Blog > PCCC

16 fév 2026 : dernières nouvelles sur la certification de cybersécurité de la Défense Canadienne - PCCC

Rappel

Depuis le 12 mars 2025, le Canada a mis en place le Programme canadien de certification en cybersécurité (PCCC) pour renforcer la sécurité de la chaîne d'approvisionnement de la défense nationale. Cette certification est inspirée du CMMC américain et repose sur les standards NIST 800-171 Rev3 et NIST 800-172.

Obligatoire pour la chaîne d’approvisionnement de la Défense canadienne

 

Toutes les entreprises souhaitant collaborer avec le Département de la Défense nationale (DND), qu'elles soient canadiennes ou étrangères, devront obtenir la certification PCCC.

L'obligation s'applique au contractant principal et à ses sous-traitants, suivant un modèle de transmission des exigences similaire à celui du CMMC.

 

Trois niveaux de certification PCCC

Comme son homologue américain, PCCC comporte trois niveaux :

  • PCCC Niveau 1 similaire à CMMC Niveau 1

  • PCCC Niveau 2 similaire à CMMC Niveau 2

  • PCCC Niveau 3 similaire à CMMC Niveau 3

 

On parle de CI au Canada 

 

Contrairement au CMMC, qui utilise les termes CUI (Controlled Unclassified Information) et FCI (Federal Contract Information), le PCCC adopte la notion de Controlled Information (CI). Cela inclut :

  • Protégé A

  • Protégé B

  • Informations du Programme des marchandises contrôlées

 

Toujours pas d’équivalence avec le CMMC américain

  • Il n’y aura pas d’équivalence entre CMMC et PCCC. 

  • Si vous êtes un fournisseur de DoD (DoW)  et DND, considérez que vous allez devoir vous faire certifier CMMC et PCCC.

 

Bonne nouvelle : le Canada continue à donner espoir quant à la reconnaissance de CMMC

  • Le Canada envisage toujours de reconnaître la certification CMMC de manière unilatérale, mais sous certaines conditions:

    • Le flow de CUI / CI est le même

    • Les données résident au Canada.

  Notre avis sur ce point : si vous êtes un fournisseur de DoD/DoW et DND, vous devez accorder une grande attention à ce point, car il pourrait vous permettre de réduire vos coûts de mise en conformité et de certification.

Recommandation: lorsque vous êtes un fournisseur de DoD/DoW et DND, oubliez les solutions dans le Cloud et créez une enclave CMMC/PCCC dans votre réseau interne. C’est la seule option pour avoir le même flow de CUI tout en respectant l’exigence de résidence des données au Canada.

 

Pourquoi le Cloud ne fonctionne pas?

  • Si un Cloud est utilisé pour CMMC, DoD/Dow exige que ce Cloud doit FedRAMP (le Cloud doit être aux USA)

  • Pour PCCC, le Canada exige que le Cloud soit au Canada

 

Timeline de mise en oeuvre PCCC

 

La phase 1 de PCCC a démarré depuis mars 2025 et se termine fin mars 2026.

Voici les faits marquants de la phase 1:

  • Octobre 2025 : Le Canada a publié son équivalent NIST 800-171 Rev3, appelé ITSP.10.171

  • 31 mars 2026 au plus tard: le Canada envisage de publier des documents permettant de se conformer à PCCC Niveau 1 (trousse de mise en conformité). En primeure, voici les requis de PCCC Niveau 1

 

Phase 2 (avril 2026 à mars 2027): PCCC Niveau 1 devient obligatoire

  • PCCC Niveau 1 devient obligatoire dans les contrats de DND à partir d’avril 2026

  • Les entreprises devront s’autoévaluer et fournir une auto-attestation dans leur profil d’AchatsCanada

  • L’attestation d’auto-évaluation sera exigée à l’attribution des contrats

  • Sélection des entreprises de cybersecurité qui vont agir comme auditeurs/évaluateurs PCCC Niveau 2.

 

Phase 3 : avril 2027 à mars 2028

  • Avril 2027 marque le début de l'obligation de détenir la certification PCCC Niveau 2

  • Le Canada se prépare graduellement à la mise en application de la certification PCCC Niveau 3.

 

Votre priorité 2026: obtenir PCCC Niveau 1

Pour 2026, focalisez vous sur l’obtention de votre certification PCCC Niveau 1. Une fois que vous êtes conformes aux exigences PCCC Niveau 1, faites une autoévaluation pour confirmer votre conformité.

 

Comment StreamScan peut vous aider ?

StreamScan, expert en cybersécurité de la Défense, accompagne les entreprises dans leur mise en conformité aux normes NIST 800-171, CMMC et PCCC. En tant que Registered Provider Organization (RPO) CMMC, nous sommes autorisés à guider les organisations dans leur démarche. Nous sommes aussi certifiés CMMC Niveau 2.

 

Nous avons actuellement 100 % de réussite à la certification CMMC.

 

Besoin d’un avis d’expert pour votre situation ?

Nos spécialistes sont là pour vous guider.

Bénéficiez d’un échange gratuit et sans engagement pour faire le point sur vos enjeux, vos priorités et les solutions adaptées à votre entreprise.

Contactez un expert dès maintenant
Un homme pointe a un écran