Anita Anand, (l’ancienne) ministre de la Défense nationale, a annoncé officiellement à l’événement CANSEC 2023 que le Programme canadien de certification en matière de cybersécurité (le « Programme ») deviendra une exigence obligatoire de cybersécurité pour les entreprises de défense canadiennes. Le Programme vise à protéger les données gouvernementales stockées dans les systèmes, les réseaux et les applications de tiers, en réponse au nombre croissant de menaces à la cybersécurité survenant à l’intérieur du Canada, notamment celles qui ciblent les entrepreneurs faisant affaire avec le gouvernement et le secteur de la défense.
Établi en partenariat avec Services publics et Approvisionnement Canada, la Défense nationale et le Conseil canadien des normes, le Programme cadre avec les objectifs du Plan d’action national en matière de cybersécurité ainsi que ceux de la Stratégie nationale de cybersécurité du Canada [1].
Le gouvernement fédéral a affecté 25 millions de dollars sur trios ans à la création du Programme dans le budget de 2023.
À noter que des consultations avec le secteur de la défense et d’autres intervenants clés devraient commencer au cours des prochains mois [2].
Que fera le Programme et à quoi s’appliquera-t-il?
Voici ce qu’il faut retenir :
- Le Programme s’appliquera à certains contrats canadiens en fonction d’un cadre de risque, en commençant par les contrats de défense.
- Le Programme aidera et élargira le secteur canadien de la cybersécurité en créant une solution durable et évolutive pour la certification en cybersécurité.
- Une norme canadienne sur la cybersécurité industrielle fondée sur les normes établies par le National Institute of Standards and Technology (NIST) sera développée en paralléle avec la certification en matière de cybersécurité des États-Unis.
- Le Programme permettra la reconnaissance mutuelle de la certification entre les deux pays et à l’échelle internationale.
- Les normes auxquelles les entrepreneurs doivent se conformer en matiére de la cybersécurité seront ainsi accrues pour l’industrie canadienne dans son ensemble.
- Le Programme répondra aux exigences opérationnelles des Forces armées canadiennes en maintenant l’intégrité des systèmes des fournisseurs.
Quelles sont les prochaines étapes? À quoi s’attendre?
Bien que sa publication était prévue pour juillet 2023 et que sa mise en œuvre soit prévue pour la fin de 2024, à la date de publication du présent bulletin, la politique n’est pas encore disponible.
Pour les petits et moyens fournisseurs (PME), le Conseil canadien des normes octroiera des certifications volontaires de cybersécurité en application de la norme existante CyberSécuritaire Canada.
Bien que l’on ne sache pas exactement comment le soutien du Canada à l’Ukraine entrera dans le champ d’application du Programme, il est probable que cette nouvelle politique du secteur de la défense s’appliquera à une grande partie de l’aide technique fournie par le Canada à l’Ukraine.
[1] Lien vers le communiqué de presse contenant l’annonce du Programme : https://www.canada.ca/fr/services-publics-approvisionnement/nouvelles/2023/05/le-gouvernement-du-canada-aide-lindustrie-de-la-defense-a-se-proteger-contre-les-menaces-a-la-cybersecurite.html.
[2] Les avis de consultation seront affichés sur le site du service d’appels d’offres en ligne du gouvernement : https://canadabuys.canada.ca/fr.
