Quelle est la différence entre CMMC et CPCSC ?

Le CMMC est le programme américain de certification cyber pour les sous-traitants du ministère de la Défense (DoD), fondé sur NIST SP 800-171. Le CPCSC est l'équivalent canadien officiel pour les fournisseurs de défense, fondé sur ITSP.10.171 du Centre canadien pour la cybersécurité. Les deux visent à protéger des renseignements sensibles non classifiés chez les sous-traitants.

CPPPP est-il un standard officiel du gouvernement du Canada ?

Non. CPPPP est une proposition structurante présentée sur cette page pour illustrer, par analogie avec le CMMC, comment un cadre canadien pourrait être lu à partir de la logique CPCSC et d'ITSP.10.171. Le programme officiel canadien est le CPCSC.

Une PME québécoise sous-traitante américaine doit-elle se conformer au CMMC ?

Si votre contrat avec le DoD américain exige un niveau CMMC précis, oui : indépendamment de votre localisation au Québec ou au Canada. Les exigences sont contractuelles. Une évaluation de vos écarts par rapport à NIST SP 800-171 est le point de départ habituel.

CMMC 2.0 et cadre CPPPP

Le modèle américain de certification cyber pour la défense, et une lecture structurante de l'équivalent canadien, pour les sous-traitants québécois qui naviguent entre les deux marchés.

Qu'est-ce que le CMMC ?

Le CMMC (Cybersecurity Maturity Model Certification) est le programme de certification en cybersécurité du département de la Défense des États-Unis (DoD). Il vise à garantir que les sous-traitants et fournisseurs de la défense américaine protègent adéquatement les renseignements fédéraux reçus dans le cadre de leurs contrats.

La version actuelle, CMMC 2.0, simplifie le modèle initial en trois niveaux alignés sur des référentiels NIST reconnus. Contrairement à une simple auto-attestation, les niveaux 2 et 3 exigent une évaluation par un tiers accrédité (C3PAO) ou, pour le niveau le plus élevé, par le gouvernement américain.

Concepts clés

FCI (Federal Contract Information) : renseignements générés ou fournis dans le cadre d'un contrat fédéral, non destinés à la diffusion publique.
CUI (Controlled Unclassified Information) : renseignements non classifiés mais soumis à des contrôles de diffusion ou de manipulation.
NIST SP 800-171 : ensemble de 110 exigences de sécurité pour protéger la confidentialité du CUI dans les systèmes non fédéraux.

CMMC 2.0 et référentiels

Le tableau ci-dessous résume les trois niveaux du CMMC 2.0, leur objet principal et le référentiel technique associé.

Programme	Niveau	Objet principal	Référentiel NIST / norme clé
CMMC 2.0	Level 1 Foundational	Protection de FCI, hygiène de base	FAR 52.204-21 Basic Safeguarding of Covered Contractor Information Systems
CMMC 2.0	Level 2 Advanced	Protection de CUI, pratiques avancées	NIST SP 800-171 (révision 2) et guide d'évaluation NIST SP 800-171A : 110 contrôles
CMMC 2.0	Level 3 Expert	Protection renforcée pour programmes à haute criticité	NIST SP 800-171 complet plus sous-ensemble de NIST SP 800-172 (Enhanced Security Requirements)

Comment lire ces niveaux

Level 1 : Fondamental

Destiné aux sous-traitants qui manipulent uniquement des FCI. Quinze pratiques de base (mots de passe, anti-malware, contrôle d'accès physique) issues de la clause FAR 52.204-21. Évaluation annuelle par auto-attestation.

Level 2 : Avancé

Le niveau le plus courant pour les contrats impliquant du CUI. Aligné sur les 110 exigences de NIST SP 800-171 Rev. 2, vérifiées par un évaluateur tiers accrédité. C'est le cœur de la conformité pour la majorité des fournisseurs de défense.

Level 3 : Expert

Réservé aux programmes à très haute sensibilité. Combine l'intégralité de NIST SP 800-171 avec des exigences renforcées de NIST SP 800-172 pour contrer les menaces persistantes avancées (APT). Évaluation gouvernementale.

Le cadre canadien : CPCSC et CPPPP

L'équivalent canadien du CMMC est le CPCSC, fondé sur ITSP.10.171 (CST/CCCS) : adaptation de NIST SP 800-171 révision 3. Le cadre CPPPP en propose une lecture structurante à trois niveaux, avec le lien explicite vers les référentiels NIST.

Voir la page CPPPP, CPCSC et référentiels →

CMMC et CPPPP côte à côte

Les deux cadres poursuivent le même objectif : protéger des renseignements sensibles chez les sous-traitants, mais diffèrent sur l'autorité, la terminologie et la version du référentiel NIST sous-jacent.

Élément	CMMC 2.0 (États-Unis)	CPPPP / CPCSC (Canada)
Autorité	Département de la Défense (DoD)	Services publics et Approvisionnement Canada (PSPC)
Renseignement visé	FCI (niveau 1) / CUI (niveaux 2-3)	Renseignements spécifiés (SI) / Protected A et plus
Référentiel technique	NIST SP 800-171 Rev. 2	ITSP.10.171 (aligné sur NIST 800-171 Rev. 3)
Organisme d'accréditation	Cyber AB (C3PAO)	Conseil canadien des normes (SCC)
Niveau 1	15 pratiques FAR, auto-attestation	13 contrôles ITSP.10.171, auto-évaluation
Niveau 2	110 contrôles, audit tiers	98 contrôles, audit tiers accrédité (triennal)
Niveau 3	800-171 + 800-172, évaluation gouvernementale	200 contrôles renforcés, évaluation par la DND

Pour une PME québécoise opérant sur les deux marchés, la bonne nouvelle est que les exigences techniques sont largement convergentes. Un programme de sécurité bâti sur ITSP.10.171 (Rev. 3) positionne l'organisation favorablement pour les deux cadres, avec des ajustements ciblés selon le contrat en cause.