CPCSC contre CMMC : comparer le Canada et les États-Unis

Par Rodrigo Lamadrid 11 juillet, 2026

La certification CMMC et le CPCSC sont les deux sigles que vous connaissez probablement déjà si votre entreprise vend à la fois sur les marchés de la défense canadien et américain.

Les deux programmes partagent le même ADN technique, mais ils ne sont pas identiques. Dans cet article, nous expliquons ce qu’exige réellement le CMMC, comment ses niveaux se comparent directement à ceux du CPCSC, et comment déterminer quelle certification votre organisation doit obtenir avant votre prochaine échéance contractuelle.

Nous verrons également comment Mindsec peut vous aider à vous conformer à l’un ou l’autre de ces cadres (ou aux deux), grâce à notre plateforme d’automatisation de la conformité et à notre technologie de correspondance croisée entre cadres normatifs.

Si vous vendez déjà sur le marché américain de la défense aujourd’hui, sachez que les places d’évaluateurs se remplissent rapidement. Attendre ne rendra pas l’évaluation éventuelle plus facile ni moins chère.

Qu’est-ce que le CMMC?

Le programme Cybersecurity Maturity Model Certification (CMMC) est le cadre du département américain de la Défense qui permet de vérifier que les entrepreneurs mettent bel et bien en œuvre les mesures de sécurité qu’ils affirment avoir en place, plutôt que de se fier uniquement à leur parole.

Qu’est-ce qu’une certification CMMC en termes assez simples? C’est une preuve, vérifiée par un tiers indépendant, qu’un entrepreneur de la défense fait réellement ce qu’il prétend faire sur papier. Ni plus, ni moins.

Le DoD l’a introduit en 2020, l’a révisé en une version simplifiée à trois niveaux (CMMC 2.0) en novembre 2021, puis a finalisé l’ensemble du programme par règlement fédéral entre 2024 et 2025.

La règle finale du CMMC (32 CFR Part 170) est entrée en vigueur le 16 décembre 2024, et la règle d’acquisition DFARS correspondante (48 CFR) a permis l’ajout de clauses contractuelles à partir du 10 novembre 2025, amorçant un déploiement progressif de trois ans.

Vous verrez peut-être aussi l’appellation « Department of War » dans du matériel récent du programme. En vertu du décret présidentiel 14347, il s’agit désormais d’un second nom pour la même agence. Les exigences et les clauses elles-mêmes n’ont donc pas changé.

Les niveaux du CMMC

Un modèle de maturité en cybersécurité ne fonctionne que s’il correspond au risque réel. La certification CMMC y parvient grâce à trois niveaux, une structure proche de ce que serait un modèle de maturité cyber plus simple s’il était conçu aujourd’hui à partir de zéro :

  • Niveau 1 (Fondamental) : 17 pratiques de base issues de la clause FAR 52.204-21, couvrant les informations sur les contrats fédéraux (FCI). Autoévaluation annuelle, avec attestation de conformité par un responsable désigné dans le Supplier Performance Risk System (SPRS).
  • Niveau 2 (Avancé) : les 110 exigences du NIST SP 800-171, pour les entrepreneurs qui traitent des renseignements non classifiés contrôlés (CUI). La plupart des contrats exigent une évaluation par un organisme tiers autorisé (C3PAO). Certains contrats permettent l’autoévaluation.
  • Niveau 3 (Expert) : le niveau 2, plus 24 exigences renforcées du NIST SP 800-172, réservé aux programmes à risque le plus élevé. Évalué directement par le DIBCAC de la Defense Contract Management Agency.

Ces niveaux de conformité CMMC s’appuient les uns sur les autres, de la même façon que ceux du CPCSC : rien de ce que vous accomplissez au niveau 1 n’est perdu lorsqu’un contrat exige le niveau 2 ou 3. Les niveaux de maturité en cybersécurité qui en résultent reflètent directement la sensibilité des renseignements en jeu dans un contrat donné.

Exigences du CMMC et échéancier de certification

Encore une fois, les exigences fondamentales du CMMC dépendent entièrement du type de renseignements en cause, pas de la taille de l’entreprise ni de son secteur d’activité précis. L’échéancier de la certification CMMC se déroule en plusieurs phases distinctes, chacune étalée sur environ un an :

La phase 1 s’étend du 10 novembre 2025 jusqu’au 9 novembre 2026 : le DoD se concentre surtout et principalement sur les autoévaluations de niveaux 1 et 2, avec la possibilité formelle d’exiger une évaluation complète par un C3PAO accrédité pour certains contrats spécifiques.

La phase 2 débute le 10 novembre 2026, lorsque les exigences de certification tierce de niveau 2 commencent à apparaître largement dans les appels d’offres applicables, le niveau 3 suivant selon la capacité du DIBCAC.

D’ici le 31 octobre 2026, chaque nouveau contrat du DoD impliquant des FCI ou des CUI devrait clairement indiquer une exigence CMMC précise et spécifique. D’ici le 10 novembre 2028, le programme s’appliquera à tous les contrats, sous-contrats et périodes d’option, partout au DoD.

Ce que coûte vraiment un certificat CMMC

Un certificat CMMC de niveau 2, une fois obtenu par la voie d’une certification CMMC complète, n’est pas un simple exercice administratif. Les frais d’évaluation C3PAO seuls varient de 20 000 à 40 000 $ US pour les petites et moyennes organisations. Les coûts totaux, incluant la préparation, la remédiation et les attestations annuelles, atteignent environ 105 000 à 118 000 $ US.

La capacité des évaluateurs constitue le véritable goulot d’étranglement. Moins de 100 C3PAO autorisés desservent actuellement environ 80 000 organisations qui auront éventuellement besoin d’une certification de niveau 2. Plusieurs évaluateurs sont déjà complets jusqu’à la fin de 2026.

Des analystes de l’industrie prévoient que de 15 à 20 % de la base industrielle de la défense américaine (entre 33 000 et 44 000 entreprises) pourrait quitter complètement ce marché entre 2025 et 2027, simplement parce que les coûts de conformité dépassent la valeur des contrats en jeu.

Comment le CPCSC se compare au cadre CMMC

Le cadre CMMC sous-jacent et la norme canadienne ITSP.10.171 reposent sur le même fondement technique : le NIST SP 800-171 et le 800-172. C’est exactement pour cette raison que la certification CMMC et le CPCSC sont si souvent confondus l’un avec l’autre.

  • Les deux utilisent une structure à trois niveaux fondée sur le risque, chaque niveau s’appuyant sur le précédent plutôt que de le remplacer.
  • Les deux reposent largement sur le même ensemble de contrôles techniques. Une entreprise qui respecte déjà les contrôles CMMC de niveau 2 a donc accompli la majeure partie du travail exigé par le CPCSC de niveau 2.
  • Les deux fonctionnent comme des seuils contractuels : pas de certification, pas d’admissibilité, sans exception une fois qu’un appel d’offres nomme un niveau précis.
  • Ils diffèrent par l’échelle et la maturité. Le CMMC couvre une base industrielle de la défense environ dix fois plus grande que celle du Canada, un écart considérable qui se reflète directement dans la pratique quotidienne des fournisseurs, avec un écosystème d’évaluateurs proportionnellement plus tendu.
  • Ils diffèrent par le droit applicable et la terminologie : le CPCSC utilise « information désignée » et relève du Conseil du Trésor du Canada, tandis que le CMMC utilise « CUI » et relève du DFARS et de la Federal Acquisition Regulation américaine.
  • Le CPCSC est plus récent et moins mature : son niveau 1 n’est devenu accessible qu’en avril 2026. Le CMMC, lui, a déjà traversé un cycle réglementaire complet et des années d’expérience auprès des entrepreneurs.

Des contrats des deux côtés de la frontière nomment déjà des niveaux précis, et les échéanciers de certification CMMC en particulier laissent peu de place à un départ lent une fois qu’un appel d’offres avec une échéance stricte atterrit sur votre bureau.

La sécurité CMMC en pratique : ce que vérifient réellement les évaluateurs

Un C3PAO qui mène une évaluation de niveau 2 ne se contente pas de confirmer que vous avez acheté les bons outils de sécurité pour la tâche. Une bonne pratique de sécurité CMMC signifie que ces outils fonctionnent au sein d’un programme gouverné, documenté et surveillé en continu, et non d’un simple déploiement configuré une fois puis laissé à lui-même.

Les 17 familles d’exigences cyber du CMMC présentes dans le NIST SP 800-171 vont bien au-delà de la technologie : planification, sécurité du personnel, évaluation des risques et gestion du risque lié à la chaîne d’approvisionnement, des domaines où les lacunes de gouvernance, et non l’absence de logiciels, causent la majorité des échecs d’évaluation en pratique aujourd’hui.

Le message pratique pour les équipes de cybersécurité CMMC qui travaillent des deux côtés de la frontière : bâtissez votre ensemble de contrôles une seule fois, en fonction du NIST SP 800-171, puis faites correspondre ces mêmes preuves au niveau de certification (ou au niveau CPCSC) exigé par vos contrats.

Mindsec simplifie cette démarche grâce à nos contrôles prédéfinis et à notre plateforme d’automatisation de la conformité.

Exigences de certification CPCSC contre exigences de certification CMMC

La principale différence pratique entre les exigences de certification CMMC et celles du CPCSC tient surtout à qui vous évalue, et à quelle fréquence exacte ces évaluations reviennent tout au long du cycle de conformité de votre organisation.

Dans les deux cas, il ne s’agit pas d’un exercice ponctuel : une fois obtenue, la certification doit être maintenue activement, avec des preuves à jour et des contrôles qui continuent de fonctionner entre deux évaluations formelles.

Elle suit un cycle de trois ans avec des attestations annuelles au niveau 2, tandis que les évaluations CPCSC de niveau 2 reviennent tous les trois ans par l’entremise d’un organisme accrédité par le Conseil canadien des normes.

Pour les entreprises qui soumissionnent des deux côtés de la frontière, la vraie question est rarement « lequel est le plus difficile ». C’est plutôt « lequel me faut-il pour ce contrat précis, et puis-je réutiliser les mêmes preuves pour les deux, sans dupliquer le même travail de conformité deux fois ».

Quelle certification vous faut-il?

Il n’existe pas de réponse unique. Cela dépend entièrement du gouvernement auquel vous vendez, et si vous vendez aux deux à la fois.

  • Si vous ne soumissionnez que des contrats fédéraux canadiens de défense, le CPCSC est votre cadre. Commencez par le niveau 1 si vous êtes un petit ou moyen fournisseur.
  • Si vous ne soumissionnez que des contrats du département américain de la Défense, obtenir une certification CMMC pour des contrats gouvernementaux américains est votre voie. Déterminez si vos contrats impliquent des FCI ou des CUI avant de supposer votre niveau requis.
  • Si vous vendez sur les deux marchés, bâtissez votre ensemble de contrôles NIST SP 800-171 une seule fois, et traitez le CPCSC et le CMMC comme deux enveloppes de certification autour du même programme sous-jacent, plutôt que comme deux projets de conformité séparés.
  • Dans tous les cas, commencez dès maintenant. La capacité des évaluateurs est limitée des deux côtés de la frontière, et attendre ne fait que réduire votre marge de manœuvre le jour où un contrat exigera un certificat à jour.

Peu importe le gouvernement auquel vous vendez des services de défense, Mindsec simplifie la démarche de conformité pour ces cadres normatifs. Nous décomposons les exigences de ceux-ci, et de dizaines d’autres certifications de sécurité, en contrôles croisés. Toute preuve que vous téléversez pour un seul contrôle compte pour l’ensemble des cadres auxquels il s’applique.

Notre plateforme d’automatisation de la conformité intègre aussi des outils de gestion du risque interne et du risque lié aux tiers, pour des vérifications de sécurité continues et fiables auprès de chaque fournisseur ou sous-traitant avec qui vous faites affaire.

Liste de vérification rapide pour la conformité CMMC

Si vous avez besoin d’une orientation rapide, utilisez cette courte liste de vérification pour la conformité CMMC comme point de départ avant de procéder à une analyse d’écarts complète :

  • Déterminez si vos contrats impliquent uniquement des FCI, ou aussi des CUI, puisque cela détermine votre niveau requis.
  • Faites l’inventaire de chaque système qui touche à ces renseignements. L’expansion incontrôlée de la portée est la principale cause de dépassements de coûts en évaluation.
  • Comparez vos contrôles actuels au NIST SP 800-171 avant de réserver un C3PAO, pas après.
  • Vérifiez si les obligations équivalentes du CPCSC s’appliquent à tout contrat canadien que vous détenez également.
  • Réservez votre évaluateur tôt. La capacité des deux côtés de la frontière est limitée, et elle continue de se resserrer.

Comment Mindsec facilite la conformité au CPCSC et au CMMC

Mindsec est une plateforme d’automatisation de la conformité qui aide les organisations à documenter et à surveiller les contrôles de sécurité exigés à la fois par le CPCSC et le CMMC, avec un soutien pour ISO 27001, NIST CSF et SOC 2. Notre technologie de correspondance croisée, sur une douzaine de cadres additionnels, vous permet de soutenir plusieurs certifications à la fois avec les mêmes preuves.

Réservez une démonstration de 15 minutes pour voir comment Mindsec garde votre organisation prête pour un audit, des deux côtés de la frontière.

Pour un portrait complet du programme canadien à lui seul, consultez : CPCSC : la certification canadienne en cybersécurité pour les fournisseurs de la défense.

Pourquoi caler? Réservez un appel!

Ne laissez pas le respect des règles au hasard ou à la fatalité. Contactez les experts de notre équipe pour répondre à vos doutes et découvrir toutes les façons dont Mindsec peut vous aider.

Réservez un appel