Le « CMMC canadien » pour les fournisseurs de défense : programme officiel, référentiel ITSP et lecture structurante à trois niveaux.
Le CPCSC (Canadian Program for Cyber Security Certification) est le programme de certification en cybersécurité lancé par Services publics et Approvisionnement Canada (PSPC) pour les fournisseurs de la chaîne d'approvisionnement de la défense canadienne.
Il remplace l'auto-attestation par un modèle vérifiable : auto-évaluation au niveau d'entrée, audits tiers accrédités au niveau intermédiaire, et évaluation gouvernementale pour les contrats les plus sensibles. L'écosystème d'accréditation est supervisé par le Conseil canadien des normes (SCC).
Le CPCSC s'appuie sur des documents du CST (Centre de la sécurité des télécommunications, désormais intégré au CCCS) publiés sous la série ITSP. Le document central est ITSP.10.171 (Protecting Specified Information in Non-Government of Canada Systems and Organizations), qui reflète NIST SP 800-171 révision 3 pour la protection de l'information contrôlée dans des systèmes non gouvernementaux.
Contrairement au CMMC américain (encore ancré sur NIST 800-171 Rev. 2), le Canada a directement adopté la révision 3, qui étend le cadre à 17 familles de contrôles (contre 14 auparavant), incluant notamment la gestion des risques de la chaîne d'approvisionnement et l'acquisition de systèmes.
Le tableau ci-dessous structure les trois niveaux de protection selon la logique CPCSC / ITSP.10.171, en indiquant pour chaque palier l'objet visé et le référentiel NIST ou canadien correspondant.
| Programme | Niveau | Objet principal | Référentiel NIST / canadien |
|---|---|---|---|
| CPPPP cadre | Level 1 | Hygiène de base pour fournisseurs traitant de l'information contrôlée (équivalent CMMC L1) | ITSP.10.171 (CST) comme adaptation canadienne de NIST SP 800-171 révision 3, exigences minimales pour systèmes non gouvernementaux. |
| CPPPP cadre | Level 2 | Protection complète de l'information contrôlée, exigences contractuelles défense | ITSP.10.171 appliqué intégralement plus exigences NIST SP 800-171 révision 3 sur l'ensemble du périmètre d'information contrôlée, avec procédures d'évaluation inspirées de NIST SP 800-171A. |
| CPPPP cadre | Level 3 | Niveau renforcé pour programmes sensibles / haute criticité | ITSP.10.171 (NIST SP 800-171r3) plus contrôles additionnels dérivés de NIST SP 800-172 et des exigences propres du CPCSC pour menaces avancées. |
| CPPPP (cadre) | CPCSC (officiel) | Mode d'évaluation |
|---|---|---|
| Level 1 | CPCSC Niveau 1 | Auto-évaluation annuelle (outil gouvernemental) |
| Level 2 | CPCSC Niveau 2 | Audit tiers accrédité (SCC), tous les trois ans + affirmation annuelle |
| Level 3 | CPCSC Niveau 3 | Évaluation par la Défense nationale (DND), tous les trois ans |
Équivalent fonctionnel du CMMC Level 1. Le fournisseur démontre une posture minimale pour protéger l'information contrôlée reçue dans le cadre d'un contrat. Référence : sous-ensemble d'ITSP.10.171 (environ 13 contrôles dans le déploiement CPCSC). Pas d'audit tiers : auto-évaluation documentée.
Application intégrale d'ITSP.10.171 sur le périmètre où transite l'information contrôlée. Les procédures d'évaluation suivent la logique de NIST SP 800-171A (objectifs d'évaluation, preuves, plan de traitement des écarts). C'est le niveau attendu pour la majorité des contrats impliquant des renseignements spécifiés (SI).
ITSP.10.171 complet augmenté de contrôles renforcés calqués sur NIST SP 800-172, pour contrer les menaces persistantes avancées (APT). Réservé aux programmes sensibles : systèmes d'armes, infrastructures critiques, partage Five Eyes. Évaluation gouvernementale, non déléguée à un tiers.
Comprendre la filiation entre les documents américains et canadiens facilite la cartographie pour les organisations opérant sur les deux marchés.
Pour le cadre américain équivalent, consultez notre page CMMC 2.0 et comparaison CMMC / CPPPP.
