Cybersécurité
Certification CMMC : ce que les entreprises canadiennes doivent savoir
Auteur
Vooban
Ce qu'est le CMMC et pourquoi ça touche les entreprises canadiennes dès maintenant
Le CMMC (Cybersecurity Maturity Model Certification) est un cadre de cybersécurité obligatoire imposé par le département américain de la Défense (DoD), qui est applicable aux les nouveaux contrats de 2026. Tout fournisseur, sous-traitant ou manufacturier canadien qui gère de l'information non classifiée contrôlée (CUI) dans le cadre d'un programme du DoD doit démontrer sa conformité au CMMC, sans quoi il risque de perdre son admissibilité aux contrats. Le processus de certification prend généralement entre 9 et 18 mois, c'est pourquoi il faut commencer maintenant.
Pour les entreprises canadiennes, le CMMC n'est pas une réalité réservée au marché américain. Au contraire, ces deux échéances convergent : les exigences CMMC américaines sont déjà en vigueur, tandis que son équivalent canadien, le CPCSC, devrait devenir obligatoire pour les contrats fédéraux de défense d'ici 2027. Les organisations qui amorcent dès maintenant leur démarche de certification CMMC prendront une longueur d’avance et accéléreront naturellement leur parcours vers le CPCSC, compte tenu de la forte similitude entre les exigences.
Le cadre comprend trois niveaux :
| Niveau | Nom | Exigences |
| Niveau 1 | Fondamental | 17 contrôles – Auto-évaluation (protection FCI) |
| Niveau 2 | Avancé | 110 contrôles – NIST SP 800-171 (protection CUI) |
| Niveau 3 | Expert | Réglementé ITAR – Audit C3PAO obligatoire |
La majorité des entreprises canadiennes auront besoin du Niveau 2, car c'est le niveau qui s'applique dès qu'on traite d’information non classifiée contrôlée, ce qui est très courant dans les chaînes d’approvisionnement. Le Niveau 2 couvre 110 contrôles de sécurité répartis dans 14 domaines, allant du contrôle d'accès et de la gestion des identités jusqu'à la réponse aux incidents, un domaine où l'IA transforme déjà les opérations de sécurité, la sécurité physique et la gestion des risques liés à la cybersécurité et à la chaîne d'approvisionnement.
Le Niveau 2 couvre 110 contrôles de sécurité répartis dans 14 domaines, allant du contrôle d'accès et de la gestion des identités jusqu'à la réponse aux incidents, la sécurité physique et la gestion des risques liés à la cybersécurité et à la chaîne d'approvisionnement. Sur ce dernier point, les agents IA changent déjà la façon dont les équipes gèrent la détection et le triage des menaces.
Pourquoi les entreprises canadiennes doivent agir maintenant
Aux États-Unis : c'est déjà en vigueur
Depuis 2025, la conformité au CMMC est intégrée dans les nouveaux contrats du DoD. Les entreprises qui soumissionnent sur de nouveaux projets doivent démontrer leur statut de conformité. Les sous-traitants existants ne perdront pas leurs contrats en cours du jour au lendemain, mais les renouvellements exigeront une certification. Le message du DoD ne laisse pas de place à l'ambiguïté : on se certifie ou on perd des contrats.
Au Canada : le CPCSC arrive en 2027
Le Canada a développé son propre équivalent : le Programme canadien de certification en cybersécurité (CPCSC), élaboré par Services publics et Approvisionnement Canada. Il s'appuie sur le NIST SP 800-171 Révision 3 (plutôt que la Révision 2 sur laquelle repose le CMMC) et devrait devenir obligatoire pour les contrats fédéraux de défense canadiens aux alentours de 2027. Comme les deux cadres partagent les mêmes principes de sécurité fondamentaux, les entreprises qui se préparent au CMMC maintenant n'auront qu'un effort minimal à fournir pour atteindre la conformité au CPCSC.
L'avantage concurrentiel d'agir en premier
Les entreprises canadiennes les plus avisées ont déjà compris : la certification prend entre 9 et 18 mois. Celles qui commencent maintenant seront pleinement certifiées et prêtes à soumissionner pendant que leurs concurrentes seront encore en train de courir après la conformité.
Exemple concret : nous avons eu la chance d'accompagner un manufacturier de Niveau 2 en 2025 qui avait reçu une lettre de son donneur d'ordre américain l'informant que la conformité au CMMC serait requise pour maintenir la relation de sous-traitance. Aucun cadre de cybersécurité n'était en place, pas de CISO et aucune politique de sécurité formelle. En s'engageant tôt dans la démarche avec notre équipe, ce manufacturier est aujourd'hui en voie d'obtenir sa certification avant l'échéance contractuelle, ce qui en fait un fournisseur privilégié pendant que ses concurrents sont encore à des mois d’obtenir leur conformité.
Les entreprises qui ne sont pas encore conformes peuvent toujours s'inscrire dans le registre SPRS du DoD, mais leur entrée est marquée d'un astérisque, un statut conditionnel qui indique qu'elles ne sont pas encore pleinement conformes. Ce signal n'est pas du tout le même qu'une certification complète aux yeux d'un donneur d'ordre.
Ce que ça demande concrètement : délais, coûts et efforts
Combien de temps prend la certification CMMC?
Pour une entreprise qui part de zéro, il faut prévoir entre 9 et 18 mois selon le niveau de maturité en cybersécurité, les ressources internes disponibles et l'ampleur des lacunes à combler. Il faut garder à l’esprit que ce n'est pas un exercice de conformité rapide, c'est un projet qui demande une planification sérieuse.
Combien coûte la certification CMMC?
| Profil de l’organisation | Budget estimé |
| PME avec peu de contrôles en place | $100,000 – $300,000 |
| Grandes entreprises avec une meilleure structure | $300,000 – $1M+ |
| Outils de surveillance continue (SIEM, plateformes de conformité) | $1,000 – $5,000/mois |
Ces coûts comprennent l'analyse des écarts, le développement de politiques, la mise en œuvre des contrôles, la collecte de preuves et la préparation à l'audit. À noter qu’il n'y a pas de frais de certification formels pour le Niveau 1, qui repose uniquement sur l'auto-évaluation.
Le Niveau 2 suit deux voies distinctes.
- Les contrats portant sur de la CUI moins sensible n'exigent qu'une auto-évaluation. Aucun certificat n'est émis, seulement une soumission de score accompagnée d'une attestation.
- Les contrats portant sur de la CUI plus sensible exigent quant à eux une évaluation par un tiers accrédité (C3PAO), ce qui donne lieu à un certificat officiel CMMC Niveau 2 valide trois ans, avec des revues annuelles obligatoires.
Le raccourci SOC 2
Si votre entreprise est déjà certifiée SOC 2, vous partez avec une longueur d'avance. Le chevauchement entre les contrôles SOC 2 et CMMC est considérable, ce qui peut rendre le parcours vers la conformité nettement plus court et moins coûteux. Il s'agira principalement d'aligner vos contrôles existants sur le cadre CMMC, de mettre à jour certaines politiques et de rassembler les preuves requises.
Les trois obstacles qui ralentissent le plus les projets
En accompagnant des manufacturiers canadiens du secteur de la défense dans leur démarche CMMC, nous avons constaté que trois obstacles sont responsables de la majorité des retards et des dépassements de coûts. Prendre le temps de les comprendre avant de commencer votre démarche vous permettra d'économiser plusieurs mois.
1. Sous-estimer la complexité
Le CMMC n'est pas qu'un projet informatique, c'est une initiative organisationnelle qui touche la gouvernance, les ressources humaines, la sécurité physique et la gestion de la chaîne d'approvisionnement. Les entreprises qui l'abordent comme une simple liste de vérification technique se retrouvent rapidement dépassées par les 110 contrôles du Niveau 2.
2. Absence de documentation formelle
Plusieurs entreprises ont de bonnes pratiques de sécurité en place, mais n'ont pas documenté leurs politiques, leurs procédures et les preuves associées. Or, le CMMC exige des preuves, pas seulement des pratiques. Chaque contrôle doit donc être démontrable.
3. Définition inadéquate du périmètre CUI
Définir quels systèmes, réseaux et données tombent dans le périmètre CUI est le fondement de toute la démarche. Une erreur à cette étape mène inévitablement soit à un surinvestissement en protégeant tout, soit à un sous-investissement en omettant des actifs critiques. C'est l'erreur la plus coûteuse que nous observons : des entreprises qui investissent dans de nouveaux outils de sécurité et des migrations cloud avant d'avoir clairement défini leur périmètre CUI, pour ensuite devoir refaire le travail une fois le périmètre enfin précisé. Délimitez d'abord votre périmètre et investissez ensuite.
Et le CPCSC canadien dans tout ça ?
Le CPCSC (Programme canadien de certification en cybersécurité) est l'équivalent canadien du CMMC. Il s'appuie sur le NIST SP 800-171 Révision 3, comparativement à la Révision 2 sur laquelle repose le CMMC. Cela signifie que la formulation des contrôles diffère légèrement, mais que les principes de sécurité sous-jacents sont les mêmes. En résumé, les deux cadres visent à protéger l'information sensible liée à la défense au moyen d'un ensemble de contrôles comparables.
Principales différences :
- Le CMMC est une exigence américaine liée aux contrats du DoD, applicable dès maintenant.
- Le CPCSC est l'équivalent canadien, actuellement en développement, dont l'application est prévue d'ici 2027.
- Une entreprise déjà certifiée CMMC n'aura qu'un effort minimal à fournir pour le CPCSC, puisque les exigences sous-jacentes sont étroitement liées.
Pour les entreprises qui travaillent à la fois avec le DoD américain et le ministère de la Défense nationale canadien, se préparer au CMMC en premier est le choix pragmatique, puisque c'est applicable aujourd'hui et que ça vous positionne pour la conformité CPCSC demain.
Avez-vous besoin d'un CISO ?
Une question revient souvent : notre entreprise a-t-elle besoin d'un chef de la sécurité de l'information (CISO) ?
Même si le CMMC n'exige pas formellement que quelqu'un porte le titre exact de CISO, avoir un responsable de la sécurité clairement désigné est essentiel. Quand un auditeur ou un donneur d'ordre demande « qui est responsable de la cybersécurité dans votre organisation ? », il faut une réponse crédible.
Pour les petites entreprises, cela peut se faire en élargissant formellement un rôle existant. Par exemple, votre administrateur de systèmes TI peut aussi être désigné comme responsable de la cybersécurité, ou votre directeur TI peut devenir votre directeur TI et sécurité.
L'essentiel, c'est que la responsabilité en matière de sécurité soit visible dans votre structure organisationnelle et ne soit pas traitée comme un élément secondaire. Sans un responsable nommément désigné, la préparation à l'audit piétine et les lacunes restent sans réponse.
Comment démarrer : vos premières étapes
1. Déterminez votre niveau requis. Passez en revue vos contrats et demandez à vos donneurs d'ordres quel niveau de CMMC ils exigent. Dans la grande majorité des cas, ce sera le Niveau 2.
2. Définissez votre périmètre CUI. Identifiez quels systèmes, réseaux et données dans votre environnement traitent de l'information non classifiée contrôlée. C'est le fondement de toute la démarche, tout le reste s'y appuie. N'investissez pas dans des outils avant d'avoir terminé cette étape.
3. Réalisez une analyse des écarts. Évaluez votre posture de cybersécurité actuelle par rapport aux 110 contrôles CMMC Niveau 2. Vous saurez exactement où vous en êtes et ce qui doit être corrigé.
4. Faites appel à des experts qualifiés. Recherchez des consultants détenant une certification CMMC Registered Practitioner (RP) ou Registered Practitioner Advanced (RPA). À noter : seuls les C3PAO américains peuvent réaliser l'évaluation formelle de certification, mais des consultants canadiens avec les bonnes accréditations peuvent accompagner toute la démarche de préparation.
5. Construisez votre plan et votre calendrier. Avec l'analyse des écarts en main, développez un plan de projet réaliste avec des jalons, un budget et une allocation des ressources. Rappel : c'est un parcours de 9 à 18 mois, pas un sprint d'un mois.
L'essentiel
Pour les entreprises canadiennes qui font partie de la chaîne d'approvisionnement en défense américaine, la conformité au CMMC n'est pas facultative, c'est un impératif d'affaires.
Les entreprises qui bougent maintenant gagnent un avantage concurrentiel, tandis que celles qui attendent risquent de perdre l'accès à certains des contrats les plus stratégiques.
La division en cybersécurité de Vooban détient les accréditations CMMC Registered Practitioner et a accompagné des manufacturiers canadiens tout au long de leur parcours de certification CMMC. De l'analyse des écarts initiale jusqu'à la préparation à l'audit, nous mettons à la disposition de votre équipe l'expertise nécessaire pour atteindre la conformité de manière efficace et rentable.