Conformité à l'ITAR : de quoi s'agit-il, à qui s'applique-t-elle et quelles sont les obligations des équipes informatiques ?

Selon le rapport Kaseya « State of the MSP » de 2026, la conformité réglementaire et le reporting figurent parmi les dix principaux besoins des clients des MSP en 2026, et pour ceux du secteur de la défense, la conformité à l'ITAR est une exigence incontournable. Téléchargez le rapport complet.

L'ITAR (International Traffic in Arms Regulations), ou règlement sur le commerce international des armes, est le cadre américain de contrôle des exportations régissant les articles de défense, les services de défense et les données techniques associées figurant sur la liste des munitions des États-Unis (USML). Pour les équipes informatiques et les fournisseurs de services gérés (MSP), la conformité à l'ITAR s'applique dès lors qu'ils traitent des données techniques ou fournissent des services relevant de son champ d'application, et les conséquences d'un manquement sont graves.

Contrairement à la plupart des cadres de conformité où les sanctions sont d'ordre financier, les violations de l'ITAR peuvent entraîner des poursuites pénales, l'exclusion des marchés publics et engager la responsabilité personnelle des employés. Il est essentiel de déterminer si l'ITAR s'applique et de comprendre ses exigences avant d'accepter toute mission dans le secteur de la défense. Les outils de conformité de Kaseya permettent aux MSP qui travaillent pour des sous-traitants du secteur de la défense et des clients liés à l'administration fédérale de gérer la conformité à plusieurs cadres réglementaires.

Qu'est-ce que l'ITAR ?

L'ITAR est géré par la Direction du contrôle du commerce de défense (DDTC) du Département d'État américain. Il met en œuvre la loi sur le contrôle des exportations d'armes, qui réglemente l'exportation et l'importation de matériel et de services liés à la défense afin d'empêcher que des technologies militaires sensibles ne tombent entre les mains d'adversaires.

Ce règlement régit les produits figurant sur la liste des matériels de défense des États-Unis (USML), qui comprend les systèmes d'armes, l'électronique militaire, les engins spatiaux, les matières nucléaires, ainsi que les données techniques et les services de défense liés à ces produits. L'USML comporte 21 catégories, et de nombreux produits qui ne sont pas manifestement des « armes » relèvent de son champ d'application, notamment les simulateurs d'entraînement, certains logiciels à usage militaire et les données techniques relatives aux produits soumis à contrôle.

L'USML a été révisé en septembre 2025 : certains éléments, jugés désormais trop peu sensibles pour justifier un contrôle, ont été supprimés, tandis que d'autres ont été ajoutés. Les organisations qui avaient précédemment estimé que l'ITAR ne s'appliquait pas à leurs activités devraient réexaminer cette évaluation si elles opèrent dans les secteurs de l'aérospatiale, des technologies spatiales ou des technologies émergentes concernés par cette révision.

L'ITAR est distinct mais lié à l'EAR (Export Administration Regulations), réglementé par le département du Commerce, qui couvre les biens à double usage : des produits commerciaux pouvant avoir des applications militaires. Les biens qui ne figurent pas sur l'USML mais qui relèvent du contrôle des exportations peuvent relever de l'EAR.

À qui s'applique l'ITAR ?

L'ITAR s'applique aux personnes américaines, aux citoyens américains, aux résidents permanents et aux entités constituées aux États-Unis qui fabriquent, exportent, importent à titre temporaire ou font le courtage d'articles ou de services liés à la défense.

Le terme « exportation » au sens de l'ITAR a une signification technique plus large que ce que la plupart des gens imaginent :

• La communication de données techniques à un ressortissant étranger se trouvant sur le territoire américain est considérée comme une « exportation présumée », assimilée à une exportation vers son pays d'origine
• Autoriser l'accès à des données techniques soumises aux dispositions de l'ITAR depuis l'extérieur des États-Unis, y compris via un service de stockage dans le cloud accessible depuis l'étranger, constitue une exportation
• Le transfert de données techniques soumises aux dispositions de l'ITAR à une entité étrangère, ou le fait de permettre à des ressortissants étrangers d'y avoir accès, nécessite une autorisation

Les exigences de l'ITAR s'étendent également à l'ensemble de la chaîne d'approvisionnement. Les sous-traitants, les fournisseurs d'outils et les prestataires de services qui reçoivent, traitent ou stockent des données soumises à l'ITAR doivent eux-mêmes se conformer à ces exigences. Un MSP qui accepte une mission pour le compte d'un sous-traitant du secteur de la défense n'hérite pas seulement des obligations de conformité de son client : il en assume également de ses propres.

Pour les équipes informatiques et les prestataires de services gérés (MSP), cela signifie que toute mission impliquant des données techniques soumises à l'ITAR nécessite de connaître la nationalité de l'ensemble du personnel ayant accès à ces données, l'emplacement de chaque système sur lequel elles sont stockées ou accessibles, ainsi que les autorisations d'exportation applicables.

Qu'est-ce qui est considéré comme des données techniques soumises à l'ITAR ?

Au sens de l'ITAR, les données techniques désignent les informations nécessaires à la conception, au développement, à la production, à la fabrication, à l'assemblage, à l'exploitation, à la réparation, aux essais, à la maintenance ou à la modification de matériel de défense. Cela comprend :

• Plans techniques, cahiers des charges et documents de conception
• Logiciels directement liés au matériel géré par USML
• Procédés de fabrication des articles relevant de l'USML
• Spécifications techniques et données d'essai relatives aux équipements de défense

Toutes les données techniques fournies par les sous-traitants du secteur de la défense ne sont pas soumises aux restrictions de l'ITAR. La question essentielle est de savoir si ces informations sont nécessaires au développement, à la production ou à l'exploitation d'un produit figurant sur la liste USML. Les entreprises soumises à l'ITAR doivent disposer d'un programme officiel de contrôle technologique (TCP) qui identifie les données soumises aux restrictions de l'ITAR au sein de leur environnement.

Une équipe informatique ou un prestataire de services gérés (MSP) qui ne parvient pas à obtenir des précisions à ce sujet auprès d'un client du secteur de la défense n'est pas en mesure d'accepter cette mission en toute sécurité. Avant d'accepter toute mission impliquant des systèmes du secteur de la défense, il convient d'obtenir une confirmation écrite précisant quelles données sont classifiées comme soumises à l'ITAR et ce que couvre l'accord de confidentialité (TCP) du client.

Le concept d'exportation, et pourquoi les systèmes informatiques sont concernés

Le concept d'«exportation présumée» représente le principal défi en matière de conformité informatique. Un système qui stocke des données techniques soumises aux dispositions de l'ITAR pourrait être considéré comme une exportation si :

• Le système est accessible depuis l'étranger, y compris via le stockage dans le cloud, sans aucune restriction géographique
• Un ressortissant étranger a accès au système ou à ses données, y compris les administrateurs informatiques
• Le système est géré ou accessible à distance depuis un site situé à l'étranger

En ce qui concerne plus particulièrement le stockage dans le cloud, le DDTC a clairement indiqué que le stockage de données soumises à l'ITAR sur une infrastructure cloud accessible depuis l'étranger ou exploitée à l'étranger nécessite une autorisation d'exportation ou l'utilisation d'une infrastructure cloud spécialement conçue pour la conformité à l'ITAR. Cela implique une résidence des données exclusivement aux États-Unis, des restrictions d'accès pour les personnes américaines, ainsi que des contrôles contractuels et techniques appropriés. Les niveaux de cloud commercial standard chez AWS, Microsoft 365 et Google Workspace ne répondent généralement pas à ces exigences sans configuration spécifique. Des environnements spécialement conçus, tels qu'AWS GovCloud et Microsoft Azure Government, sont destinés aux charges de travail éligibles à l'ITAR.

Une nouvelle préoccupation spécifique à l'IA et aux outils de collaboration fait également son apparition. Lorsque des contenus soumis aux restrictions de l'ITAR sont traités par des plateformes d'IA, rédigés dans des outils de collaboration ou transmis via des espaces de travail partagés, chacun de ces flux constitue un cas d'exportation potentiel si une personne étrangère peut accéder à l'outil ou si les données transitent par des infrastructures étrangères.

Pour les MSP, les conséquences sont directes. Si un MSP fournit des services informatiques à un sous-traitant du secteur de la défense traitant des données soumises à l'ITAR, et que ses techniciens comptent des ressortissants étrangers parmi leurs rangs, ou si le MSP utilise des outils bénéficiant d'une assistance à l'étranger ou d'un accès à distance, il risque de commettre des infractions aux règles d'exportation tant pour le compte de son client que pour lui-même.

Ce qu'exige l'ITAR des systèmes informatiques et des prestataires de services gérés (MSP)

Il n'existe pas de liste de contrôle technique unique relative à l'ITAR comparable à celles du PCI DSS ou de la loi HIPAA. La conformité à l'ITAR dans le domaine informatique consiste principalement à contrôler l'accès aux données techniques afin qu'elles ne parviennent pas à des personnes ou à des sites étrangers sans autorisation appropriée.

Localisation des données. Les données techniques soumises à la réglementation ITAR doivent être stockées sur des systèmes situés physiquement aux États-Unis et ne doivent pas être accessibles depuis l'extérieur des États-Unis sans autorisation d'exportation.

Contrôle d'accès en fonction de la nationalité. L'accès aux données soumises à l'ITAR doit être limité aux ressortissants américains. Les ressortissants étrangers, y compris le personnel informatique, les sous-traitants et tout administrateur système, ne doivent pas avoir accès aux systèmes ou aux données relevant de l'ITAR sans une licence d'exportation spécifique ou une exemption applicable.

Infrastructure cloud exclusivement située aux États-Unis. Le stockage dans le cloud de données soumises à l'ITAR nécessite une localisation des données exclusivement aux États-Unis et des contrôles d'accès réservés aux personnes américaines. Les principaux fournisseurs de services cloud proposent des configurations conformes à l'ITAR via leurs offres cloud destinées au secteur public. Les offres commerciales standard ne répondent généralement pas aux exigences de l'ITAR.

Contrôles de l'accès à distance. L'accès à distance aux systèmes relevant de l'ITAR doit être limité aux ressortissants américains se connectant depuis le territoire des États-Unis. Les solutions VPN ou d'accès à distance permettant des connexions depuis n'importe quel endroit ne sont pas adaptées aux systèmes relevant de l'ITAR sans la mise en place de contrôles supplémentaires.

Contrôles des sous-traitants et de la chaîne d'approvisionnement. Les MSP qui ont accès à des données relevant de l'ITAR doivent s'assurer que leurs propres sous-traitants et fournisseurs d'outils contrôlent également l'accès de manière appropriée. Un MSP qui recourt à un service détenu par une société étrangère ou employant du personnel étranger pour toute fonction en rapport avec des clients relevant de l'ITAR peut se rendre coupable d'infractions, quelle que soit son intention.

Programme de contrôle technologique (TCP). Les directives du DDTC et les pratiques du secteur exigent la mise en place d'un TCP documenté : un ensemble de politiques et de procédures décrivant comment les données soumises aux restrictions de l'ITAR sont identifiées, stockées, consultées et protégées. Pour les équipes informatiques et les fournisseurs de services gérés (MSP) dans ce domaine, le TCP est l'équivalent, en matière de gouvernance, d'un programme de sécurité HIPAA ou d'un plan de sécurité des systèmes CMMC.

Lien avec le CMMC. La plupart des organisations qui traitent des données soumises à l'ITAR sont également concernées par les activités du ministère de la Défense, ce qui signifie que les obligations liées à l'ITAR recoupent les exigences de la certification du modèle de maturité en matière de cybersécurité (CMMC). Les données techniques soumises à l'ITAR sont généralement considérées comme des informations non classifiées contrôlées (CUI), ce qui rend applicables les exigences du niveau 2 du CMMC. Les MSP qui accompagnent les sous-traitants du secteur de la défense doivent traiter l'ITAR et le CMMC comme un programme de conformité combiné, et non comme des axes de travail distincts.

Conséquences du non-respect

Les infractions à l'ITAR sont considérées comme des délits fédéraux graves. Le cadre réglementaire s'est durci ces dernières années.

Sanctions civiles. À compter de janvier 2025, la sanction civile maximale s'élèvera à 1 271 078 dollars par infraction, ou au double de la valeur de la transaction, le montant le plus élevé étant retenu. Chaque divulgation ou exportation non autorisée constitue une infraction distincte, et le montant total des sanctions peut rapidement s'alourdir en cas de non-respect répété des règles.

Sanctions pénales. Jusqu'à 1 million de dollars par infraction et jusqu'à 20 ans d'emprisonnement en cas d'infraction délibérée. Les poursuites pénales exigent la preuve d'une intention délibérée ou d'une connaissance des faits, ce qui représente un seuil plus élevé que dans le cadre d'une procédure civile.

Exclusion. Les organisations reconnues coupables d'avoir enfreint l'ITAR peuvent être exclues des marchés publics américains, ce qui met effectivement fin à leur éligibilité pour les contrats fédéraux. Le rétablissement des privilèges d'exportation n'est pas automatique et nécessite une demande officielle adressée au Département d'État.

Les mesures de contrôle se renforcent. En octobre 2024, RTX (anciennement Raytheon) a accepté de verser plus de 950 millions de dollars pour mettre fin à des enquêtes portant notamment sur des violations de l'ITAR et de la loi sur le contrôle des exportations d'armes, ce qui constitue le plus important règlement jamais enregistré dans le cadre de l'ITAR. Cette affaire a réaffirmé que les contrôles sont rigoureux, que les sanctions sont sévères et que les conséquences vont bien au-delà de l'amende immédiate, puisqu'elles incluent un contrôle obligatoire de la conformité et une atteinte à la réputation.

Déclaration volontaire. Le DDTC gère un programme de déclaration volontaire qui permet généralement aux organisations qui signalent elles-mêmes leurs infractions de bénéficier d'une réduction des sanctions. Il est généralement préférable de procéder à une déclaration volontaire plutôt que d'attendre que des mesures coercitives soient prises, et cela devrait constituer la première démarche à adopter dès qu'une infraction potentielle est identifiée.

Liste de contrôle pratique pour la conformité à l'ITAR

À l'attention des équipes informatiques et des prestataires de services gérés (MSP) qui évaluent ou gèrent des projets relevant du champ d'application de l'ITAR :

• Vérifier avec le client quelles données sont soumises aux restrictions de l'ITAR et examiner son programme de contrôle technologique
• Vérifier que l'ensemble du personnel et des sous-traitants ayant accès à des systèmes relevant de l'ITAR sont des ressortissants américains
• Vérifiez que le stockage dans le cloud utilisé pour les données soumises à l'ITAR est hébergé exclusivement aux États-Unis et qu'il est soumis à des contrôles d'accès réservés aux personnes américaines
• Limiter l'accès à distance aux systèmes relevant de l'ITAR aux ressortissants américains se connectant depuis le territoire américain
• Examiner tous les fournisseurs d'outils et sous-traitants afin d'évaluer les risques liés à l'accès de personnes étrangères
• Évaluer les risques liés à l'exposition des données soumises à l'ITAR dans le cadre de l'utilisation de l'IA et des outils de collaboration
• Mettre en place des garanties contractuelles appropriées pour répondre aux obligations découlant de l'ITAR
• Consigner toutes les mesures de conformité à des fins d'audit
• Déterminer si les obligations liées au CMMC recoupent le champ d'application de l'ITAR et les gérer comme un programme combiné

La solution Compliance Manager GRC Kaseya prend en charge la gestion de la conformité pour plusieurs référentiels, notamment le CMMC et les référentiels liés au secteur fédéral qui recoupent les obligations ITAR.