Visitez notre kiosque à CANSEC les 27-28 mai
Articles
·
PCCC
·
15.03.2026

ITSP.10.171 : la nouvelle norme qui bouleverse la cybersécurité des fournisseurs de la Défense canadienne

Imaginez que votre entreprise puisse travailler avec le gouvernement canadien (et plus spécifiquement la Défense canadienne) tout en garantissant que chaque donnée sensible est protégée comme dans une forteresse numérique. C’est exactement ce que permet la norme ITSP.10.171.

Bien que cette norme s’adresse de manière plus générale aux fournisseurs du gouvernement canadien, elle sert surtout de référence pour la certification de cybersécurité pour la Défense canadienne PCCC. Son objectif dans ce contexte : s’assurer que la chaîne d’approvisionnement de la Défense canadienne est bien protégée, pour éviter des dysfonctionnements ou des problèmes de livraison.

Pourquoi ITSP.10.171 est important pour la Défense canadienne

Chaque fournisseur de la Défense canadienne manipule des informations sensibles : données contractuelles, informations techniques, secrets opérationnels, voire des informations liées à la sécurité nationale.

Si ces données ne sont pas correctement protégées, et tombent entre de mauvaises mains, les conséquences peuvent être catastrophiques pour le Canada.

A titre d’exemple: imaginez qu’un fournisseur critique de la Défense canadienne se fasse infecter par un rançongiciel. L’interruption de service chez ledit fournisseur peut aller de 1 semaine à 5 semaines, voire plus.  Pendant ce temps, la Défense canadienne ne peut pas être servie. Les conséquences peuvent être majeures pour la sécurité des Canadiennes et Canadiens, surtout en cette période très troublée sur le plan géopolitique.

Le but de la norme canadienne  ITSP.10.171 est d’offrir  un cadre clair et applicable pour protéger l’information sensible du gouvernement canadien, afin de réduire les risques d’accès non autorisés et leurs conséquences.

On parle de CI au Canada

Au Canada, le terme CUI est remplacé par CI (Controlled Information) qui regroupe les informations de type Protégé A, B et C.

Il ne faut donc pas confondre CUI et CI, car bien qu’elles aient le même niveau de sensibilité, ce ne sont pas les mêmes informations.

 

Fortement inspirée par le NIST 800-171 Rev3 américain

ITSP.10.171 est fortement inspirée du NIST 800-171 Rev 3 américain, mais adaptée à la réalité canadienne :

  • Le niveau de certification requis ne dépend pas du type de données que vous avez, mais de votre niveau d’exposition aux cyber risques. Par exemple, Défense Canada envisage que les fournisseurs de services de communications par satellite se certifient PCCC Niveau 3 car se sont des infrastructures critiques. Aux USA, ces entreprises auraient très probablement besoin de se certifier CMMC Niveau 2 s’ils ont uniquement des CUI.
  • ITSP.10.171 intègre des exigences d’actualité comme la gestion des risques liés à la chaîne d’approvisionnement.
  • Etc.

 

ITSP.10.171 est composée de 17 domaines

Voici les 17 domaines de ITSP.10.171. Vous noterez que ce sont les mêmes domaines que le NIST 800-171 Rev 3.

  1. Contrôle d’accès
  2. Sensibilisation et formation
  3. Vérification et responsabilité
  4. Gestion des configurations
  5. Identification et authentification
  6. Intervention en cas d’incident
  7. Maintenance
  8. Protection des supports
  9. Sécurité du personnel
  10. Protection physique
  11. Évaluation des risques
  12. Évaluation de sécurité et surveillance
  13. Protection des systèmes et des communications
  14. Intégrité de l’information et des systèmes
  15. Planification
  16. Acquisition des systèmes et des services
  17. Gestion des risques liés à la chaîne d’approvisionnement

 

3 domaines de plus que le CMMC Américain

La certification canadienne PCCC est composée des 17 domaines de ITSP.10.171. Si vous êtes déjà conformes aux CMMC américain, il vous restera 3 autres domaines à respecter pour vous conformer à PCCC.

  • Planification
  • Acquisition des systèmes et des services
  • Gestion des risques liés à la chaîne d’approvisionnement
Articles
·
13.05.2026
Le mythe de la « compensation » des investissements en cybersécurité
Sauvegarde des données: si nous payons pour une meilleure détection et réponse aux menaces, cela ne devrait-il pas réduire notre exposition aux incidents nécessitant une récupération ?
Articles
·
14.04.2026
14 avril 2026 - Le gouvernement du Canada lance le niveau 1 du Programme canadien de certification en cybersécurité
Ce jour 14 avril 2026, le gouvernement fédéral canadien lance officiellement la certification CPCSC (PCCC) Niveau 1 . Elle sera exigée dans les contrats fédéraux à partir de l’été 2026. CPCSC Niveau 1 est composée de 13 contrôles.

Votre sécurité mérite une conversation

Contactez-nous
AccueilPlateforme XDRStreamEnclaveEDRMDRRéponse aux incidentsCertification CMMCCertification PCCCPolitique de confidentialitéPolitique des cookies
PartenairesÀ proposCarrièresBlogueVidéos et webinairesOutilsLivres blancsRecherchesStratégie de cybersécuritéTest d'intrusionContactez-nous
Solutions de cybersécurité de pointes adaptées aux organisations qui évoluent dans des environnements complexes.
Logo de STREAMSCAN avec le slogan '100% pensé pour optimiser'.
StreamScan a besoin des informations que vous nous fournissez pour vous envoyer notre infolettre. Vous pouvez vous désabonner de nos communications à tout moment. Pour plus d'informations, consultez notre politique de confidentialité.