Réglementations sur le trafic international d’armes
Les réglementations sur le trafic international d’armes (International Traffic in Arms Regulations, ou ITAR) sont la mise en œuvre de la Loi sur le contrôle de l’exportation des armes (Arms Export Control Act, ou AECA) et du décret présidentiel (Executive Order) 13637 par le département d’État. La réglementation ITAR inclut des considérations sur l’importation temporaire et l’exportation d’articles et de services de défense. Elle déclare que tout individu n'étant pas une personne américaine ne peut obtenir une licence, ou toute autre approbation, pour les articles de défense conservés dans un environnement ITAR (veuillez vous reporter au texte complet pour connaître les exceptions à cette règle).
Questions sur l’ITAR
Les articles de défense couverts par la réglementation sont identifiés par le département d’État dans la liste des munitions des États-Unis telle que définie par des libellés spécifiques dans la réglementation. La liste des munitions des États-Unis peut être modifiée uniquement au moyen d’un amendement.
Dans le cadre de cette réglementation, « personne américaine » a la signification suivante :
Une personne (comme défini à la section §120.14 de cette partie) qui est un résident permanent légal, comme défini à la section 8 U.S.C. 1101(a)(20), ou une personne protégée comme défini à la section 8 U.S.C. 1324b(a)(3). Toute société, toute association commerciale, tout partenariat, trust ou toute autre entité, organisation ou tout groupe constitués en société pour faire des affaires aux États-Unis. Cela inclut également toute entité gouvernementale (fédérale, d’état ou locale). Cela n’inclut aucune personne étrangère comme défini à la section §120.16 de cette partie.
Dans l’environnement Smartsheet Gov, l’ITAR s’applique aux clients s’assurant que les informations réglementées par l’ITAR (la liste des munitions des États-Unis) ne sont divulguées à aucune personne ne respectant pas les exigences d’accès en vertu de cette réglementation, telles les personnes pouvant être considérées comme des personnes étrangères, comme défini dans la réglementation.
Smartsheet soutient ses clients préoccupés par l’ITAR en fournissant une plateforme hébergée sur AWS GovCloud ; le fonctionnement d’AWS GovCloud et de cette plateforme étant assuré respectivement par des personnes américaines et des employés de Smartsheet respectant la définition de personne américaine.
En tant que réglementation, l’ITAR n’inclut pas de méthode de démonstration de conformité directe, au moyen d’une certification, attestation ou autorisation officielle. Smartsheet Gov est hébergée sur AWS GovCloud (dont le fonctionnement est assuré par des personnes américaines), bénéficie d'une autorisation provisoire d’exploitation (P-ATO) FedRAMP au niveau d’impact modéré (IL2), et son fonctionnement est assuré par des employés de Smartsheet conformes à la définition de personne américaine.
Smartsheet comporte un certain nombre de fonctionnalités pour aider ses clients à protéger des données de façon appropriée dans son environnement Gov :
- Contrôles d’accès robustes : Smartsheet recommande l’utilisation d’un fournisseur d’authentification unique (Single Sign-On, ou SSO) et d’une authentification multi-facteurs (Multi-Factor Authentication, ou MFA) avec son environnement Gov.
- Chiffrement : Smartsheet fournit le chiffrement dans cet environnement au moyen de contrôles des données en transit et au repos, conformément à des normes de chiffrement validées.
- Surveillance : l’application Smartsheet propose plusieurs fonctionnalités de surveillance des données relatives aux activités dans votre compte Smartsheet Gov. Vous disposez notamment du rapport d’accès aux feuilles, indiquant les personnes pouvant accéder à des feuilles spécifiques dans votre environnement, et d’un journal d’activité pour chaque feuille, constituant une piste d’audit granulaire des actions dans la feuille.
Pour utiliser Smartsheet en prenant en charge la conformité ITAR, vous devez configurer les paramètres essentiels suivants :
-
Désactivation de la publication :
-
Veillez à désactiver la fonctionnalité de publication au niveau du compte, afin d’empêcher toute publication involontaire de données sur des sites accessibles au public. Cela devrait inclure la désactivation de la publication pour les éléments suivants :
-
Feuilles
-
Rapports
-
Tableaux de bord
-
Calendrier
-
-
-
N’ajoutez pas de domaines ou d’adresses e-mail à la liste de partage approuvée (activée par défaut dans Gov) s’ils ne respectent pas les exigences de l’ITAR (personnes américaines uniquement)
-
Formulaires
-
Écran d’accueil (configuré quotidiennement)
-
Utilisation d’API : limitez l’intégration comme approprié
-
Surveillez toute intégration de stockage externe
Remarque : il incombe à chaque client d’évaluer indépendamment sa propre utilisation des services d’abonnement et des pratiques de sécurité de Smartsheet pour s’assurer que son utilisation reste conforme à l’ITAR.
Si vous avez des questions supplémentaires, auxquelles vous ne trouvez pas de réponse ci-dessus, veuillez remplir ce formulaire et un ingénieur sécurité de Smartsheet vous contactera.