur des sites accessibles au public.

2.Identification et authentification

Chaque utilisateur possède un identifiant unique et son identité est vérifiée avant l'octroi d'un accès.

Chaque utilisateur possède un identifiant unique et son identité est vérifiée avant l'octroi d'un accès.

Seuls les appareils connus et autorisés peuvent se connecter aux systèmes qui traitent l'information en périmètre.

Seuls les appareils connus et autorisés peuvent se connecter aux systèmes qui traitent l'information en périmètre.

L'authentification multifacteur est exigée avant d'accéder aux systèmes, de préférence par des méthodes résistantes à l'hameçonnage.

L'authentification multifacteur est exigée avant d'accéder aux systèmes, de préférence par des méthodes résistantes à l'hameçonnage.

3.Protection des supports

Les supports (disques, clés USB, documents papier) sont assainis ou détruits avant élimination ou réutilisation, selon une procédure documentée.

Les supports (disques, clés USB, documents papier) sont assainis ou détruits avant élimination ou réutilisation, selon une procédure documentée.

4.Protection physique

Une liste des personnes autorisées à accéder aux installations qui traitent l'information en périmètre est tenue à jour.

Une liste des personnes autorisées à accéder aux installations qui traitent l'information en périmètre est tenue à jour.

Les accès physiques sont contrôlés et les visiteurs sont escortés et consignés (registres, badges).

Les accès physiques sont contrôlés et les visiteurs sont escortés et consignés (registres, badges).

5.Protection des systèmes et des communications

Les communications sont surveillées et contrôlées aux frontières du réseau (pare-feu, segmentation, VPN).

Les communications sont surveillées et contrôlées aux frontières du réseau (pare-feu, segmentation, VPN).

6.Intégrité des systèmes et de l'information

Les failles sont identifiées, suivies et corrigées en temps voulu (correctifs appliqués sous une trentaine de jours).

Les failles sont identifiées, suivies et corrigées en temps voulu (correctifs appliqués sous une trentaine de jours).

Une protection contre le code malveillant (antivirus ou EDR) est déployée et tenue à jour sur les postes et les serveurs.

Une protection contre le code malveillant (antivirus ou EDR) est déployée et tenue à jour sur les postes et les serveurs.

Répondez à tous les énoncés pour afficher votre score.

FAQ

Qu'est-ce que le PCCC ?

Le Programme canadien de certification en cybersécurité (PCCC, en anglais CPCSC) est le programme fédéral qui exige des fournisseurs de la Défense qu'ils démontrent un niveau de cybersécurité pour protéger l'information contractuelle non classifiée. Il s'appuie sur la norme ITSP.10.171, l'équivalent canadien du NIST SP 800-171 révision 3.

Qui doit se certifier ?

Les organisations de la chaîne d'approvisionnement de la Défense (MDN) et leurs sous-traitants qui manipulent de l'information contractuelle fédérale. Le niveau requis est précisé dans l'appel d'offres ; le Niveau 1 est le socle attendu de la plupart des fournisseurs.

Quelle est la différence entre les niveaux ?

Le Niveau 1 repose sur une auto-évaluation annuelle des 13 exigences, sans évaluateur tiers. Le Niveau 2 exige une évaluation externe par un organisme accrédité, et le Niveau 3, une évaluation menée par le gouvernement du Canada. Ce diagnostic couvre le Niveau 1.

À partir de quand est-ce obligatoire ?

Le Niveau 1 a été lancé officiellement en avril 2026 et devient une condition d'admissibilité pour les contrats de la Défense visés à compter de l'été 2026. L'attestation se fait annuellement, notamment via le profil AchatsCanada (Canada Buys).

Ce diagnostic remplace-t-il l'auto-attestation officielle ?

Non. C'est un outil indicatif pour situer votre préparation et prioriser vos actions. L'auto-attestation officielle du Niveau 1 suit les procédures du gouvernement du Canada ; pour le Niveau 2 et plus, un organisme accrédité intervient.