Les critères pour l’autoévaluation du niveau 1 du PCCC sont maintenant disponibles

Les critères pour l'autoévaluation du niveau 1 du Programme canadien de certification en cybersécurité (PCCC) sont désormais accessibles par l'entremise de Services publics et Approvisionnement Canada (SPAC).

Le niveau 1 présente un processus d'autoévaluation structuré conçu pour aider les organismes à évaluer et renforcer leurs pratiques de base en matière de cybersécurité. Cette autoévaluation est obligatoire pour passer au niveau 2 du programme.

Statut du PCCC et prochaines étapes

Même si du matériel de base clé est maintenant disponible, le lancement officiel du PCCC n'a pas encore eu lieu. De plus amples renseignements sur le programme seront communiqués au fur et à mesure.

Rôle du CCN quant aux évaluations du niveau 2

Le Conseil canadien des normes (CCN) jouera un rôle névralgique dans les activités d'évaluation du niveau 2 du cadre du PCCC.
Le processus de demande est en cours d'élaboration et sera prêt pour le lancement du niveau 2.
Cela fait :

• les détails du programme seront publiés sur le site Web du CCN;
• tous les organismes ayant manifesté un intérêt seront avisés de l'accréditation au niveau 2;
• la trousse de demande décrira les critères d'admissibilité, les documents requis et les étapes de l'évaluation;
• la certification sera accordée par l'entremise d'un organisme tiers (C3PAO) muni de l'accréditation du CCN.

La date du lancement sera communiquée une fois que les décisions à cet effet auront été prises et coordonnées avec SPAC et la direction du programme.

Questions et soutien supplémentaire

Pour obtenir un complément d'information sur les exigences du niveau 1, s'adresser directement à SPAC à l'adresse [email protected].
Pour toute question sur l'accréditation au niveau 2, les exigences ou le processus de demande, écrire à l'adresse [email protected].

Le PCCC

Le PCCC est un programme national de certification en cybersécurité à venir dont l'objectif est de solidifier la protection des renseignements confidentiels dans les systèmes non gouvernementaux et d'accroître la résilience en matière de cybersécurité de la chaîne d'approvisionnement du Canada.

La certification obligatoire des contractantes et contractants et des sous-traitantes et sous-traitants du gouvernement du Canada aux exigences en matière de cybersécurité pour des contrats spécifiques de défense renforcera le cadre de cybersécurité industriel de base de la défense canadienne au profit de la dissuasion, de l'hygiène, de la défense et de la résilience. En réduisant le risque de corruption de la confidentialité, de l'intégrité et de la disponibilité des données contractuelles fédérales non classifiées qui sont hébergées à l'extérieur de l'écosystème du gouvernement fédéral, les intérêts économiques et de sécurité nationale du Canada seront mieux protégés.
Le cadre du PCCC se décline en 3 niveaux de certification progressifs

Niveau 1 : Les organismes doivent effectuer une autoévaluation annuelle de la cybersécurité pour établir des critères de base de conformité avec les mesures de contrôle de la sécurité définies.
Niveau 2 : Un organisme de certification accrédité (C3PAO) doit mener une évaluation externe de la cybersécurité et fournir une validation indépendante des mesures de contrôle mises en œuvre.
Niveau 3 : La Défense nationale doit directement effectuer une évaluation de la cybersécurité pour les environnements aux risques les plus élevés, y compris les systèmes confidentiels liés à la défense et à l'intelligence.

Pour plus de détails, consulter le communiqué publié le 12 mars 2025.