Normes américaines ITAR (International Traffic in Arms Regulations)

Présentation globale

AWS GovCloud (US) prend en charge la conformité avec les normes américaines ITAR (International Traffic in Arms Regulations). Dans le cadre de la gestion d'un programme de conformité ITAR complet, les entreprises soumises aux réglementations d'exportation ITAR doivent contrôler les exportations involontaires en permettant l'accès aux seules personnes autorisées. AWS GovCloud (US) fournit un environnement situé physiquement aux États-Unis et où l'accès par le personnel AWS est limité aux citoyens des États-Unis, permettant de fait aux entreprises éligibles d'utiliser AWS pour transmettre, traiter et stocker des articles et des données soumises aux restrictions ITAR. L'environnement d'AWS GovCloud (US) a été audité par un organisme d'évaluation tiers indépendant (3PAO) qui a validé que les contrôles appropriés sont en place par rapport aux programmes de conformité requis pour les exportations du client.

• Qu'est-ce que la réglementation ITAR ?

  La réglementation américaine contre le trafic d'armes au niveau international (International Traffic in Arms Regulations ou ITAR) contrôle l'exportation depuis les États-Unis des articles liés à la défense et interdit aux non-ressortissants des États-Unis de bénéficier d'un accès physique ou logique aux articles stockés dans l'environnement ITAR.

  Les articles inclus dans la liste des munitions américaines (USML) de l'ITAR comprennent tout équipement, composant, matériel, logiciel ou information technique ne pouvant faire l'objet d'un partage qu'avec des ressortissants des États-Unis, excepté en vertu d'une autorisation ou d'une exemption spéciale. Les ressortissants des États-Unis sont des personnes qui détiennent une carte verte américaine (carte de résident permanent aux États-Unis) ou qui détiennent le statut de citoyen américain.
  

• Comment les exigences de la réglementation ITAR s'appliquent-elles dans le Cloud ?

  La conformité ITAR dans le Cloud vise à s'assurer que les informations considérées comme des données techniquesITAR ne sont pas distribuées par inadvertance à des ressortissants ou pays étrangers.
  

• Comment AWS prend-il en charge les clients soumis aux réglementations d'exportation ITAR ?

  AWS donne aux clients la possibilité de stocker leurs données dans AWS GovCloud (US), qui est uniquement géré par des ressortissants des États-Unis sur le sol américain. AWS GovCloud (US) est un environnement isolé du Cloud Amazon dans laquelle les comptes sont uniquement accordés à des ressortissants des États-Unis travaillant pour des organisations américaines.

  Étant donné qu'AWS n'a pas la possibilité de voir quelles données sont chargées par les clients sur notre réseau, notamment si ces données sont considérées ou non comme étant soumises à la réglementation ITAR, toutes les données des clients stockées dans la région AWS GovCloud (US) sont considérées comme étant soumises à la réglementation ITAR.

• Comment la région AWS GovCloud (US) donne-t-elle aux clients l'assurance qu'elle répond aux exigences de la réglementation ITAR ?

  Il n'existe aucune certification officielle de conformité à la réglementation ITAR. La région AWS GovCloud (US) est évaluée de manière continue par un organisme d'évaluation tiers indépendant (3PAO) utilisant le programme fédéral de gestion des autorisations liées aux risques (Federal Risk Authorization Management Program ou FedRAMP), et a obtenu du conseil d'autorisation commune (Joint Authorization Board ou JAB) une autorisation d'exploitation provisoire (Provisional Authority to Operate ou P-ATO) au plus haut niveau dans le cadre du programme FedRAMP. Les directeurs informatiques (CIO) des départements américains de la Défense et de la Sécurité intérieure et de l'Administration des services généraux représentent le JAB. Pour plus d'informations, consultez notre article Achieve FedRAMP High Compliance in AWS GovCloud (US) (obtenir le plus haut niveau de conformité dans le cadre du programme FedRAMP dans la région AWS GovCloud (US), non traduit).
  

• Comment le modèle de responsabilité partagée d'AWS s'applique-t-il lorsque les clients transmettent, traitent et stockent des données soumises à la réglementation ITAR sur AWS ?

  AWS est responsable de la conformité logique et physique de l'infrastructure du cloud et des principaux services proposés. Les clients sont responsables de leurs propres infrastructures, applications et systèmes informatiques sur site. L'autorisation d'exploitation provisoire (P-ATO) au plus haut niveau dans le cadre du programme FedRAMP émise par le conseil d'autorisation commune (JAB) garantit la bonne mise en place des contrôles au sein de la région AWS GovCloud (US). AWS aide les clients cherchant à développer des systèmes conformes à la réglementation ITAR sur AWS. Ci-dessous, vous trouverez quelques exemples des services AWS qui aident les clients à gérer leurs propres obligations de conformité en matière de sécurité :

  Protégez les données sensibles : les clients peuvent protéger leurs données non classées sensibles avec le chiffrement côté serveur dans Amazon S3. Stockez et gérez vous-même les clés de sécurité avec AWS CloudHSM ou utilisez notre service en un clic AWS Key Management Service (KMS).

  Améliorez la visibilité dans le cloud : les clients peuvent contrôler l'accès aux données sensibles et leur utilisation avec Amazon CloudTrail, notre service de journalisation d'API géré et exploité par des ressortissants des États-Unis.

  Renforcez la gestion des identités : les clients peuvent limiter l'accès aux données sensibles par personne, par lieu et dans le temps. Pour restreindre les appels d'API que les utilisateurs sont en mesure de faire, vous pouvez utiliser la fédération d'identité, la rotation simplifiée des clés et d'autres outils de test puissants relatifs au contrôle des accès et disponibles sur AWS.