ITSP.10.171 : la nouvelle norme qui bouleverse la cybersécurité des fournisseurs de la Défense canadienne
Imaginez que votre entreprise puisse travailler avec le gouvernement canadien (et plus spécifiquement la Défense canadienne) tout en garantissant que chaque donnée sensible est protégée comme dans une forteresse numérique. C’est exactement ce que permet la norme ITSP.10.171.
Bien que cette norme s’adresse de manière plus générale aux fournisseurs du gouvernement canadien, elle sert surtout de référence pour la certification de cybersécurité pour la Défense canadienne PCCC. Son objectif dans ce contexte : s’assurer que la chaîne d’approvisionnement de la Défense canadienne est bien protégée, pour éviter des dysfonctionnements ou des problèmes de livraison.
Pourquoi ITSP.10.171 est important pour la Défense canadienne
Chaque fournisseur de la Défense canadienne manipule des informations sensibles : données contractuelles, informations techniques, secrets opérationnels, voire des informations liées à la sécurité nationale.
Si ces données ne sont pas correctement protégées, et tombent entre de mauvaises mains, les conséquences peuvent être catastrophiques pour le Canada.
A titre d’exemple: imaginez qu’un fournisseur critique de la Défense canadienne se fasse infecter par un rançongiciel. L’interruption de service chez ledit fournisseur peut aller de 1 semaine à 5 semaines, voire plus. Pendant ce temps, la Défense canadienne ne peut pas être servie. Les conséquences peuvent être majeures pour la sécurité des Canadiennes et Canadiens, surtout en cette période très troublée sur le plan géopolitique.
Le but de la norme canadienne ITSP.10.171 est d’offrir un cadre clair et applicable pour protéger l’information sensible du gouvernement canadien, afin de réduire les risques d’accès non autorisés et leurs conséquences.
On parle de CI au Canada
Au Canada, le terme CUI est remplacé par CI (Controlled Information) qui regroupe les informations de type Protégé A, B et C.
Il ne faut donc pas confondre CUI et CI, car bien qu’elles aient le même niveau de sensibilité, ce ne sont pas les mêmes informations.
Fortement inspirée par le NIST 800-171 Rev3 américain
ITSP.10.171 est fortement inspirée du NIST 800-171 Rev 3 américain, mais adaptée à la réalité canadienne :
Le niveau de certification requis ne dépend pas du type de données que vous avez, mais de votre niveau d’exposition aux cyber risques. Par exemple, Défense Canada envisage que les fournisseurs de services de communications par satellite se certifient PCCC Niveau 3 car se sont des infrastructures critiques. Aux USA, ces entreprises auraient très probablement besoin de se certifier CMMC Niveau 2 s’ils ont uniquement des CUI.
ITSP.10.171 intègre des exigences d’actualité comme la gestion des risques liés à la chaîne d’approvisionnement.
Etc.
ITSP.10.171 est composée de 17 domaines
Voici les 17 domaines de ITSP.10.171. Vous noterez que ce sont les mêmes domaines que le NIST 800-171 Rev 3.
Contrôle d’accès
Sensibilisation et formation
Vérification et responsabilité
Gestion des configurations
Identification et authentification
Intervention en cas d’incident
Maintenance
Protection des supports
Sécurité du personnel
Protection physique
Évaluation des risques
Évaluation de sécurité et surveillance
Protection des systèmes et des communications
Intégrité de l’information et des systèmes
Planification
Acquisition des systèmes et des services
Gestion des risques liés à la chaîne d’approvisionnement
3 domaines de plus que le CMMC Américain
La certification canadienne PCCC est composée des 17 domaines de ITSP.10.171. Si vous êtes déjà conformes aux CMMC américain, il vous restera 3 autres domaines à respecter pour vous conformer à PCCC.
Planification
Acquisition des systèmes et des services
Gestion des risques liés à la chaîne d’approvisionnement
