Blog > PCCC

Nouvelle certification de cybersécurité canadienne PCCC : ce que vous devez savoir

Depuis le 12 mars 2025, le Canada a mis en vigueur le Programme canadien de certification en cybersécurité (PCCC) pour renforcer la sécurité de la chaîne d'approvisionnement de la défense nationale. Cette certification est inspirée du CMMC américain et repose sur les standards NIST 800-171 Rev3 et NIST 800-172.

 

PCCC : une certification obligatoire pour les fournisseurs de la défense canadienne

Toutes les entreprises souhaitant collaborer avec le Département de la Défense nationale (DND), qu'elles soient canadiennes ou étrangères, devront obtenir la certification PCCC.

L'obligation s'applique au contractant principal et à ses sous-traitants, suivant un modèle de transmission des exigences similaire à celui du CMMC (flow-down).

 

CI : la terminologie canadienne pour les données sensibles

Contrairement au CMMC, qui utilise les termes CUI (Controlled Unclassified Information) et FCI (Federal Contract Information), le PCCC adopte la notion de Controlled Information (CI). Cela inclut :

  • Protégé A

  • Protégé B

  • Informations du Programme des marchandises contrôlées

 

Trois niveaux de certification PCCC

Comme son homologue américain, PCCC comporte trois niveaux :

  • PCCC Niveau 1   

  • PCCC Niveau 2 

  • PCCC Niveau 3 

 

Différence entre CMMC et PCCC : les standards utilisés

  • CMMC 2.0 est basé sur NIST 800-171 Rev2

  • PCCC est basé sur NIST 800-171 Rev3

Le Canada a adopté la version la plus récente du NIST 800-171, alors que les États-Unis utilisent encore une version antérieure.

 

NIST 800-171 Rev2 vs Rev3 : quelles différences ?

  • Rev2 (CMMC) comporte 14 domaines de cybersécurité

  • Rev3 (PCCC) comporte 17 domaines de cybersécurité

Si vous êtes déjà conformes à CMMC, vous devrez intégrer ces trois nouveaux domaines pour être conformes à PCCC. (Pour en savoir plus, consultez cet article.)

 

ITSP.10.171 : le standard canadien basé sur NIST 800-171 Rev3

Le Canada a développé son propre référentiel de cybersécurité, ITSP.10.171, qui sera officiellement publié prochainement. Vous pouvez demander une copie PDF à : partnerships-partenariats@cyber.gc.ca.

 

Phase 1 : la priorité est d'obtenir PCCC Niveau 1

Lors de la première phase de mise en œuvre, la Défense nationale exige que tous ses fournisseurs commencent par le PCCC Niveau 1, avant de progresser si nécessaire.

 

Une certification adaptée à l'évaluation des risques

Contrairement à CMMC, qui se base sur le type de données accédées, le Canada adopte une approche basée sur les risques. Votre niveau de certification sera déterminé par une évaluation du risque associé à votre activité. Cette méthodologie est encore en cours de définition.

 

Auto-évaluation ou certification tierce : comment se faire certifier ?

  • PCCC Niveau 1 : auto-évaluation annuelle

  • PCCC Niveau 2 : évaluation par un organisme de certification accrédité (3PAO, équivalent du C3PAO du CMMC)

  • PCCC Niveau 3 : audit réalisé par la Défense nationale canadienne

 

Pas d'équivalence automatique entre CMMC et PCCC

Si vous êtes fournisseur à la fois du DoD (Département de la Défense américaine) et du DND (Défense nationale canadienne), vous devrez obtenir les deux certifications.

Cependant, une reconnaissance de CMMC par le Canada est à l'étude sous certaines conditions :

  • Les infrastructures de stockage (enclaves) doivent être les mêmes

  • Les utilisateurs accédant aux données doivent être les mêmes

Nous vous tiendrons informés des avancées sur cette équivalence potentielle.

 

Quelle certification choisir ?

Votre choix doit être motivé par vos objectifs commerciaux :

  • Si le DoD est votre principal client : obtenez CMMC

  • Si le DND est votre principal client : obtenez PCCC

  • Si vous travaillez avec les deux : obtenez CMMC et PCCC en veillant à aligner leur portée pour une reconnaissance potentielle.

 

Comment StreamScan peut vous aider ?

StreamScan, expert en cybersécurité de la Défense, accompagne les entreprises dans leur mise en conformité aux normes NIST 800-171, CMMC et PCCC. En tant que Registered Provider Organization (RPO) CMMC, nous sommes autorisés à guider les organisations dans leur démarche.

Contactez-nous pour discuter de votre stratégie de certification :

  • Téléphone : +1 877-208-9040

  • Email : info@streamscan.ai ou via ce formulaire.