ITAR

Présentation

La région AWS GovCloud (US) prend en charge la conformité à la réglementation américaine contre le trafic d'armes au niveau international, connue sous l'acronyme ITAR (International Traffic in Arms Regulations) . Dans le cadre de la gestion d'un programme de conformité ITAR complet, les entreprises soumises aux réglementations d'exportation ITAR doivent contrôler les exportations involontaires en limitant l'accès aux données protégées aux personnes physiques ou morales ressortissantes des États-Unis et en restreignant l'emplacement physique de ces données au territoire américain. AWS GovCloud (US) fournit un environnement situé physiquement aux États-Unis et où l'accès par le personnel AWS est limité aux personnes physiques ou morales ressortissantes des États-Unis, permettant de fait aux entreprises éligibles de transmettre, traiter et stocker des articles et des données soumises aux restrictions ITAR. L'environnement d'AWS GovCloud (US) a été audité par une tierce partie qui a validé que les contrôles appropriés sont en place par rapport aux programmes de conformité requis pour les exportations du client.

• Qu'est-ce que la réglementation ITAR ?

  La réglementation américaine contre le trafic d'armes au niveau international (ITAR, International Traffic in Arms Regulations) contrôle l'exportation des articles liés à la défense et interdit aux non-ressortissants des États-Unis de bénéficier d'un accès physique ou logique aux articles stockés dans l'environnement ITAR.

  La liste USML (United States Munitions List) de la réglementation ITAR répertorie les équipements, les composants, les matériaux, les logiciels et les informations techniques qui peuvent uniquement être partagés avec des ressortissants des États-Unis en l’absence d’autorisation ou d’exonération spéciale. Les ressortissants des États-Unis sont des détenteurs de carte verte ou des citoyens des États-Unis.
  

• Comment les exigences de la réglementation ITAR s'appliquent-elles dans le cloud ?

  La conformité à la réglementation ITAR dans le cloud vise à s'assurer que les informations considérées comme des données techniques ne sont pas distribuées par inadvertance à des ressortissants ou pays étrangers. Pour que des données soient soumises à la réglementation ITAR, une charge de travail informatique ou un type de données doit être considéré comme une exportation selon la liste USML (United States Munitions List).
  

• Comment AWS prend-il en charge les clients soumis aux réglementations d'exportation ITAR ?

  AWS donne aux clients la possibilité de stocker leurs données dans la région AWS GovCloud (US), une région uniquement gérée par des ressortissants des États-Unis sur le sol américain. AWS GovCloud (US) est une région isolée du cloud Amazon dans laquelle les comptes sont uniquement accordés à des ressortissants des États-Unis travaillant pour des organisations américaines.

  Étant donné qu'AWS n'a pas la possibilité de voir ni de savoir quelles données sont chargées par les clients sur son réseau, notamment si ces données sont considérées ou non comme étant soumises à la réglementation ITAR, toutes les données des clients stockées dans la région GovCloud sont considérées comme étant soumises à la réglementation ITAR.

• Comment la région AWS GovCloud (US) donne-t-elle aux clients l'assurance qu'elle répond aux exigences de la réglementation ITAR ?

  Il n'existe aucune certification officielle de conformité à la réglementation ITAR. La région AWS GovCloud (US) est contrôlée de façon continue par un évaluateur indépendant (3PAO) accrédité par le programme FedRAMP (Federal Risk Authorization Management Program) et a reçu une autorisation d'exploitation provisoire (P-ATO) FedRAMP High de la part du JAB (Joint Authorization Board). Les directeurs informatiques (CIO) des départements américains de la Défense et de la Sécurité intérieure et de l'Administration des services généraux représentent le JAB.

• Comment la responsabilité partagée AWS s'applique-t-elle lorsque les clients transmettent, traitent et stockent des données soumises à la réglementation ITAR sur AWS ?

  AWS est responsable de la conformité logique et physique de l'infrastructure du cloud et des principaux services proposés. Les clients sont responsables de leurs propres infrastructures, applications et systèmes informatiques sur site. Comme indiqué ci-dessus, l'autorisation AWS GovCloud FedRAMP High JAB P-ATO approuve les contrôles mis en place au sein de la région AWS GovCloud (US) pour s'assurer qu'AWS prend en charge les clients créant des systèmes conformes à la réglementation ITAR sur AWS. Cela permet à un client de gérer plus facilement ses propres obligations de conformité en matière de sécurité tout en traitant et en stockant des données dans la région AWS GovCloud (US). Voici quelques exemples :

  Protégez les données sensibles : protégez les données non classées sensibles avec le chiffrement côté serveur dans Amazon S3. Stockez et gérez vous-même les clés de sécurité avec AWS CloudHSM ou utilisez notre service en un clic AWS Key Management Service (KMS).

  Améliorez la visibilité dans le cloud : contrôlez l'accès aux données sensibles et leur utilisation dans Amazon CloudTrail, notre service de journalisation d'API géré et exploité par des ressortissants des États-Unis.

  Renforcez la gestion d’identité : limitez l'accès aux données sensibles à certaines personnes ou en fonction de l'heure ou du lieu, et limitez les appels d'API que les utilisateurs peuvent effectuer avec la fédération d'identité, la rotation simplifiée des clés et les autres outils de test et de contrôle d'accès puissants disponibles.