Qu’est-ce que la conformité ITAR? Définition et réglementation
L’International Traffic in Arms Regulations (ITAR) est le règlement des États-Unis qui contrôle la fabrication, la vente et la distribution d’articles et de services liés à la défense et à l’espace tels que définis dans la United States Munitions List (USML).
outre les lance-roquettes, torpilles et autres matériels militaires, la liste Restreint également les plans, diagrammes, photos et autres documents utilisés pour construire des engins militaires contrôlés par ITAR., Ceci est appelé par ITAR « données techniques ».
obtenez le guide essentiel gratuit sur la conformité et les réglementations américaines en matière de Protection des données
ITAR exige que l’accès aux matériaux physiques ou aux données techniques liées aux technologies de défense et militaires soit limité aux citoyens américains. Comment une entreprise peut-elle s’assurer que seuls les citoyens américains ont accès à ces données sur un réseau et sont conformes aux normes ITAR? Limiter l’accès au matériel physique est simple; limiter l’accès aux données numériques est plus compliqué.,
qui doit suivre la conformité ITAR?
Toute entreprise qui gère, fabrique, conçoit, vend ou distribue des articles sur l’USML doit être conforme à l’ITAR. La Direction des contrôles commerciaux De La Défense (Ddtc) du Département d’état gère la liste des entreprises pouvant traiter des biens et services USML, et il appartient à chaque entreprise d’établir des politiques pour se conformer à la réglementation ITAR.,
- les Grossistes
- Distributeurs de
- Logiciel d’Ordinateur/ les fournisseurs de Matériel
- des Tiers fournisseurs
- les Entrepreneurs
Chaque société de la chaîne d’approvisionnement doit être conforme à l’ITAR. Si la société A vend une partie de la société B et la société B vend la même partie à une puissance étrangère, la société A également, en violation de l’ITAR.
Règlements ITAR
Les règlements ITAR sont simples: seuls les citoyens américains peuvent accéder aux éléments de la liste USML.
Les règles D’ITAR peuvent représenter un défi pour de nombreuses entreprises américaines., Une entreprise basée aux États-Unis ayant des activités à l’étranger est interdite de partager des données techniques ITAR avec des employés embauchés localement, à moins qu’ils ne gagnent le département D’État. autorisation. Le même principe s’applique lorsque les entreprises américaines travaillent avec des sous-traitants non américains.
Le Département d’état peut accorder des exemptions à cette règle, et il existe des exemptions existantes établies à des fins spécifiques. Il y a certains pays qui ont actuellement des accords permanents avec les États – Unis qui s’appliquent à ITAR-L’Australie, le Canada et le Royaume-Uni, par exemple.,
le gouvernement américain exige la mise en place et la mise en œuvre d’un programme de conformité ITAR documenté, qui devrait inclure le suivi, la surveillance et l’audit des données techniques. Avec les données techniques, il est également judicieux de marquer chaque page avec un avis ou un marqueur ITAR afin que les employés ne partagent pas accidentellement des informations contrôlées avec des utilisateurs non autorisés.
ITAR existe pour suivre le matériel militaire et de défense sensible et de garder ce matériel hors des mains des ennemis des États-Unis., Le non-respect peut entraîner de lourdes amendes ainsi que des dommages importants à la marque et à la réputation — sans parler de la perte potentielle d’affaires pour un concurrent conforme.,
sanctions pour les Violations de la conformité ITAR
Les sanctions pour les infractions ITAR sont sévères:
- amendes civiles allant jusqu’à 500 000 $par violation
- amendes pénales allant jusqu’à 1 million de dollars et/ou 10 ans d’emprisonnement par violation
en avril 2018, le département d’état a condamné FLIR Systems, Inc à une amende de 30 millions de dollars en sanctions civiles pour le transfert de données usml à des employés nationaux doubles. Une partie de la pénalité exige que FLIR mette en œuvre de meilleures mesures de conformité et engage un fonctionnaire extérieur pour superviser leur accord avec le département d’État.,
en 2007, ITT a reçu une amende de 100 millions de dollars pour avoir exporté illégalement une technologie de vision nocturne. ITT pensait pouvoir contourner les restrictions, le gouvernement n’était pas d’accord avec leur interprétation des règles.
Types d’Articles de défense
il existe 21 catégories d’Articles de défense dans L’USML. Un article de défense est quelque chose sur cette longue et curieusement spécifique liste.,équipements associés
Comment sécuriser vos données ITAR h2>
compte tenu des pénalités associées à ITAR, il est logique de protéger les données numériques avec autant de couches de sécurité que possible., Parce que ITAR est un règlement fédéral américain, leurs propres directives pour la sécurité des données sont un excellent point de départ. NIST SP 800-53 définit les normes et lignes directrices que les agences fédérales doivent suivre, et toute entreprise qui gère les matériaux réglementés ITAR devrait utiliser NIST SP 800-53 comme base de référence pour leurs propres normes de sécurité..,activer les autorisations des utilisateurs, groupes, dossiers et fichiers
déterminer qui a accès à quelles données
identifier et désactiver les utilisateurs périmés
Gérer les adhésions des utilisateurs et des groupes
supprimer les groupes D’accès globaux
mettre en œuvre un modèle de moindre privilège
FAQ sur la conformité ITAR
- comment Varonis peut-il m’aider à trouver toutes mes données ITAR?,
Le moteur de Classification des données identifie et classe les données réglementées sur vos magasins de données de base – à la fois sur site et dans le cloud. Vous pouvez configurer des règles pour identifier les données ITAR et même appliquer des balises, des indicateurs et des notes personnalisés aux données réglementées. - qui peut accéder à ces données ITAR?
Varonis DatAdvantage explore vos systèmes de fichiers pour analyser les autorisations à toutes vos données, y compris les données ITAR. Comprendre qui peut accéder à ces données est la première étape de la protection des données contre les accès illégaux., Avec DatAdvantage, vous pouvez voir ces informations graphiquement dans une interface utilisateur propre et conviviale ou sous forme de rapport exportable. - Comment saurai-je si mes données ITAR sont accédées?
Varonis DatAlert surveille et déclenche des alertes lorsque des données sont accédées, y compris un dossier de vos données ITAR. Vous pouvez détecter, signaler et enquêter sur tout comportement suspect ou activité inhabituelle sur vos données ITAR, et maintenir une piste d’audit complète pour vous aider à respecter les réglementations ITAR. - Comment puis-je gérer l’accès aux données ITAR?,
Le moteur D’automatisation répare et maintient automatiquement les autorisations du système de fichiers-en gardant les données ITAR verrouillées, et en aidant à obtenir un modèle de moindre privilège. Varonis DataPrivilege permet de rationaliser la gouvernance des accès, d’appliquer automatiquement les politiques de sécurité et de démontrer la conformité aux auditeurs gouvernementaux.
vous souhaitez en savoir plus sur la gestion de vos données ITAR pour respecter la conformité? Obtenez une démonstration 1:1 avec un ingénieur en sécurité pour voir comment Varonis peut vous aider.