Réglementation américaine sur le trafic international d'armes

(ITAR)

Présentation

AWS GovCloud (US) prend en charge la conformité avec les réglementations sur le trafic international d'armes (ITAR). Dans le cadre de la gestion d'un programme de conformité ITAR complet, les entreprises soumises aux réglementations d'exportation ITAR doivent contrôler les exportations involontaires en permettant l'accès aux seules personnes autorisées. AWS GovCloud (US) fournit un environnement situé physiquement aux États-Unis et où l'accès par le personnel AWS est limité aux citoyens des États-Unis, permettant de fait aux entreprises éligibles d'utiliser AWS pour transmettre, traiter et stocker des articles et des données soumises aux restrictions ITAR. L'environnement d'AWS GovCloud (US) a été audité par un organisme d'évaluation tiers indépendant (3PAO) qui a validé que les contrôles appropriés sont en place par rapport aux programmes de conformité requis pour les exportations du client.

Questions fréquentes (FAQ)

Ouvrir tout

Qu'est-ce que la réglementation ITAR ?

La réglementation ITAR contrôle l'exportation depuis les États-Unis des articles liés à la défense et interdit aux non-ressortissants des États-Unis de bénéficier d'un accès physique ou logique aux articles stockés dans l'environnement ITAR.

Les articles inclus dans la liste des munitions des États-Unis (USML) de l'ITAR comprennent des équipements, des composants, des matériaux, des logiciels et des informations techniques qui ne peuvent être partagés qu'avec des ressortissants américains, sauf autorisation ou exemption spéciale. Les ressortissants des États-Unis sont des personnes qui détiennent une carte verte américaine (carte de résident permanent aux États-Unis) ou qui détiennent le statut de citoyen américain.

Comment les exigences de la réglementation ITAR s'appliquent-elles dans le cloud ?

La conformité ITAR dans le cloud vise à s'assurer que les informations considérées comme des données techniques ITAR ne sont pas distribuées par inadvertance à des ressortissants ou pays étrangers sans autorisation appropriée.

Comment AWS prend-il en charge les clients soumis aux réglementations d'exportation ITAR ?

AWS donne aux clients la possibilité de stocker leurs données dans AWS GovCloud (US), qui est uniquement géré par des ressortissants des États-Unis sur le sol américain. AWS GovCloud (US) est un environnement isolé du cloud Amazon dans laquelle les comptes sont uniquement accordés à des ressortissants des États-Unis travaillant pour des organisations américaines.

Étant donné qu'AWS n'a aucune visibilité sur ce que les clients téléchargent sur notre réseau, notamment pour savoir si ces données sont considérées ou non comme étant soumises aux réglementations ITAR, toutes les données clients au sein d’AWS GovCloud (US) sont traitées comme des données ITAR.

Comment la région AWS GovCloud (US) donne-t-elle aux clients l'assurance qu'elle répond aux exigences de la réglementation ITAR ?

Il n'existe aucune certification ITAR officielle. La région AWS GovCloud (US) est évaluée de manière continue par un organisme d'évaluation tiers indépendant (3PAO) utilisant le programme fédéral de gestion des autorisations liées aux risques (Federal Risk Authorization Management Program ou FedRAMP), et a obtenu du conseil d'autorisation commune (Joint Authorization Board ou JAB) une autorisation d'exploitation provisoire (Provisional Authority to Operate ou P-ATO) au plus haut niveau dans le cadre du programme FedRAMP. Les directeurs informatiques (CIO) des départements américains de la Défense et de la Sécurité intérieure et de l'Administration des services généraux représentent le JAB. Pour plus d'informations, consultez Atteindre le niveau de conformité élevé de FedRAMP dans AWS GovCloud (US).

Comment le modèle de responsabilité partagée d'AWS s'applique-t-il lorsque les clients transmettent, traitent et stockent des données soumises à la réglementation ITAR sur AWS ?

AWS est responsable de la conformité logique et physique de l'infrastructure cloud et des principaux services proposés. Les clients sont responsables de leurs propres infrastructures, applications et systèmes informatiques sur site. L'autorisation d'exploitation provisoire (P-ATO) au plus haut niveau dans le cadre du programme FedRAMP émise par le conseil d'autorisation commune (JAB) garantit la bonne mise en place des contrôles au sein de la région AWS GovCloud (US). AWS aide les clients cherchant à développer des systèmes conformes à la réglementation ITAR sur AWS. Ci-dessous, vous trouverez quelques exemples des services AWS qui aident les clients à gérer leurs propres obligations de conformité en matière de sécurité :

Protéger les données sensibles : les clients peuvent protéger leurs données non classifiées avec le chiffrement côté serveur dans Amazon S3. Stockez et gérez vous-même les clés de sécurité avec AWS CloudHSM ou utilisez notre service de gestion des clés en un clic AWS Key Management Service (KMS).
Améliorer la visibilité du cloud : les clients peuvent auditer l'accès et l’utilisation des données sensibles avec Amazon CloudTrail, notre service de journalisation des API géré et exploité par des ressortissants américains.
Renforcer la gestion des identités : les clients peuvent limiter l'accès aux données sensibles par personne, par heure et par lieu. Pour restreindre les appels d'API que les utilisateurs sont en mesure de faire, vous pouvez utiliser la fédération d'identité, la rotation simplifiée des clés et d'autres outils de test puissants relatifs au contrôle des accès et disponibles sur AWS.

Des questions ? Contactez un représentant commercial d’AWS

Contactez-nous

Les rôles axés sur la conformité vous intéressent-ils ?

Postulez dès aujourd’hui »

Voulez-vous des mises à jour sur la Conformité AWS ?

Suivez-nous sur Twitter »