« La cybersécurité ne va pas disparaître », déclare un conseiller à la défense

Jonathan Clow exhorte les entreprises du Nord de l’Ontario à se lancer dans le processus de certification de sécurité si elles envisagent sérieusement de remporter des contrats de défense Si vous êtes une entreprise du …

"La cybersécurité ne va pas disparaître", déclare un conseiller à la défense

Jonathan Clow exhorte les entreprises du Nord de l’Ontario à se lancer dans le processus de certification de sécurité si elles envisagent sérieusement de remporter des contrats de défense

Si vous êtes une entreprise du Nord de l’Ontario cherchant à fournir des produits et services au secteur de la défense, vous devez vous familiariser très rapidement avec le Programme canadien de certification en cybersécurité (CPCSC).

C’est ce qu’affirme Jonathan Clow, un pilote à la retraite de l’Aviation royale canadienne possédant plus de trois décennies d’expérience dans les opérations de défense, l’approvisionnement et le leadership multinational.

Le programme de certification récemment lancé décrit les exigences de sécurité pour toutes les entreprises qui souhaitent faire des affaires de défense avec le gouvernement fédéral dans le but de protéger les informations sensibles, a déclaré Clow, aujourd’hui directeur de comptes senior chez 123 Defense (récemment renommé 123 Cyber).

Dans le cadre du nouveau Programme canadien d’approvisionnement en matière de défense, toutes les entreprises devront satisfaire à la certification de base de niveau 1, tandis que les entreprises de niveau intermédiaire auront besoin d’au moins le niveau 2. La certification de niveau 3 est destinée aux entreprises de haut niveau. La certification peut prendre entre trois et 12 mois.

Il s’agit d’un processus long, parfois fastidieux, a déclaré Clow, mais il a souligné qu’il est nécessaire pour la sécurité nationale.

« Après trente-sept ans au gouvernement, à travailler avec le MDN (ministère de la Défense nationale) et les militaires, je peux vous dire, la main sur le cœur, que ce programme est absolument nécessaire », a-t-il déclaré lors d’un récent webinaire. « Il ne s’agit pas seulement de formalités administratives supplémentaires. »

Clow’s était le deuxième d’une série de séminaires virtuels organisés par Northern Ontario Road to Defense (NORD), un programme pluriannuel dirigé par la ville de North Bay qui vise à aider davantage de petites et moyennes entreprises du Nord à se tourner vers le secteur de la défense.

La conformité en matière de cybersécurité ne se limite pas à l’informatique, a déclaré Clow. Dans l’industrie de la défense, il s’agit de décisions commerciales qui ont un impact sur la capacité d’une entreprise à être compétitive dans le secteur.

Clow a encouragé les entreprises soucieuses de répondre aux besoins du secteur de la défense à être proactives dans le processus de certification.

S’ils attendent d’obtenir un contrat, par exemple, il est probablement déjà trop tard pour se conformer aux délais impartis pour un projet.

Et si un maître d’œuvre doit choisir entre deux entreprises fabriquant le même produit et que l’une est certifiée tandis que l’autre ne l’est pas, il choisira souvent l’entreprise certifiée car elle offre une garantie.

« Il y a en fait un avantage commercial à se mettre en conformité avant le reste de vos concurrents », a déclaré Clow. « C’est quelque chose à considérer. »

Bien que les programmes de certification canadiens et américains soient similaires à certains égards, ils ne sont pas réciproques, a souligné Clow. Ainsi, si une entreprise souhaite faire des affaires dans les deux pays, il lui conseille de poursuivre simultanément les deux processus de certification pour gagner du temps.

Le programme américain – le Cybersecurity Maturity Model Certification (CMMC) – est désormais obligatoire. Toute personne cherchant à obtenir des contrats d’approvisionnement en matière de défense aux États-Unis doit disposer d’une autorisation minimale de niveau 1, y compris simplement pour consulter une demande de propositions (RFP), et une exigence de niveau 2 est à venir.

Clow croit que le Canada ne sera pas loin derrière avec des exigences similaires.

« Les évaluations de niveau 2 seront disponibles d’ici la fin de cette année et elles commenceront à être requises en avril 2027 », a déclaré Clow.

« Je vous encourage donc à savoir si vous allez exercer ce métier ou non, et si c’est le cas, à déterminer de quel niveau vous aurez besoin. Parce que si vous avez besoin d’un niveau 2, nous sommes déjà en avril 2027 aujourd’hui. C’est comme ça qu’il faut y penser. »

La certification couvre des domaines de l’entreprise, notamment le contrôle d’accès, la sensibilisation et la formation, la réponse aux incidents, la sécurité personnelle et la protection physique, a déclaré Clow.

Du côté de la cybersécurité, il couvre également l’authentification multifacteur, le contrôle des accès à votre réseau et les processus d’intégration et de départ des employés.

Comparé au programme américain, le programme canadien est axé sur la chaîne d’approvisionnement, a déclaré Clow, et vise réellement à établir la confiance avec les fournisseurs.

« Essentiellement, il s’agit en réalité de réglementer le moment où le gouvernement transmet des données à une chaîne principale et à une chaîne d’approvisionnement », a déclaré Clow. « Il s’agit de savoir où vont ces données. »

Il a conseillé aux entreprises du Nord de l’Ontario qui envisagent sérieusement de se lancer dans la défense de se renseigner sur la conformité en matière de cybersécurité, puis d’évaluer leurs besoins. Cela les aidera à déterminer le coût pour l’entreprise, les ressources dont elles auront besoin et les délais de mise en conformité.

« En effectuant une évaluation des besoins et un exercice de cadrage, vous pouvez déterminer ce dont vous aurez réellement besoin, à quoi cela ressemblera, ainsi que le coût et le temps, et ensuite quand le faire sera logique », a déclaré Clow. « Il est difficile de prendre des décisions commerciales quand on ne dispose d’aucune information. »

La conformité en matière de cybersécurité n’est plus aussi effrayante une fois que les étapes sont planifiées et que les propriétaires d’entreprise savent à quoi ressembleront leurs obligations au cours des prochains mois.

Il prédit que les réglementations en matière de cybersécurité au Canada, en vertu du projet de loi C8 de 2025, seront éventuellement appliquées à toutes les infrastructures critiques réglementées au Canada – parmi lesquelles les finances, le nucléaire, les transports et l’énergie.

« La cybersécurité ne va pas disparaître. Elle ne peut pas disparaître », a déclaré Clow. « Nos pairs adversaires nous écrasent. Si vous saviez ce qui se passe, vous agiriez avec enthousiasme. »

William Barbeau

William Barbeau

Je suis William, rédacteur au Quebec Express, dédié à fournir des analyses rigoureuses et impartiales. Passionné par le journalisme d'investigation, je m'engage à raconter les histoires qui comptent pour notre communauté.

Précédent

Savolainen marque le vainqueur pour faire passer Charge devant Fleet et prendre la tête de la série 2-1

Suivant

Les deux buts de Morin aident Frost à battre Victoire 3-1 pour forcer le cinquième match