CMMC · CPCSC · NIST SP 800-171 · ITSP.10.171
CMMC · CPCSC · NIST SP 800-171 · ITSP.10.171

Conformité CMMC & CPCSC,
livrée bout à bout.

Achieve CMMC & CPCSC
compliance, end to end.

Vérifions votre conformité ensemble.
Let's verify your compliance together.

De l'évaluation d'écart à la préparation C3PAO/OEC : un partenaire stratégique pour les fournisseurs de la chaîne d'approvisionnement de la défense canadienne et américaine.

From gap assessment to C3PAO/OEC readiness: a strategic partner for suppliers in the U.S. and Canadian defence supply chains.

Voir les forfaits See the packages Notre approche Our approach
110
contrôles NIST 800-171
NIST 800-171 controls
320
objectifs d'évaluation
assessment objectives
14
familles de contrôles
control families
26+
ans d'expérience
years of experience

Deux programmes, une même rigueur

Two programs, one rigorous approach

CMMC et CPCSC s'appuient tous deux sur NIST SP 800-171. Nous vous accompagnons sur les deux référentiels, qu'il s'agisse du DoD ou du ministère de la Défense nationale du Canada.

CMMC and CPCSC both build on NIST SP 800-171. We support you on either framework, whether you serve the U.S. DoD or Canada's Department of National Defence.

🇺🇸 CMMC · DoD

Cybersecurity Maturity Model Certification

Cybersecurity Maturity Model Certification

Pour les fournisseurs et sous-traitants du Department of Defense (DoD) américain manipulant du FCI ou du CUI.
For DoD prime contractors and subcontractors handling FCI or CUI.
  • Niveau 1 : 17 pratiques (FCI), auto-évaluation annuelle
  • Niveau 2 : 110 pratiques NIST 800-171 (CUI), évaluation C3PAO triennale
  • Niveau 3 : 110 + sous-ensemble NIST 800-172, évaluation gouvernementale
  • Référentiel : NIST SP 800-171 Rev. 2 (Rev. 3 publiée en 2024, pas encore adoptée par le DoD)
  • Évaluation par un C3PAO accrédité
  • Level 1: 17 practices (FCI), annual self-assessment
  • Level 2: 110 NIST 800-171 practices (CUI), triennial C3PAO assessment
  • Level 3: 110 + subset of NIST 800-172, government-led assessment
  • Framework: NIST SP 800-171 Rev. 2 (Rev. 3 published in 2024, not yet adopted by the DoD)
  • Assessed by an accredited C3PAO
🇨🇦 CPCSC · Canada

Programme canadien de certification en cybersécurité

Canadian Program for Cyber Security Certification

Pour les fournisseurs de la chaîne d'approvisionnement de la défense canadienne (Travaux publics, MDN).
For suppliers in the Canadian defence supply chain (Public Services, DND).
  • Niveau 1 : pratiques de base, auto-évaluation
  • Niveau 2 : alignement complet sur les 110 contrôles, évaluation par OEC
  • Niveau 3 : exigences renforcées pour les renseignements les plus sensibles
  • Référentiel : ITSP.10.171 (CCCS), dérivé du NIST 800-171
  • Évaluation par un Organisme d'évaluation de la conformité (OEC)
  • Level 1: foundational practices, self-assessment
  • Level 2: full alignment with the 110 controls, CAB-led assessment
  • Level 3: enhanced requirements for the most sensitive information
  • Framework: ITSP.10.171 (CCCS), derived from NIST 800-171
  • Assessed by a Conformity Assessment Body (CAB)

Notre approche en 4 étapes

Our 4-step approach

Une méthode éprouvée, pragmatique, conçue pour les PME canadiennes de la défense, de l'aéronautique et des infrastructures sensibles.

A proven, pragmatic method designed for Canadian SMEs in defence, aerospace and critical infrastructure.

1

Diagnostic d'écart

Gap assessment

Évaluation des 110 contrôles, périmètre CUI/FCI, score SPRS, hiérarchisation des écarts.

Assessment of all 110 controls, CUI/FCI scoping, SPRS score, gap prioritization.

2

Documentation (SSP + POA&M)

Documentation (SSP + POA&M)

Rédaction du Plan de Sécurité du Système et du Plan d'Action et Jalons, politiques et procédures alignées.

System Security Plan and Plan of Action & Milestones, with aligned policies and procedures.

3

Mise en œuvre

Implementation

Accompagnement de la remédiation : enclave M365 GCC High, IAM, MFA, journalisation, formation, fournisseurs.

Remediation support: M365 GCC High enclave, IAM, MFA, logging, training, vendor management.

4

Préparation à l'évaluation

Assessment readiness

Pré-audit, collecte de preuves, coordination avec votre C3PAO / OEC, accompagnement le jour J.

Pre-audit, evidence collection, coordination with your C3PAO / CAB, on-site support.

Pourquoi c'est important maintenant

Why this matters now

Le règlement final CMMC est en vigueur depuis décembre 2024 et les clauses sont désormais actives dans les contrats DoD. Le CPCSC se déploie au Canada. La conformité n'est plus une bonne pratique : c'est une condition d'accès au marché.

The CMMC final rule has been in force since December 2024 and its clauses are now active in DoD contracts. CPCSC is rolling out across Canada. Compliance is no longer best practice. It's a market-access requirement.

Découvrir nos forfaits → Explore our packages →

Questions fréquentes

Common questions

Quelle est la différence concrète entre CMMC et CPCSC ? What's the practical difference between CMMC and CPCSC?
Les deux programmes s'appuient sur les 110 contrôles de NIST SP 800-171. CMMC est piloté par le DoD américain et certifie via les C3PAO. CPCSC est piloté par le gouvernement du Canada (SPAC pour la contractualisation, CCC / ISDE pour les aspects techniques et réglementaires) avec son propre référentiel ITSP.10.171 et son réseau d'OEC. Pour les fournisseurs canadiens qui servent les deux marchés, la base technique est essentiellement la même.
Both programs build on the 110 controls in NIST SP 800-171. CMMC is led by the U.S. DoD and certified through C3PAOs. CPCSC is led by the Canadian government (PSPC for contracting, CCCS / ISED for technical and regulatory aspects) with its own ITSP.10.171 framework and a network of CABs. For Canadian suppliers serving both markets, the underlying technical baseline is essentially the same.
Combien de temps faut-il pour devenir conforme ? How long does compliance take?
Pour une PME partant d'un score SPRS faible, comptez généralement 6 à 12 mois entre le diagnostic et la préparation à l'évaluation. Les organisations déjà alignées sur ISO 27001 ou avec un MSP mature avancent plus vite.
For an SME starting with a low SPRS score, the typical path from gap assessment to assessment-ready is 6 to 12 months. Organizations already aligned with ISO 27001 or working with a mature MSP move faster.
Devons-nous migrer vers Microsoft 365 GCC High ? Do we need to migrate to Microsoft 365 GCC High?
Si vous manipulez du CUI dans un contexte CMMC niveau 2, oui (ou un équivalent FedRAMP Moderate avec contrôles supplémentaires). Pour CPCSC, les exigences de localisation des données canadiennes peuvent imposer d'autres choix. Nous évaluons l'option la moins coûteuse pour votre contexte.
If you handle CUI under CMMC Level 2, generally yes (or an equivalent FedRAMP Moderate environment with added controls). CPCSC has Canadian data-residency considerations that may push other choices. We help you pick the lowest-cost option that fits.
Notre MSP peut-il s'en charger seul ? Can our MSP handle this alone?
Un MSP peut couvrir une partie des contrôles techniques (correctifs, journalisation, sauvegarde, EDR), mais la conformité CMMC/CPCSC exige aussi de la gouvernance, des politiques, un SSP/POA&M et la coordination avec un évaluateur. C'est typiquement notre rôle de vCISO.
An MSP can cover many of the technical controls (patching, logging, backup, EDR), but CMMC/CPCSC compliance also requires governance, policies, an SSP/POA&M and coordination with an assessor. This is typically our vCISO role.
Que se passe-t-il si nous ne faisons rien ? What happens if we do nothing?
À mesure que les clauses CMMC et CPCSC entrent dans les contrats, l'éligibilité aux appels d'offres disparaît. Vous risquez aussi d'être déréférencé de vos primes (Lockheed, Boeing, GD, etc.) et de perdre l'accès au marché des sous-traitants.
As CMMC and CPCSC clauses appear in contracts, you become ineligible to bid. You also risk being delisted by primes (Lockheed, Boeing, GD, etc.) and losing access to the subcontractor market.
Et NIST SP 800-171 Rev. 3 ? What about NIST SP 800-171 Rev. 3?
Rev. 3 a été publiée en mai 2024 (97 exigences consolidées, nouvelle structure, paramètres définis par l'organisation). Mais elle n'est pas encore adoptée par le DoD ni par CMMC. Le CMMC Final Rule (16 décembre 2024) et la clause DFARS 252.204-7012 référencent toujours Rev. 2. Tous les évaluateurs C3PAO certifient sur Rev. 2 aujourd'hui, et le scoring SPRS reste calculé sur les 110 exigences Rev. 2. La transition vers Rev. 3 par le DoD est anticipée pour 2027-2028, possiblement avec une période de double-évaluation. Notre conseil : bâtissez votre programme sur Rev. 2 aujourd'hui. La majorité des contrôles se retrouvent dans Rev. 3, donc votre travail sera capitalisé. Au Canada, ITSP.10.171 (CPCSC) suit la même logique et reste aligné Rev. 2.
Rev. 3 was published in May 2024 (97 consolidated requirements, new structure, organization-defined parameters). However, it has not been adopted by the DoD or CMMC yet. The CMMC Final Rule (December 16, 2024) and DFARS 252.204-7012 still reference Rev. 2. All C3PAOs certify against Rev. 2 today, and SPRS scoring is computed on the 110 Rev. 2 requirements. The DoD transition to Rev. 3 is anticipated for 2027-2028, possibly with a dual-assessment period. Our advice: build your program on Rev. 2 today. Most controls carry over to Rev. 3, so your work will be capitalized. In Canada, ITSP.10.171 (CPCSC) follows the same logic and remains aligned with Rev. 2.
Combien ça coûte ? How much does it cost?
Nos trois forfaits s'adaptent à votre maturité et à votre périmètre, du diagnostic ponctuel à l'accompagnement complet vCISO + préparation C3PAO. Voir les forfaits →
Our three packages adapt to your maturity and scope, from a one-time gap assessment to a full vCISO + C3PAO readiness program. See the packages →

Vérifions votre conformité ensemble.

Let's verify your compliance together.

Un appel de 30 minutes pour cadrer votre périmètre, votre score actuel et le bon point de départ.

A 30-minute call to scope your environment, your current score, and the right starting point.

📅 Réserver sur Calendly 📅 Book on Calendly 📞 +1 (514) 316-0244 ✉ Email
Voir les forfaits → See packages →