Le nouveau programme de cybersécurité du Canada présente des nouvelles excitantes pour les organisations cherchant à faire affaire avec le DoD américain
Le gouvernement canadien a récemment annoncé des plans pour un nouveau Programme de Cybersecurity qui représente un développement passionnant pour les organisations au Canada cherchant à faire des affaires avec le Département de la Défense des États-Unis (DoD).
L’annonce indique également que le programme de Certification du Modèle de Maturité en Cybersecurity du DoD (CMMC) gagne en traction à l’échelle mondiale.
Conformité CMMC 2.0 Feuille de route pour les Contractants du DoD
Appelée le Programme canadien pour la Certification en Cybersecurity (CP-CSC), cette nouvelle initiative vise à renforcer la protection des informations de défense fédérale non classifiées tout en garantissant que les fournisseurs canadiens peuvent maintenir l’accès au marché de la défense américaine compétitive. Le CP-CSC est étroitement modélisé sur le CMMC et offre donc aux entrepreneurs de la défense une occasion unique de satisfaire simultanément les deux ensembles d’exigences. Cette “réciprocité cybernétique” entre les départements de la défense des deux nations est également unique, sinon sans précédent.
Le processus de certification CMMC est ardu mais notre feuille de route pour la conformité CMMC 2.0 peut aider.
Motivations pour le CP-CSC
Plusieurs facteurs ont conduit à l’établissement du CP-CSC, y compris :
- Un environnement de menace cybernétique de plus en plus sophistiqué, mettant la chaîne d’approvisionnement de défense domestique du Canada à un risque accru
- Le lancement récent des exigences CMMC 2.0 par le DoD américain, une évolution du CMMC 1.0, auxquelles les fournisseurs canadiens devront se conformer pour accéder aux contrats de défense américains
- La base industrielle de défense du Canada est fortement intégrée avec celle des États-Unis, avec 49% des exportations destinées au marché américain
- Des engagements à améliorer la cybersécurité nationale dans le cadre du Plan d’action en matière de cybersécurité du Canada
Avec le CP-CSC, le gouvernement canadien vise à anticiper les défis émergents en matière de cybersécurité et à protéger ses intérêts nationaux tout en tirant parti d’un modèle de certification mondial existant (CMMC).
Présentation du programme CP-CSC
Le programme CP-CSC aura trois niveaux d’exigences de certification reflétant le CMMC 2.0, le niveau 1 étant les contrôles de base en matière de cyberhygiène évalués par l’auto-évaluation des fournisseurs. Les niveaux 2 et 3 nécessiteront une évaluation externe par des organisations tierces accréditées et le Ministère de la Défense nationale, respectivement.
Le Centre de la sécurité des télécommunications développe une nouvelle norme de certification adaptée des normes NIST comme le CMMC. Les contrats de défense seront identifiés pour une obligation de CP-CSC basée sur des profils de risque déterminés par des évaluations structurées. Les exigences de certification seront introduites progressivement à partir de fin 2024, en se concentrant d’abord sur certains contrats d’approvisionnement de défense de haute priorité. Ceci offre un calendrier raisonnable pour que l’industrie de la défense du Canada se prépare.
POINTS CLÉS
- Initiative CP-CSC du Canada :
Le nouveau programme de certification en cybersécurité du Canada pour le CP-CSC s’aligne sur le programme CMMC du DoD américain et permet aux entrepreneurs de la défense canadiens de répondre simultanément aux deux exigences. - Motivations et vue d’ensemble du CP-CSC :
Le CP-CSC aborde les défis de cybersécurité du Canada et s’intègre au DIB américain. Il comporte trois niveaux de certification, reflétant le CMMC 2.0. - Réciprocité avec le CMMC :
Le CP-CSC permet aux entrepreneurs de la défense canadiens d’obtenir les deux certifications simultanément, offrant aux entrepreneurs certifiés l’accès au marché de la défense américain. - Implications positives et influence mondiale :
L’alignement du CP-CSC avec le CMMC signale l’influence croissante de la réglementation en tant que référence mondiale en matière de cybersécurité. Il renforce également la coopération entre les États-Unis et le Canada en matière de cybersécurité.
Réciprocité avec le CMMC
Une caractéristique clé du CP-CSC est sa réciprocité avec le CMMC. En fin de compte, toute organisation qui obtient la certification CP-CSC obtient également la certification CMMC. Les niveaux de certification CP-CSC refléteront les trois niveaux de profils à risque faible, modéré et élevé du CMMC, ainsi que l’approche d’évaluation et la partie responsable de la conduite de l’évaluation. Le niveau de certification requis pour chaque RFP sera déterminé par un test de blessure dirigé par le Département de la Défense nationale. Avec 49% des exportations de défense canadiennes allant aux États-Unis, la certification CP-CSC – et par défaut la certification CMMC – devient vitale.
La réciprocité a toujours été une priorité dans le processus de développement collaboratif du programme où les Services publics et Approvisionnement Canada est le leader fédéral pour le CP-CSC avec huit autres départements canadiens. Entrer en discussion avec les États-Unis dès le début s’est avéré être un mouvement stratégique judicieux car la réciprocité ouvre un marché de défense américain très compétitif et lucratif aux entrepreneurs en défense canadiens.
Même sans réciprocité, l’alignement du CP-CSC sur les normes basées sur le NIST 800-171 et 172 garantira que les entrepreneurs en défense canadiens développent des programmes et des protocoles de cybersécurité solides.
Possibilités excitantes pour les organisations canadiennes
Pour les entrepreneurs en défense canadiens, le CP-CSC présente des possibilités excitantes. Les organisations peuvent prendre de l’avance dès maintenant, en utilisant la norme CP-CSC à venir comme guide pour améliorer leur posture en matière de cybersécurité, même avant que la certification ne devienne obligatoire comme communiqué par le DoD en 2024. Cela peut réduire les risques, éviter une précipitation de dernière minute et transformer la cybersécurité en un avantage concurrentiel.
La participation au CP-CSC ouvre également potentiellement les portes du marché de la défense américaine sur la base de l’acceptation réciproque avec le CMMC. Cela offre aux entrepreneurs en défense canadiens potentiellement des milliards de dollars en nouvelles opportunités commerciales.
Au fur et à mesure que le CP-CSC mûrit, il pourrait également s’étendre au-delà de la défense vers d’autres secteurs, tout comme le CMMC vise à s’étendre à travers l’infrastructure critique des États-Unis telle que les télécommunications et la banque. Le CP-CSC construit finalement une résilience cybernétique à un moment où les cybermenaces sont en augmentation ; améliorer les défenses maintenant est impératif.
Implications positives pour le CMMC à l’échelle mondiale
En tant que l’une des premières adoptions internationales du CMMC, le CP-CSC du Canada signale l’influence croissante du modèle CMMC à l’échelle mondiale. Le choix du gouvernement canadien d’aligner étroitement avec le CMMC reflète la confiance dans la rigueur du cadre CMMC.
Le CP-CSC offre un chemin de certification compatible avec le CMMC pour un allié clé des États-Unis. Cela renforce la crédibilité et la maturité du CMMC en tant que référence en matière de cybersécurité. Il démontre également l’adaptabilité et la valeur du CMMC pour les alliés ayant des intérêts alignés dans la protection de la Base Industrielle de Défense des États-Unis (DIB). Avec plus de 300 000 entreprises dans la DIB soutenant des missions critiques du DoD et manipulant des données sensibles, les risques de cyberattaques et de violations sont immenses. Le CMMC renverse la tendance de la simple auto-attestation à des audits et des certifications obligatoires par des tiers pour valider et appliquer la sécurité. Cette immense entreprise est vitale pour la sécurité nationale et le maintien de l’avantage militaire de l’Amérique.
Alors que les discussions avancent autour de la réciprocité, le CP-CSC peut renforcer la coopération stratégique entre les États-Unis et le Canada en matière de cybersécurité. Des normes partagées renforcent la confiance et l’interopérabilité. Avec d’autres partenaires des États-Unis et les alliés de l’OTAN qui pourraient suivre l’exemple du Canada à l’avenir, le CP-CSC représente une avancée précoce vers un alignement large. Cela démontre la prometteuse évolutivité du CMMC pour mieux sécuriser les chaînes d’approvisionnement de défense à l’échelle mondiale.
Regard vers l’avenir : Prochaines étapes du CP-CSC
Le Programme canadien pour la certification en cybersécurité offre une chance excitante aux organisations canadiennes d’obtenir un avantage compétitif avec la cybersécurité et l’accès au marché de la défense américaine. Il augure également bien de l’influence croissante du CMMC en tant que norme de sécurité mondiale.
Alors que les calendriers et les détails peuvent évoluer, le plan du gouvernement canadien trace une voie réfléchie. Pour des industries comme la défense avec des chaînes d’approvisionnement mondiales intégrées, l’amélioration de la cybersécurité est un effort collaboratif nécessitant engagement, coordination et confiance avec les alliés et partenaires.
Avec le paysage des menaces qui ne risque pas de se calmer de sitôt, le CP-CSC représente un investissement proactif dans la préparation et la résilience en matière de cyber. Dans l’ensemble, ce nouveau programme innovant marque un pas encourageant en avant, tant pour le Canada que pour l’étranger.
Kiteworks aide les organisations à démontrer leur conformité avec le CMMC et donc le CP-CSC
Pour les sous-traitants dans le DIB, l’obtention de la certification CMMC est désormais une condition préalable essentielle pour faire affaire avec le DoD. Il s’agit d’un investissement significatif pour les sous-traitants habitués à auto-certifier leur conformité. Kiteworks est particulièrement qualifié pour aider les organisations à démontrer leur conformité avec le CMMC.
Avec des contrôles d’accès granulaires, un chiffrement robuste, une journalisation et un reporting d’activités complets, et d’autres fonctionnalités avancées, Kiteworks offre un multiplicateur de force pour les organisations qui visent la certification CMMC Niveau 2.
L’autorisation FedRAMP Moderate existante de Kiteworks correspond à plus de 300 contrôles NIST, les sous-traitants ont donc une base solide sur laquelle construire avec des étapes supplémentaires comme l’amélioration de la sécurité des points d’extrémité, la formation et les processus formels. Kiteworks aide également à centraliser et normaliser les politiques de sécurité, les contrôles et la visibilité à travers les canaux de communication.
Le chemin vers la certification CMMC peut être long, mais face à la croissance quotidienne des cyber-menaces, il n’y a pas de temps à perdre pour sécuriser les données sensibles de l’Amérique et ses capacités de défense critiques.
Le réseau de contenu privé Kiteworks, une plateforme de validation FIPS 140-2 Level pour le partage sécurisé de fichiers et le transfert sécurisé de fichiers, consolide l’email, le partage de fichiers, les formulaires web, le SFTP et le transfert de fichiers gérés, permettant ainsi aux organisations de contrôler, protéger et suivre chaque fichier lorsqu’il entre et sort de l’organisation.
Kiteworks prend en charge près de 90% des exigences CMMC 2.0 Level 2 directement. En conséquence, les entrepreneurs et sous-traitants du DoD peuvent accélérer leur processus d’accréditation CMMC 2.0 Level 2 en s’assurant qu’ils ont la bonne plateforme de communication de contenu sensible en place.
Avec Kiteworks, les entrepreneurs et sous-traitants du DoD unifient leurs communications de contenu sensible dans un réseau de contenu privé dédié, en tirant parti des contrôles de politique automatisés et des protocoles de cybersécurité qui s’alignent sur les pratiques CMMC 2.0.
Kiteworks permet une conformité rapide à la CMMC 2.0 grâce à des capacités et des fonctionnalités clés, notamment :
- Certification conforme aux principales normes et exigences de conformité du gouvernement américain, y compris SSAE-16/SOC 2, NIST SP 800-171 et NIST SP 800-172
- Validation FIPS 140-2 niveau 1
- Autorisé par FedRAMP pour le niveau d’impact modéré CUI
- Chiffrement AES-256 bits pour les données au repos, TLS 1.2 pour les données en transit, et possession unique de la clé de chiffrement
Les options de déploiement de Kiteworks comprennent sur site, hébergé, privé, hybride, et le cloud privé virtuel FedRAMP. Avec Kiteworks : contrôlez l’accès au contenu sensible ; protégez-le lorsqu’il est partagé en externe en utilisant le chiffrement de bout en bout automatisé, l’authentification multifactorielle, et les intégrations d’infrastructure de sécurité ; voyez, suivez et rapportez toute activité de fichier, à savoir qui envoie quoi à qui, quand et comment. Enfin, démontrez la conformité avec les réglementations et normes telles que le RGPD, HIPAA, CMMC, Cyber Essentials Plus, IRAP, et bien d’autres.
Pour en savoir plus sur Kiteworks, programmez une démonstration personnalisée dès aujourd’hui.
Ressources supplémentaires
- Article de blog Choisir le niveau CMMC qui convient à votre entreprise
- Article de blog Si vous devez vous conformer au CMMC 2.0, voici votre liste de contrôle complète pour la conformité CMMC
- Article de blog Un itinéraire pour la conformité CMMC 2.0 pour les contractants du DoD
- Guide Cartographie de la conformité CMMC 2.0 pour les communications de contenu sensible
- Article de blog 12 choses que les fournisseurs de la base industrielle de défense doivent savoir lors de la préparation à la conformité CMMC 2.0