Secteur public 
Alors que les agences fédérales américaines sont confrontées à des cybermenaces de plus en plus sophistiquées, la sécurisation des systèmes à fort impact et des données
Le terme «conformité ITAR» est un terme inapproprié. À la difference de FedRAMP et d’autres cadres de conformité, il n’existe pas de processus formel de «Conformité ITAR» ou de «Certification ITAR». Les organisations qui relèvent de l’ITAR doivent comprendre comment les réglementations les touchent et mettre en place des politiques et des mesures internes pour protéger les données techniques ITAR.
Découvrons ce qu’est l’ITAR et comment la suite de cyber sécurité de Keeper peut vous aider à vous y conformer.
Qu’est-ce que la conformité ITAR?
La Réglementation américaine sur le trafic d’armes au niveau international (International Traffic in Arms Regulation, ou ITAR) réglemente les importations et les exportations américaines de biens et de services liés à l’espace et à la défense, comme décrit dans la United States Munitions List (USML). Outre les navettes spatiales et les torpilles, l’USML comprend également ce que l’ITAR appelle des «données techniques» : plans, schémas, photos et autres documents utilisés pour fabriquer des navettes spatiales, des torpilles et d’autres équipements militaires et spatiaux.
Du point de vue de la cyber sécurité et de la conformité informatique, l’ITAR exige des entreprises qu’elles veillent à ce que seules les « personnes américaines » puissent accéder aux données techniques. Il est important de noter que l’expression «personnes américaines», telle que définie par l’ITAR, se réfère non seulement aux citoyens américains ou aux résidents permanents légaux, mais aussi à toute organisation incorporée pour faire des affaires aux États-Unis, ainsi qu’aux entités gouvernementales à l’échelle nationale, des états et municipale.
En règle générale, la conformité ITAR en matière de données techniques implique de s’assurer que tous les centres de données sont situés aux États-Unis et gérés uniquement par des personnes américaines. En outre, les organisations doivent veiller à ce que seules des personnes américaines puissent accéder aux données techniques.
Quelles organisations doivent respecter l’ITAR?
Les organisations qui vendent des produits ou des services au ministère de la Défense des États-Unis (DoD) (ou qui vendent à ces organisations) doivent respecter les réglementations ITAR. Cela signifie que toutes les organisations de la chaîne d’approvisionnement du DoD doivent respecter l’ITAR, des sous-traitants principaux aux grossistes, distributeurs et fournisseurs de services informatiques.
Keeper Security Government Cloud (KSGC) est conforme à l’ITAR
En tant que fournisseur de services cloud en cours de traitement FedRAMP (niveau d’impact modéré), et premier et seul gestionnaire de mot de passe à être répertorié sur le marché FedRAMP, Keeper est bien placé pour aider les organisations à respecter l’ITAR.
Hébergé sur AWS GovCloud
L’environnement FedRAMP de Keeper, Keeper Security Government Cloud (KSGC), est hébergé sur AWS GovCloud, qui n’utilise que des centres de données basés aux États-Unis, accessibles uniquement par des personnes américaines. Toutes les données stockées dans AWS GovCloud sont chiffrées à la fois en transit et au repos.
Une plateforme basée aux États-Unis conçue, gérée et maintenue par des personnes américaines
Tous les ingénieurs logiciels Keeper et le personnel DevOps qui travaillent sur KSGC sont des personnes américaines, tout le code source de KSGC est développé aux États-Unis et l’accès à l’environnement KSGC est strictement réservé au personnel Keeper qui sont des personnes américaines.
En outre, KSGC possède des équipes de Réussite client et d’assistance dédiées, basées aux États-Unis, et qui ont été formées à la gestion en toute sécurité des données techniques régies par l’ITAR.
Commandes d’autorisation granulaires
En plus de donner aux administrateurs informatiques une maîtrise complète de l’utilisation des mots de passe par les employés, la solution de gestion des mots de passe acclamée par la critique de Keeper offre des contrôles d’accès basés sur les rôles (RBAC) granulaires, régis par la règle du moindre privilège. Avec Keeper, les administrateurs peuvent s’assurer que seules les personnes américaines peuvent accéder aux données techniques régies par l’ITAR et qu’elles ne peuvent accéder qu’aux données qui leur sont autorisées.
Architecture de sécurité Zero-Knowledge
Keeper est un fournisseur de sécurité Zero-Knowledge. «Zero-Knewledge» désigne une architecture de système qui garantit les plus hauts niveaux de sécurité et de confidentialité en adhérant aux principes suivants:
1. Les données sont chiffrées et déchiffrées au niveau de l’appareil (et non sur le serveur)
2. L’application ne stocke jamais de données au format texte brut (lisibles par les humains)
3. Le serveur ne reçoit jamais de données au format texte brut
4. Aucun employé ou intermédiaire ne peut voir les données non chiffrées
5. Les clés pour chiffrer et déchiffrer les données sont dérivées du mot de passe principal de l’utilisateur
6. Le chiffrement multicouche fournit un contrôle d’accès au niveau de l’utilisateur, du groupe et de l’administrateur
7. Le partage des données utilise la cryptographie à clé publique, pour une distribution sécurisée des clés
Les données sont chiffrées sur l’appareil de l’utilisateur avant d’être transmises et stockées dans le coffre numérique de Keeper. Lorsque les données sont synchronisées sur un autre appareil, elles restent chiffrées jusqu’à être déchiffrées sur l’autre appareil.
Les données du registre de l’utilisateur restent chiffrées pendant toute la durée du processus, du moment où elles quittent l’appareil de l’utilisateur final, sont transmises sur Internet et sont stockées dans le Keeper Vault. Cela signifie que personne, pas même les employés de Keeper, ne peut déchiffrer les données stockées par nos utilisateurs dans leurs coffres Keeper. Les données ne peuvent être déchiffrées que sur l’appareil de l’utilisateur final avec le mot de passe principal.
La méthode de chiffrement utilisée par Keeper est un algorithme fiable et réputé appelé AES (Advanced Encryption Standard), doté d’une longueur de clé de 256 bits. Keeper utilise PBKDF2 avec HMAC-SHA256 pour transformer le mot de passe principal de l’utilisateur en une clé de chiffrement de 256 bits, avec un minimum de 1 000 tours. Chaque utilisateur dispose d’une clé RSA de 2048 bits pour le partage sécurisé des données enregistrées.
Politiques d’accès Zero-Trust
Keeper permet aux administrateurs informatiques d’appliquer une sécurité complète des mots de passe à l’échelle de l’organisation. Elle prend en charge la vérification de l’utilisateur et de l’appareil au cœur du modèle de sécurité Zero-Trust. Cela inclut l’utilisation de mots de passe forts et uniques pour chaque compte et l’authentification multifacteur (MFA) sur tous les comptes qui la prennent en charge.
Audits et rapports de conformité robustes
KSGC produit une piste d’audit électronique traçable de toutes les actions effectuées ou données saisies dans l’environnement. À l’aide du module de rapports et d’alertes avancés (ARAM) de Keeper, les administrateurs informatiques et de sécurité peuvent également recevoir des notifications en temps réel par e-mail, SMS ou webhooks concernant des comportements inhabituels ou potentiellement risqués, ajouter automatiquement des données d’événements en temps réel à une feuille de calcul externe ou à une solution SIEM, et créer des rapports personnalisés et basés sur le temps pour une utilisation interne, des audits de conformité ou les deux.
Vous voulez en savoir plus sur la façon dont Keeper Security Government Cloud peut aider votre organisation à répondre aux exigences de l’ITAR? Rendez-vous sur la page produit KSGC ou contactez notre équipe dès aujourd’hui.
