ITAR vs CMMC
CMMC (Cybersecurity Maturity Model Certification) et ITAR (International Traffic in Arms Regulations) sont deux cadres réglementaires des États-Unis, liés au secteur de la défense.
Parmi les questions fréquemment posées dans l'écosystème de la Défense, on note celle-ci: est-ce que ITAR et CMMC sont équivalents? Autrement dit, est-on conforme à CMMC si on est conforme à ITAR, et vis-versa?
Dans cet article de blog, nous allons répondre à cette question.
Presentation de ITAR (International Traffic in Arms Regulations)
ITAR est un ensemble de réglementations appliquées par le Département d'État des États-Unis.
ITAR contrôle l'exportation et l'importation d'articles et de services liés à la défense figurant sur la liste des munitions des États-Unis (United States Munitions List - USML). On parle ici d’armement.
CMMC (Cybersecurity Maturity Model Certification)
CMMC est une certification de cybersécurité que tous les contractants et sous-contractant de DoD doivent respecter. Il y a 3 niveaux CMMC dépendant des types de données auxquelles vous avez accès dans le cadre de votre relation d’affaires avec DoD.
Les fournisseurs de DoD sont dans diverses domaines et ne sont pas tous du secteur de l’armement.
CMMC vs ITAR
CMMC
CMMC est axée sur la cybersécurité et vise explicitement les entreprises (quelque soit leur taille) qui travaillent avec DoD et qui collectent, traitent ou génèrent des informations confidentielles (FCI) ou confidentielles (CUI) dans le cadre de contrats avec DoD.
Si vous n’êtes pas encore fournisseur de DoD et que vous voulez pouvoir faire affaire avec DoD, vous devez vous préparer et obtenir la certification CMMC.
CMMC est une certification.
ITAR
ITAR, il a un champ d'application plus large que la cybersécurité. Il couvre l’exportation, l'importation, le courtage de technologies de défense, de services de défense, des données techniques connexes
Toute entreprise qui fabrique, importe, exporte ou fournit des services liés à des articles figurant sur la liste des munitions des États-Unis (United States Munitions List - USML) doit se conformer à ITAR, même si elle n’est pas un fournisseur de DoD.
Certaines données ITAR sont des CUI (catégorie CUI: Exportation Contrôlée). Mais toutes les données ITAR ne sont pas forcément des CUI. Par exemple, si vous faîtes de la R&D dans le domaine de l’armement, vos données et résultats ne sont pas considérées par défaut comme des CUI quand vous les créez. Mais dès que vous obtenez un contrat avec DoD, vous devez les considérer et les protéger comme des CUI.
Comme vous l’aurez compris, c’est l’obtention d’un contrat avec DoD qui fait que vos données ITAR deviennent des CUI. Auquel cas, vous devez respecter toutes les exigences de protection des CUI, conformément au CMMC qui est fortement dérivé de NIST-800-171.
Noter que tous les CUI sont sont pas forcément ITAR.
ITAR n’est pas une certification.
ITAR et les sanctions
Les entreprises sont tenues de révéler si elles ont enfreint les exigences ITAR. Les violations comprennent entre autres : l'exportation ou le transfert de technologies contrôlées par ITAR sans les licences et approbations requises, le non-respect des conditions des licences, la falsification d'informations, etc.
Les sanctions prévues en cas de non-respect des règles ITAR sont assez lourdes:
des amendes pouvant aller jusqu'à 1 000 000 $ américains par infraction
20 ans d'emprisonnement par infraction pour les accusations criminelles
l'interdiction de participer à des transactions contrôlées par ITAR
CMMC et ITAR
Si vous êtes contractant et sous-contractant de DoD et que vous êtes dans le domaine de l’armement, vous devez vous conformer à ITAR et CMMC.
La bonne nouvelle est que certaines données de ITAR sont des CUI. En vous conformant à CMMC, vous couvrez donc le volet cybersécurité de la protection des CUI, requis par ITAR. Mais il faut toujours avoir à l’esprit que ITAR est plus large que la cybersécurité. Vous devez aussi respecter les exigences ITAR d’exportation, d’importation, de fabrication d’équipements ou services dans le domaine de l’armement.
Vous pouvez être ITAR et ne pas être obligé de vous conformer à CMMC tant que vous n’êtes pas contractant ou sous-contractant de DoD. Mais dès que vous le devez, il est obligatoire que vous vous conforment à CMMC.
La meilleure chose à faire est donc de se conformer à CMMC et ITAR si vous comptez être fournisseur de DoD un jour.
Comment StreamScan peut vous aider dans votre processus de mise en conformité CMMC?
StreamScan est Registered Provider Organization (RPO) CMMC et est officiellement autorisé à accompagner les organisations dans leur démarche CMMC.
Contactez l’un de nos experts ou appelez nous au +1 877-208-9040 pour discuter de votre mise en conformité CMMC.