Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Certification CPCSC : Les fournisseurs de la Défense canadienne sont-ils prêts pour 2026 ?

Certification CPCSC : Les fournisseurs de la Défense canadienne sont-ils prêts pour 2026 ?

par Fraser Hudgin updated avril 22, 2026 Conformité réglementaire
temps de lecture: 9 minutes

Le 14 avril 2026, le gouvernement du Canada a officiellement lancé le niveau 1 du Programme canadien de certification en cybersécurité (PCCC), première certification obligatoire en cybersécurité pour les fournisseurs de la défense du pays. Annoncé par l’honorable Joël Lightbound, ministre de la Transformation gouvernementale, des Travaux publics et de l’Approvisionnement, le niveau 1 sera requis dans certains contrats de défense dès l’été 2026.

Résumé des points clés

  1. Le PCCC devient un prérequis contractuel, effet immédiat. La certification obligatoire en cybersécurité pour les fournisseurs de la défense au Canada a lancé son niveau 1 le 14 avril 2026, avec l’intégration des évaluations tierces du niveau 2 dans les contrats à partir de l’été 2026. Sans certification, impossible de soumissionner.
  2. La norme sous-jacente est techniquement identique à la NIST SP 800-171. L’ITSP.10.171, élaborée par le Centre canadien pour la cybersécurité, reprend les mêmes contrôles que ceux qui fondent la CMMC américaine — toutes les études de préparation américaines s’appliquent donc directement aux fournisseurs canadiens.
  3. Seuls 46 % des sous-traitants de la défense s’estiment prêts. Les données du secteur américain montrent que 57 % n’ont pas réalisé d’analyse d’écart, 62 % n’ont pas de gouvernance adéquate, et seulement 1 % se sentent totalement prêts pour un audit. Les fournisseurs canadiens font face aux mêmes contrôles, avec moins de temps pour se préparer.
  4. La gouvernance — et non le chiffrement — est le point faible des organisations. Les contrôles techniques bénéficient du budget. Mais ce sont les politiques documentées, les procédures appliquées et la séparation des tâches qui sont les domaines les plus faibles — et ceux que les évaluateurs examinent en priorité.
  5. Les fournisseurs canadiens font face à une dimension de souveraineté que les États-Unis n’imposent pas. Les informations spécifiées doivent rester sous juridiction canadienne, et 40 % des organisations canadiennes citent l’évolution du partage de données avec les États-Unis comme principale préoccupation réglementaire. Seule l’architecture, pas les contrats, permet d’y répondre.

Le PCCC s’articule autour de trois niveaux de certification. Le niveau 1 impose une auto-évaluation annuelle sur 13 contrôles fondamentaux. Le niveau 2 exige une évaluation tierce par des organismes accrédités sur 98 contrôles. Le niveau 3 requiert une évaluation menée par la Défense nationale sur 200 contrôles. Le gouvernement prévoit un déploiement progressif — mais la trajectoire est claire : la certification sera exigée à l’attribution des contrats, et le périmètre des contrats concernés s’élargira progressivement.

La norme qui sous-tend le PCCC est ITSP.10.171, une adaptation canadienne de la NIST SP 800-171, développée par le Centre canadien pour la cybersécurité. Le gouvernement l’a précisé : il n’existe aucune modification technique majeure entre les deux normes. Les différences concernent le contexte réglementaire canadien — terminologie différente (« informations spécifiées » au lieu de « controlled unclassified information »), autorités de gouvernance différentes (politiques du Secrétariat du Conseil du Trésor) et cadres de confidentialité différents (LPRPDE). Les contrôles, eux, sont identiques.

Ce rapprochement est volontaire. Le PCCC vise à garantir l’interopérabilité avec les alliés Five Eyes, en particulier les États-Unis, où le programme CMMC équivalent impose la certification sur la même base de contrôles NIST 800-171 pour les contrats du Department of War.

La crise de préparation CMMC aux États-Unis — et ce qu’elle révèle pour les fournisseurs canadiens

Puisque l’ITSP.10.171 et la NIST SP 800-171 sont techniquement équivalentes, les données de préparation du Defence Industrial Base américain constituent le meilleur indicateur de l’état de préparation canadien. Ces données doivent alerter chaque RSSI et responsable conformité de la supply chain défense canadienne.

Une enquête Kiteworks et Coalfire menée auprès de 209 organisations du secteur a révélé que seuls 46 % se considèrent prêtes pour la certification CMMC niveau 2 — qui correspond au périmètre de contrôle du niveau 2 du PCCC. Cinquante-sept pour cent n’ont pas réalisé d’analyse d’écart NIST 800-171, étape fondamentale pour la préparation à la certification. Une autre étude Kiteworks menée auprès de 104 organisations engagées dans la démarche CMMC montre que 62 % n’ont pas de gouvernance suffisante, alors même que le niveau de chiffrement progresse.

Le rapport 2025 de CyberSheath sur le Defence Industrial Base livre le constat le plus frappant : seuls 1 % des sous-traitants se sentent pleinement prêts pour un audit CMMC, avec un score médian d’auto-évaluation de 60 contre 110 requis.

Les fournisseurs canadiens font face aux mêmes 98 contrôles, avec moins de ressources d’évaluation disponibles et des délais plus courts. Le Conseil canadien des normes est encore en train de constituer son écosystème d’organismes d’évaluation accrédités. La période entre « la certification est disponible » et « la certification est obligatoire » se compte en mois, pas en années.

L’analyse d’écart : le meilleur indicateur de réussite à la certification

Les données américaines révèlent une tendance qui doit guider la stratégie de certification de chaque fournisseur canadien : les organisations ayant mené une analyse d’écart structurée affichent une maturité nettement supérieure sur tous les domaines de contrôle.

Parmi les organisations ayant réalisé une analyse d’écart, 77 % appliquent les bonnes pratiques de chiffrement avec vérification — contre 42 % sans analyse. Soixante-treize pour cent disposent de politiques cybersécurité documentées, contre 28 %. Soixante-et-onze pour cent ont des POA&M détaillés, contre 33 %. Et 62 % font appel à des partenaires expérimentés, contre 21 % parmi celles qui n’ont pas démarré, selon l’étude Kiteworks/Coalfire.

La différence est majeure. Les organisations qui réalisent une analyse d’écart ont deux à trois fois plus de chances de disposer de la documentation, des contrôles techniques et des plans de remédiation exigés par les organismes de certification accrédités. L’analyse d’écart n’est pas une formalité bureaucratique — c’est l’action qui distingue les organisations qui réussissent de celles qui échouent.

Pour les fournisseurs canadiens de la défense, la recommandation est claire : commencez l’analyse d’écart ITSP.10.171 dès maintenant, avant l’arrivée des contrats de niveau 2. Chaque mois de retard réduit la fenêtre de remédiation.

La gouvernance, point faible — pas le chiffrement

Le constat le plus contre-intuitif issu des données de préparation CMMC est que les contrôles techniques ne sont pas la principale cause d’échec. Le niveau de chiffrement s’améliore. L’adoption de l’authentification multifactorielle progresse. Les déploiements de pare-feu et de systèmes de détection d’intrusion gagnent en maturité.

C’est la gouvernance qui fait défaut.

Le taux d’échec de 62 % sur la gouvernance, relevé dans l’étude Kiteworks CMMC, traduit un déficit de management, pas de technologie. Politiques documentées, procédures appliquées, revues régulières, séparation des tâches et supervision continue exigent un engagement organisationnel durable qu’aucun produit ne remplace. Les 17 familles d’exigences de l’ITSP.10.171 vont bien au-delà de la technologie : planification (03.15), sécurité du personnel (03.09), évaluation des risques (03.11) et gestion des risques supply chain (03.17).

L’organisme de certification accrédité qui intervient pour une évaluation PCCC niveau 2 ne vérifie pas si l’organisation a acheté les bons outils. Il vérifie si ces outils s’inscrivent dans un cadre gouverné, documenté, supervisé en continu. Le rapport Thales Data Threat 2026 a montré que seules 33 % des organisations savent précisément où sont stockées leurs données. Sans cette connaissance, la gouvernance est impossible — quels que soient les contrôles de chiffrement ou d’accès déployés.

La traçabilité : l’enjeu clé des évaluations PCCC

L’ITSP.10.171 consacre une famille d’exigences entière — Audit et responsabilité (03.03) — à la journalisation des événements, au contenu des journaux d’audit, aux horodatages, à la protection des informations d’audit et à la revue des journaux. Huit contrôles, tous exigeant des preuves opérationnelles.

La plupart des fournisseurs de la défense échangent des informations spécifiées via plusieurs canaux : messagerie électronique, partage sécurisé de fichiers, SFTP, transfert sécurisé de fichiers, formulaires web. Chaque canal fonctionne généralement sur une plateforme différente, avec son propre système de journalisation, ses propres contrôles d’accès et ses propres règles de conservation. Quand un évaluateur demande l’historique complet d’un fichier, le fournisseur doit rassembler des journaux issus de cinq ou six systèmes différents. Les formats d’horodatage varient. Les identifiants utilisateurs ne correspondent pas. Certains systèmes limitent les logs en période de forte activité ou retardent l’enregistrement de plusieurs heures.

Le rapport Black Kite Third-Party Breach 2026 a documenté un délai médian de 73 jours pour la divulgation d’une violation impliquant un tiers — un indicateur d’un manque de visibilité sur les mouvements de données. Le rapport DTEX/Ponemon Insider Threat 2026 ajoute une dimension supplémentaire : le Shadow AI est désormais le principal facteur d’incidents internes par négligence, 92 % des organisations déclarant que l’IA générative a modifié la façon dont les employés partagent l’information, mais seules 13 % l’intègrent à leur stratégie de sécurité. Les agents IA accédant aux informations spécifiées créent des failles de traçabilité que l’infrastructure de journalisation classique ne couvre pas.

Les organisations qui unifient leurs canaux d’échange de données sous une architecture de journalisation unique — capturant chaque accès, transfert et décision de politique sur tous les canaux en temps réel avec intégrité infalsifiable — produiront les preuves exigées par les organismes de certification. Celles dont l’infrastructure d’audit est fragmentée découvriront l’écart lors de l’évaluation, trop tard pour corriger.

La souveraineté canadienne : l’architecture, pas les contrats

Les fournisseurs de la défense canadiens font face à une contrainte que le programme CMMC américain n’impose pas : la souveraineté des données. L’ITSP.10.171 protège les « informations spécifiées » — toute donnée qu’une autorité du gouvernement du Canada identifie dans un contrat comme devant être protégée. Ces informations doivent rester sous contrôle juridictionnel canadien.

Le rapport Kiteworks 2026 Data Security and Compliance Risk Forecast — Canada indique que 40 % des répondants canadiens identifient les évolutions des accords de partage de données Canada–États-Unis comme leur principale préoccupation réglementaire, et 21 % considèrent le CLOUD Act américain comme une menace directe à la souveraineté. Vingt-trois pour cent des organisations canadiennes migrent activement hors des fournisseurs cloud américains.

Il ne s’agit pas d’un risque hypothétique. Si des informations spécifiées sont stockées sur un service cloud multi-locataire basé aux États-Unis, ces données peuvent être soumises à des demandes d’accès du gouvernement américain, quel que soit leur emplacement physique. Aucune clause contractuelle ne comble cette faille. La souveraineté exige une architecture : des choix de déploiement qui maintiennent les informations spécifiées sous juridiction canadienne, une gestion des clés de chiffrement empêchant tout tiers de déchiffrer, et des contrôles d’accès qui imposent des frontières juridictionnelles au niveau de l’infrastructure.

Les fournisseurs de la défense qui évaluent leur infrastructure d’échange de données pour la certification PCCC doivent se poser une question binaire : un gouvernement étranger peut-il contraindre l’accès à nos informations spécifiées ? Si la réponse n’est pas « non, car l’architecture rend cela techniquement impossible », la condition de souveraineté n’est pas remplie.

Comment Kiteworks accompagne la certification PCCC sur les familles de contrôles ITSP.10.171

Kiteworks relève le défi PCCC en consolidant la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, SFTP, les formulaires web, les API et les intégrations IA sous une architecture de gouvernance unique — un moteur de politique, un journal d’audit, une posture de sécurité sur tous les canaux où circulent les informations spécifiées. Sur les 98 contrôles du niveau 2 ITSP.10.171, Kiteworks couvre totalement 46 contrôles et partiellement 31 autres, assurant la mise en œuvre technique sur les familles de contrôles où les fournisseurs échouent le plus souvent.

Le moteur de politique de données Kiteworks applique des contrôles d’accès RBAC et ABAC sur tous les canaux d’échange, couvrant directement les familles Contrôle d’accès et Identification et authentification. La journalisation sans limitation capture chaque événement en temps réel avec intégrité infalsifiable — couvrant l’ensemble des huit contrôles Audit et responsabilité. Le chiffrement double AES-256 validé FIPS 140-3 avec clés détenues par le client répond aux exigences de confidentialité en transmission et stockage. Une appliance virtuelle durcie avec pare-feu intégré, WAF et détection d’intrusion assure la protection système et communications en tant que fonctionnalité produit.

Pour la souveraineté, Kiteworks propose un déploiement sur site, en cloud privé dans des data centers canadiens, ou hybride avec isolation à locataire unique. Les clés de chiffrement détenues par le client garantissent qu’aucun tiers — ni Kiteworks ni un gouvernement — ne peut déchiffrer les informations spécifiées. Ce même déploiement permet la certification PCCC et CMMC — Kiteworks est FedRAMP Authorized avec des contrôles NIST 800-171 pré-mappés et fournit des rapports de conformité CMMC 2.0 couvrant les 110 pratiques.

Que doivent faire les fournisseurs canadiens de la défense dans les 90 prochains jours ?

Premièrement, réalisez immédiatement une analyse d’écart ITSP.10.171. Toutes les données issues de l’expérience CMMC américaine montrent que c’est le meilleur indicateur de réussite à la certification. Les organisations ayant mené cette analyse ont 2 à 3 fois plus de chances de disposer de politiques documentées, de normes de chiffrement et de plans de remédiation.

Deuxièmement, traitez la gouvernance avant la technologie. Documentez vos politiques. Formalisez vos procédures. Attribuez les rôles et planifiez les revues. Le taux d’échec de 62 % sur la gouvernance dans le secteur américain de la défense n’est pas un problème technique — c’est un problème de discipline organisationnelle que les organismes certificateurs détecteront immédiatement.

Troisièmement, unifiez vos canaux d’échange de données. Des outils fragmentés produisent des preuves d’audit fragmentées. Si vos informations spécifiées transitent par l’e-mail, le partage de fichiers, SFTP et MFT sur des plateformes séparées, votre traçabilité présentera des failles que l’organisme certificateur détectera. Consolidez sous une architecture gouvernée unique.

Quatrièmement, réglez la question de la souveraineté par l’architecture. Si les informations spécifiées peuvent être accessibles hors de la juridiction canadienne — y compris via le CLOUD Act américain chez un fournisseur cloud basé aux États-Unis — vous prenez un risque de certification qu’aucun document ne résout. Déployez sur une infrastructure canadienne avec gestion des clés de chiffrement sous votre contrôle.

Cinquièmement, préparez-vous à la double certification. Si vous soumissionnez à la fois sur des contrats américains du DoW et sur des marchés canadiens de la défense, l’équivalence ITSP.10.171 et NIST SP 800-171 signifie qu’un seul investissement doit couvrir PCCC et CMMC. Mettre en œuvre deux fois des contrôles identiques gaspille des ressources que les fournisseurs canadiens n’ont pas.

Les organisations qui agissent dans les 90 prochains jours seront prêtes à l’arrivée des contrats de niveau 2. Celles qui attendent vivront ce que les sous-traitants américains ont déjà appris : le calendrier de certification est toujours plus court que prévu.

Foire aux questions

Le Programme canadien de certification en cybersécurité (PCCC) est la certification obligatoire en cybersécurité du Canada pour les fournisseurs de la défense manipulant des informations gouvernementales sensibles non classifiées. Le niveau 1, qui impose une auto-évaluation sur 13 contrôles, a été lancé le 14 avril 2026 et sera exigé dans certains contrats de défense dès l’été 2026. Le niveau 2, avec évaluation tierce sur 98 contrôles, s’ajoutera à certains contrats après le niveau 1. Le niveau 3 (200 contrôles, évalués par la Défense nationale) suivra en 2027. La certification est un prérequis contractuel — les fournisseurs qui ne certifient pas au niveau requis sont exclus des marchés publics.

L’ITSP.10.171 est la norme industrielle canadienne de cybersécurité élaborée par le Centre canadien pour la cybersécurité. Il s’agit d’une adaptation directe de la NIST SP 800-171 sans modification technique majeure — seules les différences de terminologie, d’autorités de gouvernance et de cadres de confidentialité reflètent le contexte canadien. Puisque la CMMC niveau 2 impose aussi la conformité à la NIST SP 800-171, les organisations certifiées PCCC niveau 2 auront rempli la plupart des exigences de contrôle pour la CMMC, facilitant la double certification à partir d’une seule mise en œuvre des contrôles.

Aucune étude d’envergure n’existe encore au Canada, mais les données américaines sur la base de contrôles identique NIST SP 800-171 sont directement applicables. L’enquête Kiteworks/Coalfire montre que seuls 46 % se disent prêts, 57 % n’ont pas mené d’analyse d’écart, et une étude Kiteworks sur la gouvernance révèle que 62 % n’ont pas de gouvernance adéquate. CyberSheath indique que seuls 1 % se sentent totalement prêts pour un audit. Les fournisseurs canadiens font face aux mêmes contrôles, avec moins de ressources d’évaluation établies.

L’ITSP.10.171 protège les « informations spécifiées » qui doivent rester sous contrôle juridictionnel canadien. Les fournisseurs utilisant des services cloud basés aux États-Unis font face à un risque de souveraineté, car ces données peuvent être soumises à des demandes d’accès du CLOUD Act américain, quel que soit leur emplacement physique. Le rapport Kiteworks 2026 Canada Forecast indique que 40 % des répondants canadiens citent l’évolution du partage de données avec les États-Unis comme principale préoccupation et 21 % pointent directement le CLOUD Act. Répondre à cette exigence impose des contrôles architecturaux — déploiement canadien, gestion des clés de chiffrement, géorepérage — et non des garanties contractuelles.

Le Guide Kiteworks du PCCC propose une cartographie détaillée, contrôle par contrôle, des 98 contrôles ITSP.10.171 niveau 2 avec les possibilités de la plateforme Kiteworks, les niveaux de couverture (Couvre totalement, Couvre partiellement, Non couvert), les fonctionnalités produit et les notes de mise en œuvre pour chaque contrôle. Téléchargez le Guide Kiteworks du PCCC pour accélérer votre analyse d’écart et identifier où les contrôles pré-mappés peuvent réduire votre délai de certification.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks