Export control et cybersécurité défense : guide de conformité pour les PME

L'ITAR réglemente l'export de défense américain. Toute entreprise française utilisant des composants, logiciels ou données techniques inscrits à l'USML (US Munitions List) est concernée, même en tant que sous-traitant de rang 3. Les obligations incluent : l'enregistrement auprès du DDTC (Directorate of Defense Trade Controls), l'obtention de licences d'export pour chaque transfert, la mise en place d'un ICP (Internal Compliance Program), et l'interdiction de réexport sans autorisation. Les violations ITAR sont sanctionnées jusqu'à 1 million USD par infraction et 20 ans d'emprisonnement.

Les EAR couvrent les biens et technologies à double usage inscrits à la CCL (Commerce Control List). Ils concernent un spectre plus large que l'ITAR : composants électroniques, logiciels de chiffrement, équipements de test, technologies de fabrication. Les PME doivent vérifier : la classification ECCN de chaque produit, les destinations autorisées (Entity List, pays sous embargo), les licences nécessaires, et les obligations de screening des utilisateurs finaux (end-use/end-user checks).

En Europe, le Règlement UE 2021/821 encadre l'export des biens à double usage. En France, le SBDU (Service des Biens à Double Usage) du ministère de l'Économie délivre les licences. Les PME doivent également connaître : la Position Commune 2008/944 (critères d'export d'armements), la licence globale de transfert intracommunautaire (directive 2009/43/CE), et les procédures CIEEMG (Commission Interministérielle pour l'Étude des Exportations de Matériels de Guerre).

L'Instruction Générale Interministérielle n° 1300 (IGI 1300) fixe les règles de protection du secret de la défense nationale dans les systèmes d'information. Les exigences incluent : l'homologation du SI par l'autorité d'emploi, le chiffrement des données classifiées (algorithmes agréés par l'ANSSI), la journalisation de tous les accès, la séparation physique ou logique des réseaux (air gap pour le Très Secret), les tests d'intrusion annuels, et l'agrément des prestataires de services informatiques (PASSI pour les audits).

SecNumCloud est le visa de sécurité délivré par l'ANSSI pour les services cloud. Pour les marchés de défense impliquant des données sensibles, l'hébergement SecNumCloud est de plus en plus exigé. Les PME doivent vérifier que leurs prestataires cloud sont qualifiés SecNumCloud ou prévoir un hébergement on-premise conforme. Le mémoire doit détailler l'architecture d'hébergement, les mesures de cloisonnement, le plan de continuité et de reprise d'activité (PCA/PRA).

Le RGPD s'applique même dans le contexte défense pour les données personnelles. Des contraintes supplémentaires s'ajoutent : interdiction de transfert hors UE sauf accords spécifiques, minimisation des données, chiffrement systématique, et notification CNIL renforcée en cas de violation. Le mémoire doit présenter la politique de protection des données incluant les spécificités défense.

L'ICP est un programme interne documenté qui couvre : la politique de conformité signée par la direction, la désignation d'un compliance officer, les procédures de screening (clients, destinations, end-use), la classification des produits (USML/CCL/ML), la gestion des licences, la formation du personnel, et l'audit interne annuel. Sa mise en place est un signal fort de maturité pour les donneurs d'ordre.

La Politique de Sécurité des Systèmes d'Information (PSSI) est obligatoire pour tout marché impliquant des informations classifiées. Elle doit couvrir : la cartographie des actifs, l'analyse de risques (méthode EBIOS RM recommandée), les mesures de protection techniques et organisationnelles, la gestion des incidents, et le plan de formation cyber du personnel. L'homologation du SI par l'autorité d'emploi est un prérequis à l'exécution du marché.