CMMC américain vs CMMC canadien (PCCC)
Si vous êtes une entreprise canadienne qui fait affaire avec le Département américain de la défense (DoD), vous avez sûrement entendu que le Canada allait créer sa propre certification de cybersécurité qui serait l'équivalent du CMMC américain.
Dans cet article de blog, nous allons vous présenter ces deux (2) certifications.
Au départ était le CMMC américain
DoD a décidé de créer une certification de cybersécurité pour s’assurer que ses contractants et sous-contractants mettent en place des mesures de sécurité acceptables pour protéger les données qui leurs sont confiées. Deux (2) de données sont concernées:
Les informations sur les contrats fédéraux (FCI)
Les informations non classifiées contrôlées (CUI)
Pour en savoir plus sur ces deux types d’informations, veuillez consulter notre article de blog FCI vs CUI.
Il existe trois (3) niveaux CMMC (version actuelle = 2.0), dépendant du type d’informations auxquelles vous accédez dans le cadre de votre relation d’affaire avec DoD. Pour savoir quel niveau CMMC vous devez respecter, veuillez consulter cet article.
Tous les fournisseurs de DoD, qu’ils soient aux USA, Canada, en Europe ou partout ailleurs doivent obtenir la certification CMMC pour continuer à faire affaire avec ce département.
Le Canada décide de créer sa propre certification CMMC
Face à la recrudescence des cyberattaques ciblant la chaîne d’approvisionnement de la Défense Canadienne, le Fédéral a décidé de créer sa propre certification de cybersécurité appelée Programme Canadien pour la Certification en Cybersécurité ou PCCC.
Le Fédéral indique que le PCCC sera mise en vigueur fin 2024 ou début 2025.
Une fois que le PCCC sera en vigueur, tous les contractants et sous-contractants de la Défense Canadienne seront tenus d’obtenir cette certification (ou le CMMC Américain) s’ils veulent continuer à faire avec ce département.
Discussions en cours entre les USA et le Canada pour obtenir l’équivalence des 2 certifications
Le Canada et les USA travaillent à mettre en place une équivalence entre CMMC et PCCC. Ainsi, une entreprise canadienne qui aura le PCCC sera automatiquement reconnue par DoD comme ayant la certification CMMC.
CMMC 2.0 Américain vs le CMMC Canadien (PCCC)
Les 2 certifications auront 3 niveaux équivalentes
- CMMC 2.0 Niveau 1 = PCCC Niveau 1
CMMC 2.0 Niveau 2 = PCCC Niveau 2
CMMC 2.0 Niveau 3 = PCCC Niveau 3
Les référentiels des 2 certifications sont différents
CMMC 2.0 est basé sur NIST 800-171 Rev2
PCCC est basé sur NIST 800-171 Rev3
On notera que le Canada a décidé de se baser sur la toute dernière version du NIST 800-171 (mise en vigueur en mai 2024), tandis que les USA s’appuient sur une version précédente de ce standard de sécurité dédiée à la protection des CUI.
Il faut aussi préciser qu’il ya une différence importante entre ces 2 versions du NIST 800-171, ce qui fait que CMMC et PCCC seront équivalentes sans que les contrôles de sécurité à mettre en place soient les mêmes.
Les défis de l’équivalence entre CMMC 2.0 et PCCC
Le principal défi est le fait que les USA et le Canada utilisent 2 systèmes de classification différents:
Aux USA on parle de FCI, CUI
Au Canada, les classifications sont : Protégé A, B, C.
Les deux pays vont donc devoir harmoniser leurs systèmes de classification afin qu’il y ait une cohérence sur le niveau de certification exigée selon le type de données auxquelles les fournisseurs de DoD ou Défense Nationale Canada ont accès.
Convergence à moyen terme
Étant donné que le NIST 800-171 Rev 3 est maintenant en vigueur (ce qui rend caduque la Rev2), il faut s’attendre à ce que le CMMC Américain converge graduellement vers ce standard. Après une phrase de transition de quelques années, CMMC et PCCC seront tous les deux basés sur la Rev3 du NIST-800-171.
PCCC sera-t-elle obligatoire pour les entreprises canadiennes?
Les entreprises canadiennes pourront se faire certifier PCCC ou aller chercher la certification CMMC.
Vu que les 2 certifications seront équivalentes, PCCC sera accepté par DoD, et Défense Nationale Canada acceptera CMMC. Libre donc à vous de choisir laquelle de ces 2 certifications vous voulez obtenir.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.