Atteignez la conformité CPCSC : prouvez la conformité de votre supply chain de défense en toute simplicité
Le CPCSC est la certification en cybersécurité obligatoire du Canada pour les fournisseurs de la défense qui traitent des informations gouvernementales sensibles non classifiées. Géré par Services publics et Approvisionnement Canada, le programme impose une certification selon trois niveaux : Niveau 1 (13 contrôles, autoévaluation, exigée dans certains contrats de défense à partir de l’été 2026), Niveau 2 (98 contrôles, évaluation par un tiers tous les trois ans et attestation annuelle), et Niveau 3 (200 contrôles, évaluation par le gouvernement du Canada tous les trois ans et attestation annuelle). Les niveaux 2 et 3 sont actuellement en cours d’élaboration et seront mis en œuvre progressivement. La norme sous-jacente, ITSP.10.171, est une adaptation canadienne du NIST SP 800-171, développée par le Centre canadien pour la cybersécurité. Les fournisseurs de la défense qui ne peuvent pas obtenir la certification sont exclus des marchés publics : sans certification, pas de contrat.
Le Réseau de données privé de Kiteworks contribue à la conformité CPCSC grâce à des contrôles ITSP.10.171 préconfigurés, au FIPS 140-3 validé, au chiffrement, à la journalisation d’audit sans limitation et à des options de déploiement au Canada qui garantissent que les informations concernées ne quittent jamais la juridiction canadienne. Kiteworks couvre 80 % des contrôles du niveau 2 d’ITSP.10.171 — 79 sur 98. Les 19 restants relèvent d’exigences organisationnelles, physiques ou procédurales.
Un calendrier resserré, des contrôles complexes, et un enjeu de souveraineté inédit
Les fournisseurs de la défense canadienne doivent se conformer à 98 contrôles répartis en 17 familles d’exigences, intégrer une dimension de souveraineté que le programme américain équivalent n’impose pas, et respecter un calendrier de certification déjà en vigueur. Seuls 46 % des sous-traitants du programme CMMC américain estiment être prêts pour la certification de niveau 2, et 62 % n’ont pas mis en place de contrôles de gouvernance suffisants.
Respectez 98 contrôles de sécurité dans 17 familles d’exigences
Le niveau 2 du CPCSC impose une évaluation tierce tous les trois ans sur 98 contrôles couvrant le contrôle d’accès, l’audit et la traçabilité, l’identification et l’authentification, la protection des systèmes et des communications, ainsi que 13 autres familles. Chaque contrôle inclut des paramètres définis par l’organisation, à spécifier et documenter. Les fournisseurs de la défense doivent prouver l’efficacité des contrôles sur tous les canaux de circulation des informations spécifiées—messagerie électronique, partage sécurisé de fichiers, SFTP, transfert sécurisé de fichiers et formulaires web. Des outils fragmentés génèrent des preuves dispersées et alourdissent la charge d’audit.
Protégez les informations spécifiées sous juridiction canadienne
L’ITSP.10.171 protège les « informations spécifiées »—toute donnée qu’une autorité du gouvernement du Canada identifie comme nécessitant une protection. Ces données doivent rester sous contrôle juridictionnel canadien. Pourtant, 40 % des organisations canadiennes considèrent les évolutions du partage de données Canada–États-Unis comme leur principale préoccupation réglementaire, et 21 % voient dans le CLOUD Act une menace directe pour la souveraineté. Les fournisseurs de la défense utilisant des services cloud multi-locataires basés aux États-Unis font face à un déficit de souveraineté qu’aucun contrat ne peut combler.
Fournissez des preuves auditables aux organismes certificateurs accrédités
Les évaluateurs du niveau 2 du CPCSC exigent des preuves documentées de la mise en œuvre des contrôles—pas de simples déclarations, mais des preuves opérationnelles. Les organisations doivent produire des journaux d’audit complets, démontrer l’application du contrôle d’accès et fournir des preuves de surveillance continue. La collecte manuelle de preuves issues de systèmes fragmentés prend des mois. Un échec retarde la certification, met en péril les contrats et déclenche de nouveaux cycles d’audit.
Comment Kiteworks aide les fournisseurs de la Défense canadienne à obtenir la certification CPCSC
Unifiez les échanges de données sécurisés sous un seul moteur de règles
Kiteworks regroupe la messagerie électronique sécurisée, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, le SFTP, les formulaires web, les API et les intégrations IA sous une architecture de gouvernance unique. Le Data Policy Engine applique des contrôles d’accès basés sur les rôles et les attributs, de façon cohérente sur tous les canaux. Huit rôles administratifs par défaut garantissent la séparation des tâches avec des droits minimaux par défaut. L’intégration avec LDAP, Active Directory, SAML 2.0 et Kerberos permet une gestion centralisée des identités avec un provisionnement automatique. L’authentification multifactorielle prend en charge RADIUS, PIV/CAC, OTP basé sur le temps et les authentificateurs d’entreprise.
Faites respecter la souveraineté des données canadiennes par l’architecture
Kiteworks propose un déploiement sur site, en cloud privé dans des centres de données canadiens, ou hybride—associé à une isolation à locataire unique qui élimine les risques liés au multi-tenant. Les clés de chiffrement détenues par le client garantissent que ni Kiteworks ni aucun tiers ne peut accéder à certaines informations sans autorisation du client. Le géorepérage via des contrôles IP configurables impose les frontières juridiques au niveau de l’infrastructure. Les contrôles de souveraineté des données font transiter les informations désignées uniquement par les juridictions canadiennes assignées, selon les attributs LDAP ou SAML.
Générez des preuves prêtes pour l’audit en quelques heures, pas en plusieurs mois
Le journal d’audit de Kiteworks enregistre chaque accès, transfert et décision de politique en temps réel, sans limitation—aucune perte de logs, aucun délai, aucune licence premium. L’intégration SIEM via syslog et Splunk Forwarder natif transmet en continu les preuves aux équipes de sécurité. Les rapports de conformité préconfigurés automatisent la génération de preuves adaptées à chaque référentiel. L’accès aux données d’audit est réservé au rôle Compliance admin—même les administrateurs système ne peuvent pas modifier les enregistrements—ce qui garantit une intégrité infalsifiable répondant aux exigences des auditeurs.
Foire aux questions
Le Programme canadien de certification en cybersécurité (CPCSC) est la certification de cybersécurité obligatoire du Canada pour les fournisseurs de la défense qui manipulent des informations gouvernementales sensibles non classifiées. Il s’applique à toutes les entreprises soumissionnant ou exécutant des contrats de défense impliquant des informations spécifiées. Le niveau 1 (auto-évaluation, 13 contrôles) sera exigé dans certains contrats de défense à partir de l’été 2026. Les niveaux 2 (évaluation triennale par un tiers, 98 contrôles) et 3 (évaluation triennale par le gouvernement du Canada, 200 contrôles) sont en cours de développement et seront introduits progressivement. Sans certification, aucune éligibilité aux contrats n’est possible.
L’ITSP.10.171 est la norme canadienne de cybersécurité qui sous-tend le CPCSC, élaborée par le Centre canadien pour la cybersécurité. Il s’agit d’une adaptation directe du NIST SP 800-171 sans modification technique majeure — seules des adaptations reflétant le contexte réglementaire canadien, notamment une terminologie différente (« informations spécifiées » au lieu de « controlled unclassified information ») et des autorités de régulation distinctes (politiques du Secrétariat du Conseil du Trésor au lieu des directives du NIST). Les organisations déjà engagées dans la certification CMMC américaine constateront que les exigences de contrôle sont identiques sur le plan fonctionnel.
Kiteworks répond à 80 % des contrôles du niveau 2 d’ITSP.10.171 — soit 79 sur 98 — via une plateforme unifiée d’échange sécurisé de données. Parmi les principales fonctions : le moteur de politique de données qui applique le RBAC et l’ABAC contrôle d’accès sur tous les canaux, la journalisation d’audit sans limitation avec intégration SIEM en temps réel, le FIPS 140-3 validé, le chiffrement AES-256 double avec des clés détenues par le client, une appliance virtuelle durcie avec pare-feu intégré et détection d’intrusion, l’authentification multifactorielle, ainsi que des options de déploiement au Canada garantissant la souveraineté des données.
Oui. Puisque l’ITSP.10.171 est techniquement équivalent au NIST SP 800-171, un seul déploiement Kiteworks permet d’obtenir la certification CPCSC pour les contrats canadiens et CMMC pour les contrats DoW américains. Kiteworks est FedRAMP Authorized avec des contrôles NIST 800-171 pré-mappés et fournit des rapports de conformité CMMC 2.0 avec un addendum couvrant les 110 pratiques. La même infrastructure génère les preuves nécessaires pour les organismes de certification CPCSC.
Kiteworks garantit la souveraineté des données au niveau de l’architecture grâce à un déploiement sur site, dans un cloud privé hébergé au Canada ou hybride, avec isolation à locataire unique. Les clés de chiffrement détenues par le client assurent que les informations spécifiées sont chiffrées avec des clés contrôlées uniquement par le client — Kiteworks ne peut pas déchiffrer les données du client. Le géorepérage limite l’accès selon la zone géographique, et les contrôles de souveraineté des données font transiter les informations spécifiées exclusivement par les juridictions canadiennes assignées, selon les attributs LDAP ou SAML.