Exigences de cybersécurité militaire pour la vente aux entités gouvernementales

Jeudi, 12 février 2026

Connaissances pratiques relatives aux cadres réglementaires

La cybersécurité … est désormais aussi vitale à la puissance militaire que les chars, les avions ou la marine

Dans le domaine de la cybersécurité, il y a une nouvelle expertise appelée la cybersécurité militaire. Dans l’optique de la défense, la cybersécurité militaire consiste à protéger les systèmes numériques, les réseaux informatiques et les données substantielles des forces armées contre les cybermenaces, garantissant ainsi leur disponibilité opérationnelle, la défense nationale et la sécurité des communications dans la conjoncture de la guerre moderne. Elle est aujourd’hui aussi vitale à la puissance militaire que les chars (l’armée de terre), les avions (l’armée de l’air) et les flottes navales (la marine). Elle englobe les règles, les stratégies, les technologies et les cadres juridiques utilisés par les organismes de défense pour protéger les renseignements confidentiels, les systèmes de commandement et de contrôle, les satellites, les drones et les réseaux des communications militaires contre les cyberattaques. Elle comprend à la fois les mesures défensives (protection des systèmes contre les intrusions) et les capacités offensives (opérations de cyberguerre contre les adversaires).

Dans le contexte de la vente de matériel militaire à des entités gouvernementales au Canada, aux États-Unis et au Royaume-Uni, les PME, fournisseurs ou entrepreneurs doivent se conformer rigoureusement aux cadres de cybersécurité militaire, aux normes internationales et aux règles d’approvisionnement. À ce sujet, il convient de préciser que, relativement au CMMC américain, les PME, fournisseurs ou entrepreneurs canadiens doivent appliquer le cadre réglementaire FAR 52.204-21, qui englobe 15 mesures de protection de base des systèmes informatiques des entrepreneurs concernés, et non la norme NIST SP 800-171. Bien que chaque juridiction souveraine gère son propre écosystème réglementaire, il y a certains points communs notamment : la protection des données gouvernementales confidentielles, la sécurisation du développement de logiciels, et la démonstration de la conformité par l’intermédiaire des audits ou des certifications.

Par conséquent, quelles sont les exigences de cybersécurité militaire auxquelles doivent se conformer les entrepreneurs et fournisseurs canadiens qui souhaitent vendre du matériel de défense aux gouvernements du Canada, des États-Unis et du Royaume-Uni? Notre Infolettre offre des connaissances pratiques relatives aux cadres réglementaires et les diverses habilitations de sécurité reliées à cette question. Les hyperliens gouvernementaux crédibles (1 à 20) mentionnés à la fin de cette Infolettre ont été dûment consultés, soigneusement analysés, raccourcis de manière exhaustive et adaptés pour la rédaction de plusieurs parties de ce manuscrit.

Gouvernement du Canada : exigences importantes en matière de cybersécurité

  • Politiques du Secrétariat du Conseil du Trésor du Canada (SCTC) : les fournisseurs doivent se conformer aux directives sur la sécurité des TI, la gestion des vulnérabilités, l’application des correctifs et le signalement des cyber incidents.
  • Guide du Centre canadien pour la cybersécurité (CCCS) : fournit des contrôles de base, des évaluations des cybermenaces et des programmes de certification (par exemple : critères communs, validation des modules de chiffrement).
  • Autorisations/habilitations de sécurité : environ 88 % des contrats de TI exigent des autorisations de sécurité pour le personnel et l’organisation.
  • Stratégie nationale de cybersécurité : met l’accent sur la collaboration avec les entreprises pour protéger les Canadiens et exige une cyber-résilience face à l’évolution des cybermenaces.
  • Stratégie de cybersécurité de l’entreprise – Gouvernement du Canada : une approche pangouvernementale exigeant que les fournisseurs démontrent leur conformité aux normes de cybersécurité à l’échelle de l’entreprise.
  • Programme canadien de certification en cybersécurité (PCCC) : le nouveau Programme de certification obligatoire en cybersécurité du Canada pour les fournisseurs de la défense a été lancé en mars 2025. Le PCCC garantit que les entreprises qui soumissionnent ou travaillent avec le Gouvernement du Canada respectent des normes rigoureuses en matière de cybersécurité afin de protéger les renseignements gouvernementaux confidentiels.

Gouvernement des États-Unis : principales obligations en matière de cybersécurité

  • Réglementation fédérale des acquisitions (FAR) et DFARS : les entreprises de défense doivent se conformer à la norme NIST SP 800-171 relative à la protection des renseignements non classifiés contrôlés (CUI).
  • Certification du modèle de maturité en cybersécurité (CMMC) : obligatoire pour les fournisseurs de la chaîne d’approvisionnement de la défense, avec différents niveaux de conformité en matière de cybersécurité.
  • Décrets présidentiels et nouvelles normes : les réglementations récentes imposent aux fournisseurs de logiciels d’assurer la transparence, d’adopter des pratiques de développement logiciel sécurisées et de signaler les incidents.
  • Contrôles de sécurité essentiels : la prévention des fuites de données dans l’infonuagique, le chiffrement et la surveillance continuelle constituent des exigences minimales.
  • Signalement des incidents : les entreprises et les sous-traitants doivent signaler les incidents de cybersécurité dans des délais stricts, conformément à la réglementation fédérale.

Gouvernement du Royaume-Uni : exigences essentielles en matière de cybersécurité

  • Norme gouvernementale de cybersécurité : tous les services et infrastructures numériques doivent être conformes au Cadre britannique d’évaluation de la cybersécurité (CAF) et aux principes de « Sécurité dès la conception ».
  • Norme fonctionnelle GovS 007 : définit les exigences en matière de protection des actifs gouvernementaux, des données des citoyens et des systèmes des fournisseurs.
  • Projet de loi sur la cybersécurité et la résilience (2025) : met à jour la réglementation britannique sur les réseaux et les systèmes informatiques (NIS), et étend les obligations des fournisseurs à tous les secteurs.
  • Profils CAF obligatoires : les fournisseurs doivent démontrer leur conformité aux profils CAF adaptés à leur exposition aux risques.
  • Responsabilité au niveau du Conseil d’administration : le nouveau projet de loi fait de la cybersécurité une priorité stratégique, exigeant une gouvernance et une planification de la résilience.

Points communs de l’écosystème de cybersécurité au Canada, aux États-Unis et au Royaume-Uni

  • Mesures de sécurité de base : chiffrement, gestion des correctifs, analyse des vulnérabilités et configurations sécurisées.
  • Signalement des incidents : divulgation obligatoire des violations de données ou des cyber-événements dans les délais impartis.
  • Sécurité de la chaîne d’approvisionnement : les fournisseurs doivent s’assurer que leurs sous-traitants respectent également les normes.
  • Certification et vérifications : les normes NIST SP 800-171 (États-Unis), CAF (Royaume-Uni) et toutes les lignes directrices du Centre canadien pour la cybersécurité exigent une démonstration de conformité.
  • Développement sécurisé : Les principes de « sécurité dès la conception » sont désormais intégrés à diverses réglementations d’approvisionnement à l’échelle mondiale.

Figure 1 : Exigences fondamentales de cybersécurité pour l’acquisition de matériel relié à la défense

Principaux attributs Gouvernement du Canada Gouvernement des États-Unis Gouvernement du Royaume-Uni
Priorités principales Protection des renseignements du gouvernement canadien et de la défense sur les systèmes de fournisseurs. Protection des renseignements confidentiels du ministère de la Défense des États-Unis et des renseignements relatifs aux contrats fédéraux. Cybersécurité de la chaîne d’approvisionnement de la défense pour les contrats du ministère britannique de la Défense.
Inscription référentielle des fournisseurs ou du Programme Inscription au Programme des marchandises contrôlées (PMC); règles de sécurité industrielle; Programme canadien de certification en cybersécurité (PCCC). Clauses du Supplément au Règlement fédéral sur les acquisitions de la défense (DFARS) ; auto-évaluations des entrepreneurs et certification du Modèle de maturité en cybersécurité (CMMC). Modèle de cybersécurité du ministère de la Défense (MCD) ; inscription des fournisseurs pour les travaux de défense.
Certifications/assurances requises Conformité au PMC; Programme canadien de certification en cybersécurité (PCCC). Conformité à la norme NIST SP 800 171; niveaux CMMC 2.0; répercussions de la norme DFARS 252.204 7012. Cyber Essentials/Cyber Essentials Plus; MOD CSM v4 ; Certification en cybersécurité de la Défense.
Exigences en matière d’infonuagique et d’hébergement Directives gouvernementales relatives à la gestion des diverses données contrôlées; des contrôles spécifiques à l’infonuagique pourraient être requis. Services d’infonuagique autorisés par FedRAMP pour les renseignements non classifiés contrôlés (CUI); signalement des incidents au ministère de la Défense. Service de cyber protection des fournisseurs; les exigences en matière d’infonuagique sont reliées aux lignes directrices du CSM et du Centre national de cybersécurité (NCSC).
Contrôles des exportations et du commerce Loi sur la production de défense/Réglementation sur les biens contrôlés pour les articles militaires. ITAR pour les articles de défense; EAR pour les articles à double usage et les réexportations. Contrôles des exportations et règles de sécurité des marchés publics de défense au Royaume-Uni; dérogations pour des raisons de sécurité nationale.
Signalement des incidents de cybersécurité et répercussions contractuelles Contrôles de sécurité obligatoires et signalement des incidents de cybersécurité pour les fournisseurs enregistrés des marchandises contrôlées. Signalement obligatoire des incidents de cybersécurité en vertu du DFARS; répercussions contractuelles sur les sous-traitants. Clauses contractuelles du ministère de la Défense, signalement des incidents et obligations en matière de sécurité de la chaîne d’approvisionnement.

Aperçu des attentes des entités gouvernementales envers les fournisseurs du secteur militaire

Les entités gouvernementales considèrent les acquisitions de défense et militaires comme présentant un risque élevé pour la sécurité nationale et elles appliquent donc des exigences strictes en matière de sécurité industrielle, de certification de cybersécurité, de contrôle des exportations et de répercussions contractuelles, en plus des règles d’approvisionnement habituelles. Les fournisseurs doivent s’attendre à être enregistrés, à respecter des vérifications techniques de base, à faire l’objet d’une vérification des antécédents de leur personnel, à être tenus de signaler tout incident de cybersécurité et à se voir imposer des restrictions quant au lieu et aux modalités de stockage et de transmission des données de défense.

Gouvernement du Canada

Programme des marchandises contrôlées (PMC) et Programme canadien de certification en cybersécurité (PCCC)

  • Programme des marchandises contrôlées (PMC) : Toute organisation qui examine, possède ou transfère diverses marchandises contrôlées au Canada doit s’inscrire au PMC en vertu de la Loi sur la production de défense et du Règlement sur les marchandises contrôlées. Le programme encadre la possession, le transfert et les plans de sécurité des articles à vocation militaire et des données techniques connexes.
  • Obligations en matière de sécurité industrielle : les entités inscrites doivent mettre en œuvre des plans de sécurité, désigner des responsables et se conformer aux évaluations de sécurité et à la tenue de registres reliées à la manipulation des marchandises contrôlées.
  • Programme canadien de certification en cybersécurité (PCCC) : Le Gouvernement du Canada a lancé un programme de certification en cybersécurité obligatoire pour les fournisseurs de certains contrats de défense (le déploiement progressif a débuté en 2025) afin de protéger les renseignements gouvernementaux non classifiés dans les systèmes informatiques des fournisseurs. Ce programme est conçu pour s’harmoniser étroitement avec des modèles comme le CMMC américain et précisera les niveaux de certification et les échéanciers pour les contrats concernés.

Programme des marchandises contrôlées (PMC)

Le Programme des marchandises contrôlées (PMC) est le programme canadien de sécurité industrielle qui réglemente l’accès à certaines marchandises, composantes et données techniques reliées à la sécurité militaire et nationale. Il est administré par Services publics et Approvisionnement Canada (SPAC) en vertu de la Loi sur la production de défense et du Règlement sur les marchandises contrôlées.

Caractéristiques principales du PMC

  • Objectif : prévenir la prolifération des marchandises tactiques et stratégiques en contrôlant qui peut examiner, posséder ou transférer des marchandises contrôlées et des technologies connexes au Canada.
  • Portée : couvre des marchandises telles que les armes, le matériel militaire, les systèmes satellitaires, le matériel de communication et la propriété intellectuelle connexe (exemples : maquettes conceptuelles, spécifications techniques).
  • Obligation d’inscription : toute personne ou organisation au Canada qui doit manipuler des marchandises contrôlées doit s’inscrire au PMC.
  • Obligations de sécurité : les personnes inscrites doivent élaborer et tenir à jour un plan de sécurité, désigner un agent de sécurité et se soumettre à des évaluations de sécurité pour assurer leur conformité.
  • Sous-traitants : si des sous-traitants ont accès à des marchandises contrôlées, ils doivent aussi s’inscrire au PMC.
  • Lien avec les contrôles à l’exportation : le PMC fonctionne de concert avec le Régime canadien de contrôle des exportations, garantissant ainsi la protection des marchandises et technologies confidentielles au pays avant toute exportation.

Pourquoi le Programme des marchandises contrôlées est-il important?

Pour les entreprises qui fournissent du matériel militaire au gouvernement canadien (ou à des gouvernements étrangers par le biais de contrats canadiens), l’inscription au Programme des marchandises contrôlées est souvent obligatoire. Elle garantit que seules les organisations et le personnel autorisés peuvent accéder aux articles de défense sensibles, réduisant ainsi les risques d’espionnage, de détournement ou de transfert non autorisé.

Programme canadien de certification en cybersécurité (PCCC)

Le PCCC est une nouvelle initiative fédérale visant à renforcer la cybersécurité dans la chaîne d’approvisionnement du secteur de la défense au Canada. Il établit des exigences de certification obligatoires pour les fournisseurs qui soumissionnent ou travaillent dans le cadre de certains contrats de défense du Gouvernement du Canada.

Objectifs

  • Protéger les renseignements gouvernementaux non classifiés stockés sur les réseaux, les systèmes et les applications des fournisseurs.
  • Réduire les risques reliés aux cyber-activités malveillantes visant la chaîne d’approvisionnement de la défense du Canada.
  • Harmoniser l’approche du Canada avec celle de ses partenaires internationaux, notamment la certification CMMC du ministère de la Défense des États-Unis.

Principales caractéristiques

  • Niveaux de certification : le PCCC offre trois niveaux de certification, adaptés au degré de confidentialité des renseignements et aux exigences contractuelles.
  • Évaluations par des tiers : des organismes accrédités (par l’entremise du Conseil canadien des normes) effectueront des évaluations indépendantes des contrôles de cybersécurité des fournisseurs.
  • Conformité aux normes : le programme est fondé sur la norme canadienne ITSP.10.171 (Protection des renseignements contrôlés dans les systèmes non gouvernementaux) et intègre l’accréditation ISO/CEI 17020 pour les organismes d’évaluation.
  • Objectif de reconnaissance mutuelle : le Canada travaille à la reconnaissance du PCCC avec le cadre du CMMC américain afin de réduire les doubles obligations de conformité pour les fournisseurs actifs sur les deux marchés.
  • Calendrier de mise en œuvre : la Phase 1 a été lancée en 2025, avec une application graduelle des exigences à certains contrats de défense. Un déploiement plus étendu est prévu dans les phases ultérieures.

Avantages

  • Pour le Canada : protection renforcée des renseignements confidentiels en matière de défense, résilience accrue face aux cybermenaces et harmonisation avec les stratégies nationales de cybersécurité.
  • Pour les fournisseurs : exigences claires et normalisées, reconnaissance potentielle à l’échelle internationale et crédibilité accrue dans le cadre des acquisitions du matériel de défense.

Résumé : semblable au CMMC américain, le PCCC est l’équivalent canadien d’un programme de certification en cybersécurité des fournisseurs de matériel de défense. Il est devenu une condition préalable obligatoire à certains contrats militaires et de défense à compter de 2025.

Gouvernement des États-Unis

NIST, DFARS, CMMC et contrôles des exportations

  • NIST SP 800 171 et DFARS 252.204 7012 : Les entreprises sous contrat avec le ministère américain de la Défense (DoD) qui traitent des renseignements non classifiés contrôlés (CUI) doivent mettre en œuvre les contrôles de la norme NIST SP 800 171 et se conformer à la clause DFARS 252.204 7012, qui impose la protection des CUI et le signalement des incidents de cybersécurité. Cette clause exige également l’utilisation des services infonuagiques approuvés et la transmission de ces exigences aux sous-traitants.
  • CMMC : La certification CMMC fournit un cadre d’évaluation et de certification (niveaux alignés sur les contrôles du NIST) que le DoD intègre graduellement dans ses contrats. Les fournisseurs doivent suivre les recommandations du CMMC et soumettre les attestations ou certifications tierces requises, conformément aux exigences contractuelles.
  • Contrôles des exportations (ITAR/EAR) : le matériel de défense, les données techniques et les services reliés à la défense peuvent être soumis aux contrôles ITAR (administrés par le Département d’État) ou EAR (Département du Commerce). La classification des exportations, les licences et les restrictions relatives aux personnes étrangères et aux transferts sont essentielles pour les marchandises et données techniques à vocation militaire.
  • Services d’infonuagique et FedRAMP : lorsque des services d’infonuagique sont utilisés pour traiter des informations classifiées contrôlées (CUI), le ministère américain de la Défense exige des fournisseurs de services infonuagiques agréés FedRAMP, et des procédures spécifiques de signalement et de gestion des incidents.

Trois niveaux de certification délimités par le cadre CMMC 2.0

Il convient de préciser que, relativement au CMMC américain, les fournisseurs et entrepreneurs canadiens doivent appliquer le cadre réglementaire FAR 52.204-21, qui englobe 15 mesures de protection de base des systèmes informatiques sécurisés des entrepreneurs, et non la norme NIST SP 800-171.

Le cadre CMMC 2.0 définit trois niveaux de certification reflétant une maturité croissante en matière de cybersécurité et de confidentialité des données.

Le Niveau 1 – Fondamental – exige la mise en œuvre de 17 pratiques de base pour protéger les informations contractuelles fédérales (ICF), conformément à la norme FAR 52.204-21.

Le Niveau 2 – Avancé – s’appuie sur ces fondements et impose 110 contrôles basés sur la norme NIST SP 800-171 pour protéger les informations non classifiées contrôlées (INC). Il exige également des évaluations par des tiers accrédités (C3PAO).

Le Niveau 3 – Expert est destiné aux organisations traitant des CUI de grande valeur, intégrant toutes les exigences du Niveau 2 ainsi que des pratiques avancées supplémentaires de NIST SP800 172 (environ 130 contrôles répartis dans 16 domaines) pour contrer les menaces persistantes avancées, avec une certification réalisée par DIBCAC sous l’égide du DoD.

Organisme d’accréditation officiel de l’écosystème CMMC

Cyber AB est l’organisme d’accréditation officiel de l’écosystème CMMC. Il supervise la formation, la certification et les normes de qualité pour les organisations et les personnes impliquées dans les évaluations CMMC. Les C3PAO (organismes d’évaluation tiers certifiés) sont des entreprises autorisées par Cyber AB à effectuer des évaluations CMMC formelles pour les fournisseurs souhaitant obtenir la certification. Dans leur ensemble, elles garantissent la cohérence et la crédibilité des évaluations, ainsi que leur conformité aux exigences du ministère américain de la Défense.

Outils du NIST pour la mise en œuvre du CMMC

Le NIST propose divers outils pour aider les organisations à mettre en œuvre efficacement les exigences du CMMC. Parmi ces ressources figurent les procédures d’évaluation NIST SP 800 171A pour évaluer la conformité aux contrôles de Niveau 2, ainsi que des collections d’outils d’évaluation et d’audit pour simplifier les auto-évaluations et les vérifications de préparation. Ensemble, ces ressources simplifient le processus d’alignement sur les normes CMMC et le maintien de pratiques de cybersécurité robustes. Avec le CMMC et le PCCC du Canada partageant la même base, ces outils peuvent également être utilisés dans le contexte canadien pour renforcer la posture de conformité et de cybersécurité.

Publication spéciale 800-171 du NIST

La publication spéciale 800-171 du NIST est une norme fédérale américaine de cybersécurité qui définit les exigences relatives à la protection des renseignements non classifiés contrôlés (CUI) lorsqu’elles résident dans des systèmes informatiques et organisations non fédéraux. Elle a été élaborée par l’Institut national des normes et de la technologie (NIST) en application du Décret présidentiel 13556, qui a institué le programme CUI.

Objectifs

  • Assurer la protection des informations gouvernementales confidentielles mais non classifiées (telles que les données techniques de défense, les documents juridiques ou les informations financières) lorsqu’elles sont manipulées par des sous-traitants, des fournisseurs, des universités ou d’autres entités non gouvernementales.
  • Mettre en place un référentiel uniforme de contrôles de cybersécurité pour l’ensemble de la chaîne d’approvisionnement du gouvernement fédéral.

Structure

  • Les exigences sont organisées en 14 catégories de contrôle, notamment :
    1. Contrôle d’accès
    2. Sensibilisation et formation
    3. Audit et responsabilisation
    4. Gestion de la configuration
    5. Identification et authentification
    6. Réponse aux incidents
    7. Entretien des systèmes informatiques
    8. Protection des médias
    9. Sécurité du personnel
    10. Protection physique
    11. Évaluation des risques
    12. Évaluation de la sécurité
    13. Protection des systèmes et des communications
    14. Intégrité des systèmes et des renseignements
  • Chaque catégorie comporte des exigences spécifiques en matière de cybersécurité (110 au total dans la Révision 2; la Révision 3, publiée en 2024, les met à jour et les affine).

Contexte de conformité à la Publication spéciale 800-171 du NIST

  • Fournisseurs et entreprises du secteur de la défense : conformément à la clause DFARS 252.204 7012, les fournisseurs et entreprises du ministère de la Défense des États-Unis doivent mettre en œuvre la Publication spéciale 800-171 du NIST lors du traitement d’informations classifiées contrôlées (CUI).
  • Certification CMMC : Les niveaux CMMC correspondent directement aux exigences de la Publication spéciale 800-171 du NIST, ce qui rend la conformité indispensable pour de nombreux contrats du ministère américain de la Défense.
  • Évaluation : les fournisseurs et les entreprises doivent effectuer des auto-évaluations ou se soumettre à des audits tiers, selon les exigences contractuelles.

Dernière révision de la Publication spéciale 800-171 du NIST

Révision 3 (2024) : Renforce les exigences, clarifie la terminologie et s’adapte à l’évolution des cybermenaces. Cette Révision 3 (2024) remplace la Révision 2 (2021).

Résumé : La Publication spéciale 800-171 du NIST constitue le fondement des obligations de cybersécurité des entreprises sous contrat avec le gouvernement américain. Elle garantit la protection constante des renseignements fédéraux confidentiels, mais non classifiés, en dehors des systèmes fédéraux américains.

Liens entre le PCCC canadien et le CMMC américain

Le Programme canadien de certification en cybersécurité (PCCC) et le Modèle de certification de maturité en cybersécurité (CMMC) américain sont directement reliés, car le Canada a délibérément conçu le PCCC pour qu’il soit aligné sur le CMMC. Cet alignement garantit l’interopérabilité au sein de la chaîne d’approvisionnement de la défense nord-américaine, réduisant ainsi les doublons pour les entrepreneurs qui travaillent avec les deux gouvernements.

Cinq liens stratégiques entre le PCCC canadien et le CMMC américain

1. Objectifs communs

Les deux cadres visent à protéger les renseignements gouvernementaux confidentiels, mais non classifiés (renseignements contractuels fédéraux aux États-Unis, renseignements contractuels non classifiés au Canada), contre les cybermenaces.

2. Harmonie structurelle

  • Le PCCC adopte un modèle à plusieurs niveaux semblable à celui du CMMC, avec trois niveaux de certification allant des pratiques de base en matière de cybersécurité aux pratiques avancées.
  • La conformité est vérifiée au moyen d’autoévaluations, d’audits par des tiers et d’évaluations menées par le gouvernement, à l’instar du CMMC.

3. Objectifs de reconnaissance mutuelle

Le Canada a clairement indiqué que le PCCC est développé dans le but d’obtenir une reconnaissance mutuelle avec le programme CMMC américain, afin que les fournisseurs et entrepreneurs canadiens n’aient pas à se soumettre à une double certification lorsqu’ils soumissionnent à des contrats transfrontaliers.

4. Intégration à la chaîne d’approvisionnement de la défense

  • Le CMMC est obligatoire pour les entrepreneurs du ministère de la Défense des États-Unis qui traitent des renseignements contractuels fédéraux (RCF) ou des renseignements non classifiés contrôlés (RNC).
  • Le PCCC est devenu obligatoire pour les fournisseurs canadiens du secteur de la défense à compter de 2025, selon une mise en œuvre graduelle.
  • Cela signifie que les fournisseurs des deux pays doivent démontrer un niveau de maturité équivalent en matière de cybersécurité pour participer aux marchés publics de la défense.

5. Fondements des normes

Les deux programmes reposent sur les contrôles NIST SP 800-171 relatifs à la protection des renseignements non classifiés contrôlés, garantissant ainsi une cohérence technique entre les juridictions.

Pourquoi le PCCC canadien et le CMMC américain sont-ils importants?

Pour les fournisseurs de défense canadiens et américains, les liens entre le CPCSC et le CMMC signifient :

  1. Conformité simplifiée : une entreprise certifiée selon un référentiel sera mieux placée pour satisfaire aux exigences de l’autre.
  2. Accès au marché : la certification devient une condition préalable pour soumissionner à des contrats lucratifs de défense.
  3. Réduction des risques : les deux programmes augmentent le niveau de cybersécurité de l’ensemble de la base industrielle de défense, réduisant ainsi les vulnérabilités systémiques.

En bref, le PCCC canadien est l’équivalent canadien du CMMC américain, conçu pour s’assurer que les fournisseurs canadiens demeurent des partenaires concurrentiels et fiables au sein de la chaîne d’approvisionnement de la défense américaine.

Gouvernement du Royaume Uni

Exigences du ministère de la Défense et Référentiel national de cybersécurité

  • Modèle de cybersécurité du ministère de la Défense (CSM v4) : Le ministère britannique de la Défense utilise le CSM pour définir les exigences en matière de cybersécurité des fournisseurs et évaluer leur échéance pour les contrats de défense. La version 4 du CSM est la norme actuelle pour les fournisseurs du ministère de la Défense et comprend des lignes directrices relatives à la définition des périmètres, aux preuves et à l’évaluation.
  • Cyber Essentials et Approvisionnement : l’administration centrale du gouvernement britannique exige souvent la certification Cyber Essentials ou Cyber Essentials Plus des fournisseurs soumissionnant à certains contrats publics afin d’assurer un niveau minimal de contrôles techniques. Les grands fournisseurs peuvent être tenus de démontrer des contrôles équivalents s’ils ne sont pas certifiés.
  • Recommandations relatives à la sécurité de la chaîne d’approvisionnement : Le NCSC et le Groupe de sécurité du gouvernement britannique publient des recommandations reliées à la sécurité de la chaîne d’approvisionnement et attendent des équipes d’approvisionnement qu’elles gèrent les risques de sécurité chez l’ensemble des fournisseurs, y compris pour les contrats de défense et de sécurité nationale.

Modèle de cybersécurité du ministère britannique de la Défense (CSM v4)

Le Modèle de cybersécurité du ministère britannique de la Défense du Royaume-Uni (CSM v4) est le cadre de référence du ministère pour l’intégration des exigences de cybersécurité dans sa chaîne d’approvisionnement de défense. Introduit en 2024, il constitue la dernière mise à jour du modèle et remplace les versions précédentes. Il est maintenant obligatoire pour les fournisseurs traitant des renseignements identifiables du ministère de la Défense.

Objectifs

  • Renforcer la cybersécurité et la cyber résilience des fournisseurs et des sous-traitants du ministère britannique de la Défense.
  • Assurer l’application de mesures de sécurité proportionnelles au profil de risque du contrat.
  • Établir un cadre cohérent d’évaluation et de certification de la cybersécurité des fournisseurs.

Composantes principales

  • Quatre profils de risque cyber risques :
    • Niveau 0 (« De base ») – exigences minimales pour les contrats à très faible risque.
    • Niveau 1 (« Fondamental ») – contrôles de base pour les risques courants.
    • Niveau 2 (« Avancé ») – mesures renforcées pour les renseignements confidentiels.
    • Niveau 3 (« Expert ») – niveau d’assurance maximal pour les projets majeurs de défense.
  • Service de cyber-protection du fournisseur (SPCF) : portail en ligne permettant aux fournisseurs de réaliser des évaluations, de soumettre des preuves et de gérer leur conformité.
  • Obligations de transmission : les exigences s’étendent aux sous-traitants, garantissant ainsi que l’ensemble de la chaîne d’approvisionnement respecte les normes de cybersécurité appropriées.
  • Alignement avec la norme DEFSTAN 05 138 : cette norme de défense définit des exigences techniques détaillées, mises à jour en 2024 pour correspondre au nouveau système de profils de risque à quatre niveaux.

Conséquences concrètes pour les fournisseurs

  • Conformité obligatoire : tout fournisseur travaillant avec le ministère de la Défense et traitant des renseignements identifiables par celui-ci doit satisfaire aux exigences pertinentes du CSM v4.
  • Processus d’évaluation : les fournisseurs se voient attribuer un profil de cyber risque en fonction de la confidentialité du contrat et doivent démontrer leur conformité à ce niveau.
  • Certification : les preuves sont examinées par le biais du SCPS, et les fournisseurs peuvent être tenus de faire l’objet d’une vérification indépendante en fonction du risque contractuel.
  • Intégration avec Cyber Essentials : de nombreux contrats exigent toujours la certification Cyber Essentials ou Cyber Essentials Plus comme niveau de base, le CSM v4 venant s’y ajouter.

Résumé : Le CSM v4 est l’approche structurée du ministère de la Défense britannique pour sécuriser sa chaîne d’approvisionnement en matière de défense. Il introduit quatre niveaux d’exigences de cybersécurité fondés sur les risques, des évaluations obligatoires des fournisseurs et des obligations de transmission aux sous-traitants.

Étapes pratiques pour les fournisseurs de matériel militaire

1. Classification de vos produits et données

  • Déterminez si votre article, composante ou donnée technique est une marchandise contrôlée (Canada), un article de défense (ITAR États-Unis) ou s’il est soumis à d’autres contrôles nationaux à l’exportation.

2. Inscription obligatoire

  • Inscrivez-vous au Programme des marchandises contrôlées (PMC) du Canada si vous examinez, possédez ou transférez divers biens contrôlés.
  • Assurez-vous que tout travail pour le compte du ministère américain de la Défense transite par des entités dûment enregistrées et que vous comprenez les obligations du maître d’œuvre en vertu du DFARS.

3. Mise en œuvre des mesures de cybersécurité

  • Déterminer le niveau de certification de sécurité applicable (exemples : CMMC/CPCSC niveaux 1 à 3 ou CSM niveaux 0 à 3). Pour le niveau 1 du CMMC/CPCSC : la FAR 52.204-21 doit être appliquée.
  • Adoptez les contrôles NIST SP 800 171 pour la gestion des renseignements non classifiés contrôlés (CUI) (ou des cadres équivalents) et préparez-vous pour les évaluations par des tiers ou aux auto-évaluations conformément aux exigences américaines CMMC/DFARS, du CPCSC du Canada et du CSM du Royaume-Uni.

4. Obtention des certifications requises

  • Obtenez la certification Cyber Essentials (Royaume-Uni) ou un équivalent; planifiez la certification CMMC ou l’auto-évaluation (États-Unis) et, pour le Canada, assurer le suivi et la préparation des exigences de certification du CPCSC reliées aux contrats de défense.

5. Utilisation des services d’infonuagique approuvés et sécurisation des chaînes d’approvisionnement

  • Choisissez des fournisseurs de services infonuagiques autorisés par FedRAMP pour les CUI américaines; suivez les directives du Service de cyber-protection des fournisseurs du Royaume-Uni et du ministère britannique de la Défense pour l’assurance des services infonuagiques et des fournisseurs; au Canada, suivez les directives du Centre de cybersécurité et les périmètres d’utilisation du CPCSC pour l’infonuagique.

6. Préparation de la réponse aux incidents et du signalement

  • Établissez des processus de détection et de signalement des incidents qui respectent les délais de signalement des incidents DFARS et les attentes des ministères américain et canadien de la Défense en matière de signalement; assurez-vous que les clauses contractuelles sont comprises et que les mécanismes de transmission sont en place.

7. Sécurité du personnel et des locaux

  • Mettez en œuvre les procédures de vérification du personnel et les mesures de sécurité des locaux requises par la réglementation relative aux marchandises contrôlées et les contrats de défense (responsables désignés, contrôle d’accès, installations sécurisées).

8. Conformité aux règlements d’exportation

  • Classez les marchandises conformément aux règlements ITAR/EAR ou aux listes de contrôle des exportations du Royaume-Uni, obtenez les licences nécessaires et limitez les transferts de données techniques à des personnes étrangères non autorisées.

Questions relatives aux spécifications des PME, fournisseurs/entrepreneurs avant de soumettre une offre pour des contrats militaires/de défense

Questions reliées aux exigences en matière de cybersécurité militaire Oui/Non
1. Avez-vous classé l’article/les données parmi les marchandises contrôlées à l’échelle nationale ou figurant sur les listes d’exportation?
2. Êtes-vous inscrit aux programmes nationaux requis (PMC au Canada; registres de fournisseurs au Royaume-Uni ou aux États-Unis, le cas échéant)?
3. Pouvez-vous démontrer la mise en œuvre de contrôles de cybersécurité de base (NIST SP 800 171, Cyber Essentials, preuve CSM)?
4. Avez-vous une stratégie de services infonuagiques utilisant des fournisseurs autorisés (FedRAMP, ou équivalents au Royaume-Uni ou au Canada)?
5. Votre procédure de réponse aux incidents est-elle conforme aux obligations contractuelles de signalement?
6. Avez-vous planifié les licences d’exportation et prévu les restrictions applicables aux données techniques?
7. Pouvez-vous accepter les exigences des répercussions et des assurances cybernétiques des sous-traitants?

Figure 2 – Matrice comparative des exigences en matière de cybersécurité militaire pour les matériaux reliés à la défense : Canada, États-Unis et Royaume-Uni

Catégories Canada USA UK Mesures concrètes à prendre par les fournisseurs
Programme de base/Enregistrement Programme de marchandises contrôlées (PMC) pour les articles militaires. Clauses DFARS ; enregistrement des fournisseurs du ministère de la Défense. Enregistrement des fournisseurs du ministère de la Défense; portail SCPS. S’inscrire au PMC (Canada), se conformer aux exigences DFARS (États-Unis) et finaliser l’intégration via SCPS (Royaume-Uni).
Certifications en cybersécurité PCCC (déploiement progressif à partir de 2025). CMMC 2.0 (niveaux alignés sur la norme NIST SP 800 171). Modèle de cybersécurité du ministère de la Défense (CSM v4) avec 4 niveaux de risque. Identifier le niveau de certification requis pour chaque contrat; préparer les pièces justificatives et les évaluations.
Normes fondamentales

 

 Recommandations ITSP.10.171 (alignées sur la publication spéciale NIST 800 171). NIST SP 800‑171; DFARS 252.204‑7012. DEFSTAN 05-138 ; référentiel Cyber Essentials. Mise en œuvre des contrôles selon les 14 contrôles de la classification NIST; conformité avec DEFSTAN et Cyber Essentials.
Exigences relatives aux services infonuagiques

 

 Directives du Centre canadien pour la cybersécurité; définition de la portée du PCCC. Services infonuagiques autorisés par FedRAMP pour les renseignements militaires non classifiés contrôlés (CUI). Directives du ministère de la Défense et NCSC; attentes SCPS reliées aux services infonuagiques. Utiliser des fournisseurs de services infonuagiques agréés; documenter la conformité aux fins d’audit.
Signalement des incidents de cybersécurité

 

 Signalement obligatoire des incidents de cybersécurité en vertu du PMC et du PCCC. Le DFARS exige le signalement des incidents de cybersécurité dans un délai de 72 heures. Les clauses du ministère de la Défense rendent obligatoire le signalement des incidents. Établir un plan d’intervention en cas d’incident; harmoniser les délais de signalement avec les exigences de chaque juridiction.
Contrôles à l’exportation

 

 Loi sur la production de matériels de défenseRèglement sur les marchandises contrôlées. ITAR (articles/clauses de défense); EAR (articles à double usage). Listes de contrôle des exportations stratégiques du Royaume-Uni. Classification des articles/données; obtention des permis d’exportation; restriction de l’accès étranger aux données techniques.
Répercussions sur la chaîne d’approvisionnement Enregistrement des sous-traitants PMC Répercussion des exigences DFARS ou CMMC sur les sous-traitants. Obligations des répercussions du MOD CSM v4. S’assurer que les sous-traitants respectent des exigences équivalentes; inclure des clauses équivalentes dans les contrats.
Vérification des antécédents du personnel et sécurité physique

 

 Plans de sécurité, responsables désignés, vérification des antécédents. Contrôle des antécédents du personnel, sécurité des installations conformément à la réglementation ITAR. Vérification des antécédents par le ministère de la Défense (MOD), vérification des installations. Vérification des antécédents du personnel, sécurisation des installations, tenue des registres d’accès.

 

Plan stratégique des fournisseurs de matériel militaire : mesures concrètes

  1. Classer le matériel et les données reliés à la défense conformément aux exigences des listes nationales de contrôle (PMC, ITAR ou EAR, inventaires britanniques).
  2. S’inscrire aux programmes nationaux obligatoires (PMC, DFARS, SCPS).
  3. Mettre en œuvre les contrôles de base (NIST SP 800 171, PCCC, Cyber Essentials).
  4. Obtenir les certifications nécessaires (CMMC, PCCC, Cyber Essentials et Cyber Essentials Plus).
  5. Sécuriser l’utilisation de l’infonuagique auprès des fournisseurs agréés de matériel militaire (FedRAMP, NCSC, Centre canadien de la cybersécurité).
  6. Établir un plan de réponse aux incidents conforme aux obligations de déclaration.
  7. Vérifier les antécédents du personnel et sécuriser les installations conformément aux normes nationales et internationales, le cas échéant.
  8. Transmettre les exigences aux sous-traitants et en contrôler la conformité.
  9. Gérer les licences d’exportation pour les marchandises contrôlées et les données techniques.

Exemples des documentations pertinentes aux opérations cybernétiques dans un contexte militaire

1. Publications doctrinales et stratégiques

  • Politique de cyberdéfense de l’OTAN : décrit les approches de défense collective face aux cybermenaces.
  • Cyber-stratégie du ministère de la Défense des États-Unis : définit les cyber-opérations offensives et défensives ainsi que la dissuasion.
  • Introduction à la cybersécurité du ministère de la Défense britannique : présente les concepts cybernétiques au personnel militaire.
  • Doctrine des opérations cybernétiques des Forces armées canadiennes : orientations sur l’intégration de la cyberdéfense dans les opérations interarmées.

2. Manuels opérationnels et techniques

  • Règles d’engagement (RDE) pour les cyber-opérations : précisent quand et comment les outils cybernétiques peuvent être utilisés.
  • Manuels de terrain en cybersécurité militaire : par exemple, le FM 3-12 de l’armée américaine : opérations de guerre cybernétique et électromagnétique.
  • Procédures de réponse aux incidents cybernétiques : adaptées aux réseaux militaires (environnements classifiés ou non classifiés).
  • Protocoles de communications sécurisées : normes de chiffrement pour les communications tactiques et stratégiques.

3. Matériel de formation et pédagogique

  • Exercices de cyberdéfense : environnements simulés pour la pratique de la défense et de l’attaque.
  • Scénarios d’équipe rouge ou d’équipe bleue : exercices d’opposition simulant des attaques contre des États-nations.
  • Programmes des académies militaires : cours sur la cyberguerre, l’informatique judiciaire et la défense des réseaux.
  • Matériel de simulation de guerre : planification par scénarios des conflits cybernétiques.

4. Cadres réglementaires et de conformité

  • NIST SP 800-171 / 800-53 : souvent adapté aux entreprises de défense.
  • Modèle de cybersécurité du ministère de la Défense britannique (CSM) : exigences des fournisseurs de défense du Royaume-Uni.
  • Programme canadien de certification en cybersécurité (PCCC) : conformité aux exigences des Forces armées canadiennes pour les acquisitions militaires.
  • Droit international et Manuel de Tallinn : application et mise en œuvre du droit international humanitaire dans le contexte de la cyberguerre.

5. Outils et artéfacts techniques

  • Rapports d’analyse des logiciels malveillants : par exemple, Stuxnet, NotPetya ou campagnes de sensibilisation APT spécifiques au secteur militaire.
  • Notes d’information sur les menaces – tactiques, techniques et procédures (TTP) de l’adversaire.
  • Schémas d’architecture sécurisée – systèmes renforcés pour le commandement et le contrôle.
  • Guides de tests d’intrusion – adaptés aux réseaux classifiés et aux systèmes de mission.

6. Documents juridiques et politiques

  • Règles cybernétiques des conflits armés – interprétations des Conventions de Genève dans le cyberespace.
  • Directives de sécurité nationale – orientations de haut niveau sur la posture de cyberdéfense.
  • Clauses d’approvisionnement – langage contractuel exigeant la cyber-résilience dans les chaînes d’approvisionnement militaires.
  • Principes éthiques – équilibre entre les capacités cybernétiques offensives et les principes de proportionnalité et de nécessité.

Les documents militaires ci-dessus couvrent un large éventail de textes, notamment : doctrine militaire stratégique, documents de formation et d’enseignement, cadres réglementaires et de conformité, documents juridiques et politiques, manuels techniques pratiques, outils et artefacts.

Ils englobent souvent les feuilles de travail de conformité et les clauses contractuelles des fournisseurs sur lesquelles vous avez travaillé.

Aide précieuse offerte aux PME innovatrices canadiennes par le PARI du CNRC

Le Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC) peut aider les PME innovatrices canadiennes admissibles à répondre à leurs exigences en matière de cybersécurité en finançant leurs audits de conformité et de certification.

Si vous souhaitez obtenir plus d’information sur le CNRC PARI, veuillez consulter À propos du Programme d’aide à la recherche industrielle du CNRC – Conseil national de recherches Canada ou communiquer avec votre conseiller ou conseillère en technologie industrielle du CNRC PARI.

Enfin pour terminer, où les fournisseurs et entrepreneurs canadiens peuvent-ils consulter les documents d’orientation officiels et procéder à l’inscription ou à la certification, le cas échéant? Veuillez trouver ci-dessous une liste non exhaustive des ressources et références fiables.

Ressources et références

  1. Gouvernement du Canada – Programme des marchandises contrôlées (PMC) du Canada et Règlement sur les marchandises contrôlées (RMC)
  1. Gouvernement du Canada – Programme canadien de certification en cybersécurité (PCCC) et Centre canadien pour la cybersécurité (CCCS)
  1. Gouvernement des États-Unis – DFARS 252.204 7012, NIST SP 800 171 et ressources CMMC
  1. Gouvernement des États-Unis – Directives relatives à l’ITAR et à l’EAR émanant des ministères américains des Affaires étrangères et du Commerce.
  1. Gouvernement du Royaume-Uni – Ministère de la Défense (MOD) : Modèle de cybersécurité et guide de la chaîne d’approvisionnement du Centre national de cybersécurité (NCSC); Programme Cyber Essentials.
  1. Gouvernement du Canada – Centre canadien pour la cybersécurité (CCCS).La gestion des risques liés à la sécurité des TI : une méthode axée sur le cycle de vie (ITSG-33).La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) – Centre canadien pour la cybersécurité
  2. Gouvernement du Canada – Sécurité nationale et défense. Exigences de sécurité pour les contrats avec le Gouvernement du Canada.Certification en cybersécurité pour les fournisseurs des services de défense au Canada.Certification des fournisseurs du secteur de la défense au Canada concernant la cybersécurité – Canada.ca
  3. Gouvernement des États-Unis – Ministère de la Guerre des États-Unis – Directeur des systèmes d’information.Ressources et documentation relatives à la certification du modèle de maturité en cybersécurité (CMMC) : ressources internes, externes et complémentaires.CIO – CMMC Resources & Documentation
  4. Gouvernement des États-Unis : Supplément au Règlement fédéral sur les acquisitions de défense (DFARS).252.204-7012 Protection des renseignements sécurisés de défense et signalement des incidents cybernétiques.252.204-7012 Safeguarding Covered Defense Information and Cyber Incident Reporting. | Acquisition.GOV
  5. Gouvernement des États-Unis – Règlement fédéral sur les acquisitions (FAR).52.204-21 Protection de base des systèmes informatiques sécurisés des entrepreneurs.52.204-21 Basic Safeguarding of Covered Contractor Information Systems. | Acquisition.GOV
  6. Gouvernement du Royaume-Uni – Ministère de la Défense (MOD).Informations sur le modèle de cybersécurité du ministère de la Défense (CSM), y compris les normes et les recommandations destinées aux fournisseurs pour se conformer à la version 4 du CSM.Cyber Security Model – GOV.UK
  7. IASME – Partenaire officiel du ministère britannique de la Défense pour la mise en œuvre de la certification DCC.Certification de cybersécurité pour la défense (DCC) – Un cadre de certification complet en matière de cybersécurité pour les fournisseurs de la défense britannique.Defence Cyber Certification – Defence Cyber Certification
  8. Organisation du Traité de l’Atlantique Nord (OTAN).Politique de cyberdéfense de l’OTAN. Hyperlien 1:Cyberdéfense | OTAN Sujet Hyperlien 2: NATO-110608-CyberdefencePolicyExecSummary.pdf
  9. US Defense Information Systems Agency (DISA).DISA Next Strategy: Fiscal Year 2025-2029. Agence américaine des systèmes informatiques de défense (DISA).Stratégie future de la DISA : exercice financier 2025-2029DISA Next: Strategy, Fiscal Year 2025 to 2029
  10. Département de l’Armée des États-Unis – Registre Central de l’Armée.FM-312 : Opérations de guerre cybernétique et électromagnétique – septembre 2025.Document de 238 pages publié officiellement par le Département de l’Armée des États-Unis, dont le siège social est situé au 101 Army Pentagon, Washington, D.C. 20310-0101. Cette publication remplace le document FM-312 du 24 août 2021. Diffusion publique autorisée sans restriction de confidentialité. FM 3-12 (Signature Draft)
  11. Commandement Cyber des Forces armées canadiennes (COMCYBERFAC). Doctrine des opérations cybernétiques des Forces armées canadiennes.Commandement Cyber des Forces armées canadiennes (COMCYBERFAC) – Canada.ca
  12. Le Digital Manufacturing and Cybersecurity Institute (MxD).Guide pratique pour le CMMC 2.0 Niveau 1.Localisé avec son siège social à Chicago, en Illinois (États-Unis), le Digital Manufacturing and Cybersecurity Institute (MxD) est un partenariat public-privé conçu sous l’autorité du ministère américain de la Guerre. MxD-CMMC-2.0-Playbook.pdf
  13. Le Cyber AB – Accréditation CMMC.Processus d’évaluation CMMC – Version 2.0.Situé au Maryland (États-Unis), le Cyber AB est un organisme d’accréditation indépendant chargé de superviser la certification CMMC (Cybersecurity Maturity Model Certification). Il est le seul partenaire non gouvernemental autorisé du ministère de la Guerre des États-Unis pour la mise en œuvre et la gestion des évaluations et des certifications CMMC. CMMC Assessment Process v2.0.pdf
  14. Programme d’aide à la recherche industrielle (PARI) du Conseil national de recherches du Canada (CNRC).À propos du Programme d’aide à la recherche industrielle du CNRC : contribuer à la croissance de votre entreprise grâce à l’innovation.À propos du Programme d’aide à la recherche industrielle du CNRC – Conseil national de recherches Canada

Contributions

Nous tenons à remercier en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI), lequel programme est bénéfique pour les PME innovatrices à travers les 10 provinces et 3 territoires du Canada.

Éditeur-en-chef de l’infolettre :

Alan Bernardi, SSCP, PMP, auditeur principal pour ISO 27001, ISO 27701 et ISO 42001
B.Sc. Informatique et Mathématiques, Université McGill, Canada
Diplôme d’études supérieures en gestion, Université McGill, Canada

Auteur-Amazon USA, informaticien, rédacteur & traducteur professionnel certifié :

Ravi Jay Gunnoo, C.P.W. ISO 24495-1:2023 & C.P.T. ISO 17100:2015
B.Sc. Informatique et Cybersécurité, Université McGill, Canada
B.Sc. & M.A. Traduction Professionnelle, Université de Montréal, Canada

Ce contenu a été préparé au mieux de nos connaissances. Bien que tous les efforts aient été faits pour garantir l’exactitude et la clarté des informations, nous ne pouvons garantir que toutes les informations sont complètes, exemptes d’erreurs ou à jour. Les opinions et informations fournies sont uniquement destinées à des fins générales.

Ce contenu est publié sous licence Creative Commons Attribution (CC BY-NC).

In-Sec-M

283 Boul. Alexandre-Taché Suite F3006,
Gatineau (Québec)
J9A 1L8

info@insecm.ca