International Traffic in Arms Regulations (ITAR) compliance est obligatoire pour plus de 130 000 organisations américaines qui s’engagent dans la fabrication, l’exportation ou l’importation d’articles de défense, de services ou de technologies couverts par la United States Munitions List (USML). Contrôler le transfert des données techniques liées à l’ITAR est crucial pour la sécurité nationale et les intérêts de la politique étrangère en raison de la sensibilité de ces données.
Qu’est-ce que les données techniques liées à l’ITAR ?
Les données techniques liées à l’ITAR désignent les informations, la documentation ou les données qui fournissent des détails sur la conception, le développement, la production ou l’utilisation d’articles de défense. Cela inclut les plans, les spécifications, les logiciels et le code source, les fichiers CAO et les données de recherche. Il est important de noter que les données techniques ne doivent pas toujours être sous forme écrite ou électronique ; elles peuvent également être transférées par présentation visuelle ou orale.
Les organisations et les individus impliqués dans l’exportation ou le partage de données techniques couvertes par l’ITAR doivent se conformer aux exigences réglementaires et obtenir les licences ou autorisations appropriées pour prévenir la divulgation ou l’accès non autorisé par des parties étrangères.
Voici quelques scénarios dont les organisations doivent être conscientes lorsqu’elles exportent ou partagent des données techniques avec des clients et des partenaires externes afin d’éviter la non-conformité :
Scénario 1 : Un partenaire ou un client a un employé qui n’est pas citoyen américain : l’organisation doit demander une licence d’exportation pour l’employé étranger concerné, en s’assurant que l’employé n’est pas citoyen ou résident des pays proscrits. Sans cette licence, lorsque l’employé non américain tente d’accéder aux données techniques liées à l’ITAR, l’accès doit être refusé.
Scénario 2 : Un partenaire ou un client a des employés américains situés à la fois aux États-Unis et à l’étranger : les employés qui sont citoyens américains et qui se trouvent aux États-Unis peuvent accéder à toute information contrôlée, quel que soit l’endroit où se trouvent les données (SAP, SharePoint, etc.). Cependant, si l’employé se trouve dans un pays étranger, l’accès à ces données techniques sera refusé. Puisque l’employé est situé en dehors des États-Unis, il est nécessaire pour les organisations d’obtenir des autorisations ou des licences pour permettre à cet employé d’accéder aux données depuis l’étranger.
Scénario 3 : Un partenaire ou un client dont l’entreprise est basée en dehors des États-Unis : dans la plupart des cas, une entreprise basée en dehors des États-Unis aurait des employés non américains. Dans ce cas, les données techniques ne peuvent être partagées ou exportées que si des licences ou des accords appropriés sont en place.
Comment les organisations peuvent-elles contrôler le transfert des données techniques liées à l’ITAR ?
Le modèle traditionnel d’autorisation d’accès basé sur le rôle des utilisateurs n’est plus viable, car les organisations ont dû créer et gérer des milliers voire des millions de rôles pour répondre rapidement aux exigences en constante évolution. De plus, l’accès aux données techniques dépend d’attributs dynamiques tels que la localisation et la citoyenneté de l’utilisateur. Pour rationaliser les opérations mondiales, une nouvelle méthode d’autorisation granulaire est nécessaire : Attribute-Based Access Control (ABAC).
Dans ce contexte, comment les organisations peuvent-elles permettre le partage global des données techniques tout en maintenant la conformité avec les diverses exigences réglementaires ?
La solution NextLabs Export Control for Technical Data permet aux organisations de :
- Contrôler l’accès aux données techniques en fonction de la citoyenneté de l’utilisateur, de la formation et certification, du système informatique et de la localisation physique.
- Suivre et appliquer des contrôles basés sur des politiques sur les données techniques pour contrôler la duplication, le stockage, la copie/coller, l’impression, les supports amovibles, les e-mails, les messageries instantanées, les téléchargements Web, FTP et les conférences Web.
- Prévenir la fuite des données techniques au-delà des systèmes et utilisateurs certifiés.
- Faire correspondre automatiquement les exportations de données techniques aux licences d’exportation correspondantes ou aux accords d’assistance technique (TAA-Technical Assistant Agreement-)
- Détecter et suivre les activités des utilisateurs susceptibles de constituer une “exportation réputée”, ainsi qu’automatiser le processus de détermination de la licence d’exportation et/ou de l’approbation par le responsable.
Pour en savoir plus sur la solution NextLabs pour la conformité à l’exportation de données techniques, visitez ce lien.