En cas d’incident de sécurité, notre Force d’intervention Rapide est disponible 24h/24 et 7j/7

Programme de certification en cybersécurité canadien

Le Programme de certification en cybersécurité canadien (PCCC) n’est pas seulement une exigence réglementaire : c’est aussi un gage de confiance pour vos partenaires et clients.
En vous conformant au PCCC, vous démontrez votre capacité à protéger les renseignements sensibles et à répondre aux standards de sécurité attendus par le gouvernement et les grandes organisations canadiennes.

Avec notre accompagnement, transformez cette obligation en avantage compétitif : sécurisez vos données, renforcez votre crédibilité et ouvrez la porte à de nouvelles opportunités d’affaires au sein du marché canadien.

Contactez-nous

3

En 2025, pour se conformer au PCCC, une organisation doit respecter l’ensemble des 3 niveaux de certification prévus par le programme canadien (auto-évaluation, évaluation par un tiers accrédité et audit gouvernemental).

Site du gouvernement Canadien

Quelle démarche adopter pour se conformer au PCCC ?

Travailler avec le gouvernement du Canada implique de démontrer sa maturité en cybersécurité à travers un programme exigeant, aligné sur les bonnes pratiques du NIST SP 800-171 et adaptées au contexte canadien via l’ITSP.10.171.
La conformité au PCCC ne s’improvise pas : elle nécessite une approche progressive, structurée et rigoureusement documentée.

Pour réussir votre certification PCCC, il faut adopter une démarche en 4 étapes clés :

Identifier : Quels systèmes traitent des renseignements contrôlés (IC) ?
Quels sont les périmètres techniques et organisationnels concernés ?
Faut-il segmenter ou isoler certains environnements pour limiter l’exposition ?

Analyser : Où en êtes-vous face aux exigences de l’ITSP.10.171 (basées sur le NIST SP 800-171) ?
Quels écarts persistent (gap analysis) ?
Quel niveau de certification (1, 2 ou 3) visez-vous ?

Évaluer : Êtes-vous prêt pour une auto-évaluation annuelle (niveau 1), une évaluation par un organisme accrédité (niveau 2) ou un audit gouvernemental (niveau 3) ?
Disposez-vous des preuves nécessaires pour démontrer votre conformité ?
Avez-vous un plan d’actions (POA&M) pour corriger vos écarts ?

Traiter : Quelles actions correctrices devez-vous prioriser ?
Comment renforcer la protection de vos accès, de vos journaux et de vos données sensibles (IC) ?
Comment intégrer la conformité PCCC dans votre stratégie GRC et vos pratiques de cybersécurité globales ?

Cette approche structurée vous permet d’appréhender le PCCC comme une opportunité d’alignement stratégique et de renforcement de votre posture cyber.
Nos consultants GRC vous accompagnent de bout en bout, de la cartographie à l’évaluation finale, en passant par le coaching documentaire, technique et organisationnel.

Se mettre en conformité avec le PCCC, c’est :

  • Gagner l’accès aux marchés publics et aux contrats liés au gouvernement du Canada
  • Renforcer la protection de vos renseignements contrôlés (IC)
  • Structurer vos processus de cybersécurité autour d’un cadre reconnu internationalement
  • Réduire vos risques et mieux maîtriser vos coûts de remédiation

Une équipe d’experts GRC certifiés et accessibles

Une expertise reconnue en conformité

Formind vous accompagne avec des consultants spécialisés en Gouvernance, Risques et Conformité, disposant d’une maîtrise approfondie des standards NIST, ISO 27001, SOC 2 ou encore PCI-DSS.
Nos méthodologies sont alignées avec les référentiels exigés par le PCCC, garantissant une approche conforme, pragmatique et efficiente

Des consultants formés aux exigences du PCCC

Nos experts sont familiarisés avec les exigences du Programme canadien de certification en cybersécurité, ainsi qu’avec le guide de référence ITSP.10.171 du Centre canadien pour la cybersécurité, basé sur le NIST SP 800-171 / 800-172.
Cette expertise nous permet de vous orienter efficacement dans vos démarches d’auto-évaluation (niveau 1), d’évaluation tierce (niveau 2) et de préparation à l’audit gouvernemental (niveau 3).

Un accompagnement à taille humaine

Notre équipe vous suit tout au long de votre projet, du diagnostic initial jusqu’à la certification.
Disponibles et engagés, nos consultants s’adaptent à vos contraintes techniques, métiers et budgétaires, pour construire une trajectoire de conformité réaliste et durable.

image tablette pour référence client

Nos références clients

Secteur : aéronautique
Description de la mission :
Accompagnement complet d’un sous-traitant du gouvernement Canadien, incluant l’analyse de maturité, la mise en œuvre des contrôles ITSP.10.171 / NIST SP 800-171 , la préparation à l’audit et la gestion documentaire.

FAQ

Combien de temps faut-il pour obtenir la certification PCCC ?

La durée varie selon le niveau visé et la maturité initiale de l’organisation. En moyenne, un projet de mise en conformité prend de 6 à 12 mois, incluant la phase de diagnostic, de remédiation et l’évaluation finale. Pour les entreprises déjà alignées sur le NIST SP 800-171 / ITSP.10.171, ce délai peut être réduit à quelques mois.

Quels sont les niveaux du PCCC et lequel choisir ?

Le PCCC comporte 3 niveaux :

  • Niveau 1 : auto-évaluation annuelle pour les renseignements de faible sensibilité.
  • Niveau 2 : évaluation externe par un organisme tiers accrédité pour les renseignements contrôlés (IC).
  • Niveau 3 : audit gouvernemental (Ministère de la Défense nationale / SPAC) pour les programmes les plus critiques.
    Le niveau dépend du type de données traitées et des exigences contractuelles du gouvernement canadien.

Qui peut réaliser un audit PCCC ?

Seuls des organismes accrédités par le gouvernement canadien (équivalents aux C3PAO américains) sont habilités à réaliser les évaluations officielles du niveau 2. Le niveau 3 est conduit directement par les autorités fédérales.

Quelle est la différence entre PCCC et NIST SP 800-171 ?

Le PCCC reprend les 110 contrôles du NIST SP 800-171, adaptés au contexte canadien via le guide ITSP.10.171 du Centre canadien pour la cybersécurité. Il ajoute des exigences formelles de certification et d’audit, ce qui en fait un cadre obligatoire et contractuel pour les fournisseurs du gouvernement canadien.

Que se passe-t-il en cas de non-conformité détectée lors de l’audit ?

Un Plan d’actions et de suivi peut être exigé afin de corriger les écarts identifiés. Des délais peuvent être accordés, mais la conformité doit être démontrée avant toute validation finale et attribution de contrat sensible.

Les entreprises étrangères sont-elles concernées par le PCCC ?

Oui. Toute organisation, canadienne ou internationale, qui souhaite fournir des biens ou services au gouvernement du Canada (ou à ses sous-traitants impliqués dans la gestion de renseignements contrôlés) doit démontrer sa conformité au PCCC

Quels sont les bénéfices de la certification PCCC ?

  • Accès privilégié aux contrats gouvernementaux et marchés stratégiques
  • Renforcement de la protection des renseignements sensibles
  • Amélioration de la maturité cyber et de la résilience organisationnelle
  • Gain de confiance auprès des partenaires et clients

Restons en contact

Nos experts vous accompagnent de manière permanente dans vos problématiques cyber. Une question ? Vous êtes au bon endroit et nous nous engageons à vous répondre sous 24h !

Nous contacter