Votre entreprise est-elle soumise à la réglementation ITAR ou EAR ? Si vous n’en êtes pas sûr, il est essentiel que vous vous renseigniez – rapidement. Sinon, vous risquez de subir de graves conséquences en cas de non-conformité. Pour savoir à quelles réglementations votre entreprise est soumise, explorez ce que couvrent ITAR et EAR et comment une solution de partage de fichiers peut faciliter la conformité.
La réglementation sur le trafic international des armes (ITAR)
ITAR réglemente l’exportation d’articles et de services de défense avec l’objectif de garder les matériaux hors de portée des ressortissants étrangers. Ces réglementations s’appliquent à la fois aux contractants et aux sous-traitants du gouvernement, et les articles et services couverts par ces réglementations sont décrits dans la liste des munitions des États-Unis (USML).
Même si votre entreprise ne fabrique pas de missiles ou de chars, vous pourriez être tenu de vous aligner sur ITAR. L’USML un large éventail de produits, de services et de données techniques, comme les véhicules, les munitions, les avions, et plus encore. Mais elle couvre également des articles auxquels vous ne vous attendez peut-être pas, comme du matériel de formation militaire, des articles classifiés et d’autres données.
L’ITAR contrôle spécifiquement l’importation, l’exportation et l’importation et l’exportation temporaires de produits, de données et de services couverts par l’USML. L’envoi d’un document couvert par l’ITAR par courrier électronique est considéré comme une exportation de données, de sorte que les entreprises doivent être particulièrement attentives à la façon dont leurs données sont partagées.
Bien que cela puisse sembler simple de garder les articles soumis à l’USML limités aux seuls citoyens américains approuvés, cela peut être plus complexe qu’il n’y paraît. Cela pourrait signifier que l’accès d’un ressortissant étranger, même employé par votre propre entreprise, devrait être restreint pour protéger le matériel et les données sensibles.
Les règlements sur l’administration des exportations (EAR)
Les EAR couvrent la composante commerciale de l’importation et de l’exportation de produits et de données. Il s’applique aux articles à double usage, qui sont disponibles à la fois pour les ventes commerciales et l’utilisation gouvernementale, comme les systèmes GPS ou les ordinateurs à haute performance.
Les articles soumis à l’EAR sont énumérés sur la liste de contrôle commercial (CCL) dans quelques catégories de produits ou de services :
-
Nucléaire et divers
-
Matériaux, produits chimiques, micro-organismes, et toxines
-
Traitement des matériaux
-
Électronique
-
Informatique
-
Télécommunications
-
Sécurité de l’information
-
Capteurs et lasers
-
Navigation et avionique
-
Marine
-
Aérospatiale et propulsion
.
Comme chacune des catégories est large, votre entreprise devra probablement effectuer quelques recherches ou se mettre en relation avec un bureau du U.Department of Commerce, Bureau of Industry and Security (BIS) pour déterminer si vos produits entrent dans l’une de ces catégories. Le BIS est l’agence gouvernementale qui contrôle la réglementation et l’application de la conformité EAR.
ITAR vs. EAR : comment ils diffèrent
Il est facile de dire qu’ITAR couvre l’exportation de tous les matériaux et articles liés à la défense, et que EAR couvre tout le reste. Mais, démêler ces réglementations similaires, mais différentes, peut prendre un certain temps. Maintenant que vous avez une meilleure idée de ce que couvre l’ITAR et de ce que couvre l’EAR, examinez les trois principaux domaines dans lesquels ces réglementations divergent :
-
Organe de réglementation : l’ITAR est réglementé par le Département d’État américain, Direction des contrôles commerciaux de la défense (DDTC), tandis que l’EAR est réglementé par le Département du commerce américain, Bureau de l’industrie et de la sécurité (BIS).
-
Articles réglementés : L’ITAR couvre tous les articles et services de défense, tandis que l’EAR couvre les articles et technologies commerciaux et à double usage.
-
Où sont répertoriés les articles réglementés : Vous pouvez trouver les articles couverts par l’ITAR sur la liste des munitions des États-Unis (USML), tandis que les articles EAR sont répertoriés sur la liste de contrôle commercial (CCL).
Ce résumé des variantes montre que, bien que différentes, l’ITAR et l’EAR sont à bien des égards des réglementations parallèles. Et au final, elles ont toutes deux le même objectif : protéger les matériaux ou les articles sensibles pour qu’ils ne tombent pas entre de mauvaises mains.
Là où le partage de fichiers et la conformité se rencontrent
Vous connaissez probablement déjà les graves conséquences qui pourraient découler du non-respect des réglementations gouvernementales. Avec ITAR et EAR, ne pas se conformer à l’une ou l’autre des réglementations pourrait coûter à votre entreprise un montant substantiel en amendes et en perte d’activité. Vous pourriez même être confronté à des conséquences plus graves, comme des poursuites pénales. Il est donc impératif que vous ayez les contrôles en place pour maintenir la conformité.
L’une des premières mesures à prendre pour vous prémunir contre la non-conformité est d’adopter une solution de partage de fichiers sécurisée. Étant donné que les deux réglementations portent non seulement sur le matériel mais aussi sur les données, vous avez besoin d’un moyen de partager ces données en interne et en externe sans compromettre les informations sensibles.
Bien que vous ne soyez peut-être pas en train d' »exporter » au sens traditionnel, vous pouvez partager et envoyer des informations à d’autres parties. L’exportation de données est un événement quotidien dans la plupart des entreprises aujourd’hui. Si vous envoyez des informations liées à ITAR ou EAR à la fois en interne et à vos clients, vous devez définir des normes pour assurer la sécurité de vos données, quelles que soient les personnes qui les partagent et avec qui elles les partagent.
Lorsque vous utilisez une solution de partage de fichiers sécurisée, vous disposez des outils nécessaires pour assurer la sécurité de vos données. ITAR, en particulier, décrit un certain nombre de façons dont vous devez protéger vos données, réparties en quatre catégories :
-
Contrôles d’accès
-
Ne pas accéder aux données via des ordinateurs publics. Les solutions de partage de fichiers sécurisés vous permettent de restreindre l’accès par adresse IP, afin que les comptes et les données ne soient accessibles qu’à partir d’ordinateurs approuvés et sécurisés.
-
L’accès aux comptes ne peut être accordé que par des méthodes d’authentification. Cela signifie que les comptes doivent être protégés par des noms d’utilisateur, des mots de passe, des clés SSH, etc.
-
Les données réglementées par l’ITAR doivent être protégées physiquement. Choisissez un fournisseur FTP opérant à partir d’un emplacement sécurisé.
-
Gestion du système
-
Mettez régulièrement à jour les logiciels de prévention des logiciels malveillants. Les meilleurs hôtes FTP géreront et mettront à jour toutes les mesures de sécurité logicielles.
-
Le matériel informatique permettant l’accès aux données contrôlées doit être à jour des correctifs et des mises à jour de sécurité. Votre hôte de partage de fichiers maintiendra la solution sécurisée pour vous.
-
Les supports électroniques doivent être effacés conformément à la norme NIST 800-88. Les meilleures solutions de partage de fichiers sont conformes à ce mandat, tout comme votre entreprise.
-
Les données doivent être cryptées lorsqu’elles sont stockées. C’est l’une des fonctions principales d’une solution de partage de fichiers sécurisée. Dans une solution de partage de fichiers haut de gamme, les données sont cryptées automatiquement.
-
Transmission des données
-
Ne transmettez pas de données non cryptées. En utilisant une solution de partage de fichiers sécurisée, les administrateurs peuvent imposer le cryptage des données comme une exigence de partage de fichiers.
-
Les réseaux sans fil doivent être cryptés. Cela relève de la responsabilité de l’entreprise, et non de l’hôte FTP.
-
Surveiller le trafic entrant et sortant. Les solutions de partage de fichiers leaders sur le marché fournissent des journaux d’activité pour montrer qui accède aux données. Vous pouvez également contrôler l’accès en fonction du pays et de l’adresse IP.
-
Détecter les violations de données lorsqu’elles se produisent. En utilisant une solution de partage de fichiers comme FTP Today, vous serez protégé par des mesures de détection et de prévention des intrusions pour empêcher tout accès non autorisé.
-
Les sous-traitants doivent s’aligner sur les réglementations. En tant que sous-traitant, les meilleurs hôtes de solutions de partage de fichiers garantissent que vos données ne seront pas malmenées de leur côté.
-
Les logiciels exécutables sur les systèmes partagés
-
Les répertoires contenant des logiciels auront des autorisations d’accès strictes. Si vous choisissez une solution FTP comme FTP Today, l’hôte s’assure que tous les logiciels sont contenus dans des répertoires isolés.
-
Les journaux d’audit sont activés et sauvegardés. Votre hôte FTP fournit des journaux qui sont conservés aussi longtemps que vous en avez besoin.
-
Les systèmes devraient être gérés uniquement par des citoyens américains. FTP Today, par exemple, n’emploie que des citoyens américains pour assurer le respect de cette réglementation.
-
Seuls les citoyens américains devraient avoir un accès physique aux systèmes. Les meilleurs hôtes FTP assurent la sécurité aux emplacements de leurs infrastructures physiques.
En définitive, la meilleure façon de couvrir vos bases en ce qui concerne toutes ces réglementations est de choisir une solution de partage de fichiers qui peut vous garder conforme et vos données sécurisées. Un hébergeur de partage de fichiers peut se concentrer sur les complexités de la conformité en matière de partage de fichiers, et vous pouvez reporter votre attention sur votre activité.
Vous voulez en savoir plus sur la façon de rester conforme à la réglementation ITAR ? Explorez ce guide sur la conformité ITAR et son impact sur le partage des données.
