CPCSC : la certification canadienne en cybersécurité pour les fournisseurs de la défense

Par Rodrigo Lamadrid 10 juillet, 2026

Le CPCSC détermine si votre entreprise est admissible à soumissionner sur des contrats de la Défense nationale, ou à agir comme sous-traitant d’une entreprise qui le fait. Malgré son annonce récente, certaines parties du programme sont déjà en vigueur.

Les entreprises qui l’ignorent risquent de perdre des contrats qu’elles détiennent depuis des années, sans jamais le voir venir.

Annoncé le 14 avril 2026 par le ministre Joël Lightbound, le Programme canadien de certification en cybersécurité (PCCC) s’inscrit dans un engagement de 6,6 milliards de dollars canadiens lié à la Stratégie industrielle de défense du Canada. Le niveau 1 est déjà actif aujourd’hui, avec des exigences qui commencent à apparaître dans certains contrats dès cet été, selon Services publics et Approvisionnement Canada.

Dans cet article, nous expliquons ce qu’il est en termes simples, à qui il s’applique, ce qu’exigent ses trois niveaux de certification, comment il se compare au cadre américain équivalent, et ce que votre organisation devrait faire dès maintenant, avant qu’un appel d’offres ne vous prenne au dépourvu.

Qu’est-ce que le CPCSC?

CPCSC est le sigle anglais du Programme canadien de certification en cybersécurité, aussi appelé PCCC en français. Le gouvernement fédéral le décrit comme la certification en cybersécurité des fournisseurs du secteur de la défense au Canada.

Il est géré par Services publics et Approvisionnement Canada (SPAC), et s’appuie sur des organismes accrédités, des évaluateurs certifiés et une supervision gouvernementale. Il s’applique à toute entreprise de la chaîne d’approvisionnement de la défense qui traite des renseignements contractuels fédéraux ou désignés.

Le programme n’est pas apparu du jour au lendemain. Le budget de 2023 y a consacré 25 millions de dollars sur trois ans. Il a été présenté au public le 12 mars 2025, bien avant que le niveau 1 ne devienne accessible aux fournisseurs le 1er avril 2026.

L’objectif, selon SPAC, est de renforcer la base industrielle de la défense et de soutenir l’interopérabilité avec les alliés, y compris les partenaires du Groupe des cinq.

Qui doit se conformer au CPCSC?

Le CPCSC s’applique aux organisations qui fournissent, ou prévoient fournir, le gouvernement du Canada dans le cadre de contrats de défense. Principalement des entreprises des secteurs de la défense, de l’aérospatiale et des infrastructures connexes.

Cela inclut les petites et moyennes entreprises qui entrent pour la première fois dans la chaîne d’approvisionnement de la défense canadienne, ainsi que les grandes entreprises déjà bien établies avec des antécédents solides et reconnus dans ce secteur précis depuis longtemps.

Le niveau requis dépend uniquement de la sensibilité des renseignements en jeu dans un contrat donné, pas de la taille de l’entreprise elle-même.

Cette distinction est importante : une petite entreprise qui traite des renseignements très sensibles peut se voir exiger un niveau plus élevé qu’une grande entreprise qui ne traite que des renseignements de base.

Les dirigeants responsables du risque, de la conformité et de la croissance des revenus doivent absolument comprendre ce programme spécifique et ses exigences précises, puisque l’absence de certification peut entraîner l’exclusion pure et simple des appels d’offres, peu importe la solidité des pratiques de sécurité déjà en place aujourd’hui.

Les trois niveaux du CPCSC

Le CPCSC s’articule autour de trois niveaux de certification, chacun reflétant un degré de maturité croissant en cybersécurité. Les niveaux s’appuient les uns sur les autres : les contrôles exigés au niveau 1 forment un sous-ensemble du niveau 2, qui forme à son tour un sous-ensemble du niveau 3.

  • Niveau 1 (13 contrôles) : une autoévaluation annuelle par rapport à des exigences de sécurité de base, réalisée à l’aide de l’outil en ligne du gouvernement. Aucun tiers n’est requis. C’est le point de départ pour la plupart des PME canadiennes de la défense.
  • Niveau 2 (98 contrôles) : une évaluation externe menée par un organisme de certification accrédité par le Conseil canadien des normes, accompagnée d’une attestation annuelle, exigée tous les trois ans pour les contrats impliquant des renseignements de défense contrôlés.
  • Niveau 3 (200 contrôles) : le niveau le plus élevé, avec des évaluations menées directement par la Défense nationale, réservé aux travaux les plus sensibles, y compris les systèmes d’armes et les renseignements partagés avec le Groupe des cinq.

Le travail accompli à un niveau n’est jamais perdu lorsque vous passez au suivant sous le CPCSC. Chaque niveau s’appuie sur les preuves et les contrôles déjà documentés et vérifiés, de sorte que rien n’est gaspillé à mesure que votre maturité augmente.

Échéancier du CPCSC : ce qui est actif et ce qui s’en vient

Le déploiement du Programme canadien de certification en cybersécurité (PCCC) se fait en plusieurs phases, plutôt que d’un seul coup, pour laisser aux fournisseurs et au milieu de la cybersécurité le temps de s’adapter.

Le niveau 1 est devenu accessible aux fournisseurs le 1er avril 2026, et ses exigences ont commencé à apparaître dans certains contrats de la Défense nationale dès l’été 2026. L’attestation est exigée au moment de l’attribution du contrat, plutôt que pendant l’appel d’offres.

Le niveau 2 devrait devenir obligatoire pour certains contrats à partir du printemps 2027, une fois que le Conseil canadien des normes aura terminé d’accréditer un bassin d’organismes d’évaluation tiers.

Le niveau 3 suivra à partir d’avril 2027. Les niveaux 1 et 2 pourraient également s’étendre à l’ensemble des contrats de défense du gouvernement du Canada au fil du temps.

Le message à retenir : même si tous les appels d’offres n’exigent pas encore cette certification, il est important de vous familiariser avec les exigences de base du niveau 1 et de les mettre en œuvre, puis d’évoluer à partir de là au besoin.

Le fondement technique : l’ITSP.10.171

Les contrôles derrière le CPCSC proviennent de l’ITSP.10.171, la norme canadienne de sécurité industrielle développée spécifiquement par le Centre canadien pour la cybersécurité (une composante du Centre de la sécurité des télécommunications du Canada).

L’ITSP.10.171 est une adaptation fidèle et rigoureuse du NIST SP 800-171 Révision 3, la même norme américaine qui sous-tend le programme américain Cybersecurity Maturity Model Certification (CMMC), sans changement technique substantiel aux contrôles eux-mêmes.

Les différences sont réglementaires et administratives, pas techniques : le Canada utilise le terme « information désignée » plutôt que « renseignements non classifiés contrôlés ». Le programme relève des politiques du Conseil du Trésor et des lois canadiennes sur la protection de la vie privée, plutôt que de la réglementation fédérale américaine en matière d’approvisionnement gouvernemental et militaire.

Pour une entreprise qui connaît déjà le cadre américain, cette parenté technique représente un avantage réel : la plupart du travail de mise en conformité déjà accompli d’un côté de la frontière se transfère directement de l’autre côté.

Conséquences de la non-conformité

Les entreprises incapables de démontrer le niveau de certification requis par le CPCSC sont exclues des appels d’offres. Pas de certification, pas de contrat.

Il n’y a aucune période de grâce une fois qu’une clause contractuelle exige un niveau donné. Contrairement à certains régimes de conformité, la non-conformité n’entraîne pas une amende, mais la perte de l’admissibilité à des revenus dont votre entreprise peut dépendre.

Comment amorcer votre conformité au CPCSC

  • Confirmez si vos contrats, actuels ou à venir, incluent une clause de certification, et à quel niveau.
  • Commencez par le niveau 1 si vous êtes un petit fournisseur. C’est le chemin le plus rapide vers l’attestation, grâce à l’outil d’autoévaluation.
  • Cartographiez où se trouve l’information désignée avant de délimiter la portée de toute évaluation.
  • Si vos travaux touchent des renseignements de défense contrôlés, commencez dès maintenant à vous préparer pour le niveau 2, étant donné la capacité encore limitée des évaluateurs accrédités.
  • Traitez ce programme comme une opération continue, pas comme un projet ponctuel. Il exige une gouvernance et une surveillance continues pour réussir les audits futurs.

CPCSC contre CMMC

Le CPCSC est souvent décrit comme la réponse canadienne au Cybersecurity Maturity Model Certification (CMMC) américain, et la comparaison est juste :

  • Les deux programmes utilisent les mêmes contrôles techniques, fondés sur les normes du NIST.
  • Les deux fonctionnent comme un seuil strict d’admissibilité aux contrats de défense.
  • Les deux se déploient graduellement par phases, plutôt que d’un seul coup.

Les différences les plus importantes se manifestent dans la disponibilité des évaluateurs, les coûts, et le niveau exigé pour chaque contrat. Ces détails sont faciles à mal interpréter si vous ne connaissez qu’un seul pays et supposez que les deux programmes sont interchangeables (ils ne le sont pas).

Cette confusion coûte cher rapidement aux entreprises qui vendent dans les deux marchés. Se préparer pour le mauvais niveau ou le mauvais type d’évaluateur peut gaspiller des mois d’un travail de conformité par ailleurs utile.

Pour un survol complet de la comparaison entre les deux programmes : niveaux, échéanciers, et quoi faire si vous vendez à la fois sur les marchés canadien et américain de la défense, consultez : CPCSC contre CMMC : comparer le Canada et les États-Unis.

Comment Mindsec vous aide

Mindsec est une plateforme d’automatisation de la conformité qui aide les organisations à documenter, surveiller et produire des preuves pour les contrôles de sécurité exigés par des programmes comme le Programme canadien de certification en cybersécurité (PCCC) ou le CMMC américain.

Notre plateforme prend en charge des dizaines de cadres normatifs, dont ISO 27001, NIST CSF et SOC 2, et notre technologie de correspondance croisée vous permet de vous conformer à plusieurs certifications à la fois, avec les mêmes preuves, en un seul effort.

Envie de voir la plateforme en action ? Réservez une démonstration de 15 minutes pour découvrir comment Mindsec garde votre organisation prête pour un audit, en tout temps, à mesure que les exigences d’approvisionnement en matière de défense évoluent.

Pourquoi caler? Réservez un appel!

Ne laissez pas le respect des règles au hasard ou à la fatalité. Contactez les experts de notre équipe pour répondre à vos doutes et découvrir toutes les façons dont Mindsec peut vous aider.

Réservez un appel