CMMC vs PMC (Programme des marchandises contrôlées)

CMMC (Cybersecurity Maturity Model Certification) et PMC (Programme des marchandises contrôlées) sont deux cadres réglementaires liés au secteur de la Défense.

CMMC concerne les fournisseurs du Département de la Défense américain (DoD), tandis que PMC concerne les fournisseurs de Défense Nationale Canada.

Bénéficie -t-on d’une équivalence CMMC lorsque l’on est inscrit au PMC?

Dans cet article de blog, nous allons répondre à cette question.

 

Présentation du programme des marchandises contrôlées (PMC)

Le Programme des marchandises contrôlées (PMC) est un cadre réglementaire canadien dont l’objectif est d’assurer la sécurité et le contrôle des biens sensibles et stratégiques au Canada. 

Il sert notamment à réduire les risques que des équipements et marchandises sensibles canadiens tombent entre de mauvaises mains, ce qui peut avoir un impact sur la sécurité du Canada.

Exemples de marchandises contrôlées:

  • Les biens et technologies militaires.

  • Les systèmes, dispositifs et applications militaires sensibles

  • Les composants nucléaires

  • Etc.  

Liste des marchandises contrôlées au Canada peut être consultée ici.

PMC est géré par Services Publics et Approvisionnement Canada (SPAC).

 

CMMC (Cybersecurity Maturity Model Certification) 

CMMC est une certification de cybersécurité que tous les contractants et sous-contractant de DoD doivent respecter. Il y a 3 niveaux CMMC dépendant des types de données auxquelles vous avez accès dans le cadre de votre relation d’affaires avec DoD.

 

CMMC vs PMC

CMMC

CMMC est axée sur la cybersécurité et vise explicitement les entreprises (quelque soit leur taille) qui travaillent avec  DoD et qui collectent, traitent ou génèrent des informations confidentielles (FCI) ou confidentielles (CUI) dans le cadre de contrats avec DoD. 

Si vous n’êtes pas encore fournisseur de DoD et que vous voulez pouvoir faire affaire avec DoD, vous devez vous préparer et obtenir la certification CMMC.

CMMC est une certification.

 

Le Programme des marchandises contrôlées PMC

PMC a un champ d'application plus large que la cybersécurité. Il couvre l’exportation, l'importation, le courtage de technologies de défense, de services de défense, des données techniques connexes.

Juridiction : toute entreprise canadienne qui fabrique, importe, exporte ou fournit des services considérés comme des marchandises contrôlées doit se conformer à PCM, même si elle n’est pas un fournisseur de Défense Nationale Canada.

Notez que certaines données PCM sont sensibles, ce qui vous oblige à vous conformer à CMMC américain ou au CMMC Canadien ( Programme Canadien pour la Certification en Cybersécurité ou PCCC).

PMC n’est pas une certification.

 

Exigences de cybersécurité de PCM

Si vous êtes inscrit au PCM, vous avez sûrement des données considérées comme étant sensibles. Par conséquent, vous devez les protéger. De plus, des enquêtes de sécurité doivent être faites pour toutes les personnes accédant aux marchandises contrôlées ou aux données y afférentes.

Exemples de mesures de cybersécurité exigées par le PMC:

  • Contrôle d’accès : s’assurer que seules les personnes autorisées ont accès aux données liées aux marchandises contrôlées

  • Chiffrement des données

  • Audit et journalisation et surveillance des événements de sécurité générés par les systèmes dans la portée du PMC

  • Etc. 

 

PMC et les sanctions

Les entreprises sont tenues de révéler si elles ont enfreint les exigences du PMC. Les violations comprennent entre autres : l'exportation ou le transfert de technologies contrôlées  sans les licences et approbations requises, le non-respect des conditions des licences, la falsification d'informations, etc.

Les pertes ou vol de marchandises contrôlées doivent aussi être rapportées.

Les sanctions prévues en cas de non-respect des règles PCM sont assez lourdes: 

  • Poursuites judiciaires et amendes d’un montant maximum de 2 000 000 $ et/oue une peine d’emprisionnement de 10 ans au maxim.

 

PMC et ITAR

PCM et ITAR ont des objectifs similaires. Leur différence principale réside dans leur juridiction (ITAR aux USA PMC au Canada).

 

CMMC et PMC

Si vous êtes une entreprise canadienne dans le domaine de la Défense, vous devez vous inscrire au PMC. Si en plus vous êtes contractant et sous-contractant de DoD, vous allez devoir obtenir la certification CMMC (ou le CMMC Canadien appelé PCCC, lorsqu’il sera en vigueur). Il est aussi fort probable que vous ayez besoin de vous inscrire à ITAR.

 

Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?

StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.

Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en