Industrie aéronautique

Logiciel ITAR et CMMC: ce que votre ERP doit gérer

23/6/2026
  |  
Lynn Heidmann
Sommaire
Merci pour votre inscription à la newsletter Bonx ! Nous vous contacterons si nous pensons que notre contenu vous correspond.

Le logiciel de conformité ITAR et le logiciel de conformité CMMC passent d'un sujet de back-office à un critère commercial. Pour les fournisseurs américains de l'aéronautique et de la défense, la question n'est plus de savoir si la conformité existe quelque part dans l'entreprise. Elle est de savoir si les systèmes utilisés pour piloter la production peuvent prouver qui a accédé aux données contrôlées, ce qui a changé, quelles pièces ont circulé, quels fournisseurs sont intervenus sur la commande et quels enregistrements justifient le contrat.

C'est là que beaucoup d'industriels se retrouvent bloqués. La conformité vit dans des politiques, des classeurs, des dossiers SharePoint, des tableurs et des outils de sécurité, pendant que le travail réel passe par l'ERP, les achats, la production, la qualité, l'expédition et les échanges fournisseurs. Quand ces deux mondes ne sont pas reliés, la conformité devient un exercice de reconstitution.

Cet article examine ce que l'International Traffic in Arms Regulations (ITAR) et la Cybersecurity Maturity Model Certification (CMMC) exigent au niveau opérationnel, puis en tire un standard ERP concret pour les industriels qui ont besoin de contrôles d'accès, de traçabilité, d'historique d'audit et de preuves sans transformer l'ERP lui-même en projet de conformité.

Pourquoi ITAR et CMMC deviennent des exigences opérationnelles

La conformité aéronautique et défense a longtemps ressemblé à un sujet de spécialistes. Le juridique gérait l'export control, l'IT gérait la cybersécurité, la qualité gérait la traçabilité et les opérations faisaient avancer l'usine.

Cette séparation devient plus difficile à tenir. Les prime contractors et les acheteurs publics attendent de plus en plus des fournisseurs qu'ils prouvent que les informations contrôlées, les pièces contrôlées, les enregistrements de production et les pratiques de cybersécurité sont gérés dans le flux opérationnel normal.

ITAR et CMMC ne demandent pas la même chose. ITAR concerne l'export control des defense articles, des defense services et des technical data associés. CMMC concerne l'assurance cybersécurité des contractors et subcontractors de la défense qui manipulent des federal contract information (FCI) ou des controlled unclassified information (CUI).

Mais dans une entreprise industrielle, les symptômes opérationnels se recoupent. Les deux sujets créent de la pression autour des accès, de l'identité, de la documentation, des audit trails, du contrôle fournisseur, des preuves et de la capacité à montrer ce qui s'est passé sans tout reconstruire à la main.

ITAR dans l'industrie: contrôler l'article, les données et les accès

ITAR s'applique aux defense articles, aux defense services et aux technical data contrôlés par l'US Munitions List. Pour les industriels, cela peut inclure des pièces physiques et les informations techniques nécessaires pour concevoir, développer, produire, fabriquer, assembler, réparer, tester, maintenir ou modifier ces articles.

Le point opérationnel est simple: ITAR ne se limite pas à l'expédition d'une pièce au-delà d'une frontière. Un plan contrôlé, une instruction de travail, une note de gamme, un fichier d'inspection, un dossier fournisseur ou une modification technique peuvent créer un risque d'export control si la mauvaise personne y accède.

Selon 22 CFR Part 122, les fabricants américains de defense articles doivent généralement s'enregistrer auprès de la Directorate of Defense Trade Controls, même s'ils n'exportent pas. L'enregistrement n'est pas une licence d'exportation et ne donne pas de droit d'exportation en soi. C'est le point de départ pour être connu du gouvernement américain comme acteur impliqué dans une activité de fabrication pour la défense.

Cette même partie de la réglementation compte aussi pour la conception de l'ERP. Les registrants doivent conserver des enregistrements sur la fabrication, l'acquisition et la disposition de defense articles et de technical data. Les enregistrements électroniques doivent être reproductibles, lisibles et protégés de façon à montrer qui a effectué les changements et quand.

C'est une exigence logicielle très concrète. Si un ERP permet aux utilisateurs d'écraser des enregistrements contrôlés sans historique des modifications, stocke des technical data en dehors des règles d'accès ou fait circuler des articles marqués ITAR dans les achats et la production sans contexte d'export control, le système rend la conformité plus difficile qu'elle ne devrait l'être.

ITAR rend aussi illégales les exportations non autorisées, les retransferts et la fourniture de defense services sans l'autorisation requise selon 22 CFR Part 127. Au quotidien, cela pousse les industriels à mieux contrôler qui peut voir les données contrôlées, quel fournisseur reçoit quel dossier, ce qui est partagé à l'extérieur et si chaque divulgation repose sur une base défendable.

CMMC dans l'industrie: protéger FCI et CUI là où le travail se fait

CMMC est différent en ce sens qu'il ne s'agit pas d'export control. C'est le modèle d'assurance du Department of Defense pour vérifier que contractors et subcontractors ont mis en place les standards de cybersécurité requis pour les systèmes qui traitent, stockent ou transmettent des FCI ou des CUI.

La page officielle du programme CMMC définit trois niveaux d'évaluation. Le niveau 1 couvre la protection de base des FCI, le niveau 2 couvre une protection plus large des CUI et s'aligne sur les 110 exigences de sécurité du NIST SP 800-171 Revision 2, et le niveau 3 ajoute une protection plus élevée des CUI contre les menaces persistantes avancées.

Le calendrier compte aussi. Le déploiement progressif de CMMC a commencé le 10 novembre 2025. La phase 1, du 10 novembre 2025 au 9 novembre 2026, se concentre surtout sur les auto-évaluations de niveau 1 et de niveau 2, tandis que les phases suivantes ajoutent davantage d'exigences de certification.

Pour les industriels, CMMC devient concret dans les systèmes où se trouvent réellement les informations contractuelles et de production. Les CUI peuvent apparaître dans les plans, les spécifications, les enregistrements d'inspection, les instructions de travail, les fichiers qualité, les communications fournisseurs, les notes de production et les documents de commande. Si ces enregistrements vivent dans l'ERP, l'ERP fait partie de l'environnement qui doit être cadré, protégé ou volontairement segmenté.

Cela ne veut pas dire que l'ERP rend à lui seul une entreprise conforme CMMC. CMMC inclut les politiques, les personnes, les appareils, les réseaux, la réponse aux incidents, la formation, la gestion des identités, la protection des supports et d'autres contrôles. Mais si l'ERP est central dans la production et stocke des CUI, il doit soutenir le programme de cybersécurité de l'entreprise au lieu de devenir une exception.

Ce qu'ITAR et CMMC changent pour les exigences ERP

Un ERP ne remplace pas un conseil en export control, un assessor CMMC ou un programme de sécurité, mais il doit faciliter la production de preuves opérationnelles parce que ces preuves sont créées à mesure que le travail avance:

1. Classification des articles et données contrôlés

L'ERP doit permettre de marquer les pièces, documents, commandes, clients, contrats, fournisseurs et instructions de travail contrôlés. Un simple champ de note ne suffit pas.

Les industriels doivent pouvoir identifier si un article ou un enregistrement est ITAR-controlled, CUI, export-controlled sous un autre régime, soumis à une restriction client ou concerné par des exigences de flowdown fournisseur. Cette classification doit suivre l'enregistrement opérationnel: de la commande client à la nomenclature, à la gamme, à l'ordre de fabrication, au bon de commande, à l'inspection qualité, à l'expédition et à l'archive.

Le test consiste à savoir si le système peut empêcher quelqu'un de traiter une commande contrôlée comme une commande normale. Si l'étiquette ITAR ou CUI disparaît une fois que la planification crée un ordre de fabrication, l'ERP ne porte pas le contexte de conformité assez loin.

2. Contrôle d'accès par rôles et attributs

ITAR et CMMC élèvent tous deux le niveau d'exigence sur les accès, même si les raisons diffèrent.

Pour ITAR, l'industriel peut devoir limiter les technical data à des US persons autorisées ou à des personnes couvertes par l'autorisation concernée. Pour CMMC, l'entreprise doit contrôler l'accès aux FCI et CUI selon ses politiques de sécurité et son périmètre d'évaluation.

Votre ERP doit prendre en charge le principe du moindre privilège par rôle, site, équipe, type de document, type de commande, projet, client, fournisseur et statut de contrôle. Il doit aussi fonctionner avec les contrôles d'identité déjà utilisés par l'entreprise, dont le single sign-on, l'authentification multi-facteur et la gestion du cycle de vie des utilisateurs.

C'est dans la zone intermédiaire que beaucoup de systèmes échouent. Ils peuvent restreindre un module entier, mais pas un plan précis. Ils peuvent masquer une fiche client, mais pas la pièce jointe sur un bon de commande. Ils peuvent contrôler les employés, mais pas l'accès au portail fournisseur. Pour les fournisseurs aéronautique et défense, ce n'est pas suffisant.

3. Traçabilité des pièces, lots, numéros de série, révisions et fournisseurs

Les preuves de conformité dépendent de la traçabilité. L'ERP doit savoir ce qui a été fabriqué, avec quelles matières, selon quelle révision, par quelle opération, inspecté par qui, libéré sous quelle approbation et expédié vers quelle destination.

Pour les industriels aéronautique et défense, la traçabilité doit couvrir:

  • Les références article, lots, batchs et numéros de série.
  • Les versions de nomenclature et les révisions techniques.
  • Les ordres de fabrication, gammes et historiques d'opération.
  • Les réceptions matières, certificats fournisseur et lots fournisseur.
  • Les inspections qualité, non-conformités, dispositions et actions correctives.
  • Les enregistrements d'expédition, documents export et preuves de livraison.

C'est ici que les logiciels de conformité et les logiciels industriels divergent souvent. Un outil de conformité autonome peut stocker des documents, mais l'ERP doit relier ces documents à la chaîne de production réelle. Si un acheteur demande quel lot fournisseur est entré dans un numéro de série expédié, la réponse ne doit pas dépendre de quelqu'un qui cherche manuellement dans ses emails, un tableur et trois dossiers.

Les audit trails doivent être banals, complets et difficiles à contourner

Les audit trails deviennent utiles quand ils sont intégrés au travail normal. Ils doivent montrer qui a créé, consulté, modifié, approuvé, libéré, imprimé, téléchargé, exporté ou partagé des enregistrements contrôlés, avec des timestamps et la valeur précédente lorsqu'un enregistrement change.

Pour ITAR, les enregistrements doivent être conservés de façon à montrer les changements, qui les a faits et quand. Pour CMMC, l'audit et l'accountability font partie des familles de contrôles de sécurité liées à la protection des CUI selon NIST SP 800-171.

L'ERP doit rendre l'historique d'audit banal: assez complet pour être fiable, assez facile à retrouver et disponible avant qu'un incident ne le transforme en travail forensique urgent.

Cela signifie que les utilisateurs ne doivent pas pouvoir effacer la piste en modifiant manuellement un PDF, en remplaçant une pièce jointe, en changeant une gamme après achèvement ou en exportant des données contrôlées sans que le système enregistre l'action. Dès que l'audit trail dépend de bonnes habitudes en dehors de l'ERP, l'entreprise a une histoire moins solide à raconter.

Le flowdown fournisseurs et subcontractors appartient à l'ERP

La plupart des industriels aéronautique et défense ne produisent pas toutes les pièces, traitements ou opérations en interne. Les opérations externalisées, procédés spéciaux, finitions, inspections, usinage, tests, logistique et support technique peuvent tous impliquer des fournisseurs ou subcontractors.

L'ERP doit aider à contrôler ce qui circule vers ces partenaires. A minima, il doit répondre à ces questions:

  • Quels fournisseurs sont approuvés pour du travail contrôlé?
  • Quels contacts fournisseurs sont autorisés à recevoir des informations contrôlées?
  • Quels bons de commande incluent des clauses de flowdown ITAR, CUI, client ou contrat?
  • Quels documents ont été envoyés, quand, par qui et par quel canal?
  • Quels certificats fournisseur, rapports d'inspection et acknowledgements sont revenus?
  • Quels fournisseurs sont intervenus sur une pièce sérialisée ou un lot précis?

C'est l'un des moyens les plus rapides de voir si un ERP est vraiment prêt pour les supply chains défense. Si le contrôle fournisseur vit dans les notes d'achat et les dossiers de conformité pendant que les bons de commande avancent séparément, l'entreprise passera trop de temps à reconstituer les preuves.

Les enregistrements qualité doivent prouver la conformité et le contrôle

La gestion qualité n'est pas séparée de la préparation ITAR et CMMC. Dans l'aéronautique et la défense, les enregistrements d'inspection, non-conformités, actions correctives, concessions et approbations de libération font souvent partie de la chaîne de preuves.

L'ERP doit relier les événements qualité à l'article contrôlé et à son contexte de production. Une non-conformité doit pointer vers le numéro de série, le lot, l'opération, la révision, le centre de charge, le fournisseur, la disposition, l'approbateur et la commande client concernée. Une action corrective doit se relier aux enregistrements qu'elle traite. Un certificat de conformité doit être généré à partir de données contrôlées, pas assemblé manuellement avec ce que l'équipe parvient à retrouver.

C'est aussi là que la traçabilité de précision compte commercialement. Les acheteurs veulent avoir confiance dans la capacité du fournisseur à fabriquer la pièce et à en prouver l'historique sans ralentir chaque commande.

Que demander aux éditeurs ERP avant de leur confier du travail ITAR et CMMC

Un éditeur n'a pas besoin de promettre que son ERP "vous rend conforme". S'il le fait, méfiez-vous. Un éditeur plus solide sait montrer comment son système soutient les contrôles, les enregistrements et les preuves dont votre programme de conformité a besoin.

Posez des questions pratiques comme:

  • Les articles, documents, clients, commandes, fournisseurs et instructions de travail contrôlés peuvent-ils être classifiés dans le système?
  • Cette classification suit-elle la planification, les achats, la production, la qualité, le stock, la logistique et l'archive?
  • L'accès peut-il être restreint sous le niveau du module, y compris pour des documents, pièces jointes, projets, commandes ou fiches fournisseurs précis
  • L'ERP prend-il en charge le SSO, le MFA, la gestion des rôles et les workflows de désactivation utilisateur?
  • Le système peut-il montrer qui a consulté, modifié, approuvé, exporté, téléchargé ou partagé un enregistrement contrôlé?
  • Les changements d'enregistrement sont-ils assez immuables pour montrer la valeur précédente, l'utilisateur et le timestamp?
  • Les clauses de flowdown fournisseur et le partage de documents contrôlés peuvent-ils être suivis du bon de commande à la réception?
  • L'ERP peut-il tracer un numéro de série ou un lot expédié en remontant aux matières, fournisseurs, opérations, inspections, non-conformités et révisions?
  • Les CUI peuvent-elles être segmentées, cadrées ou restreintes d'une manière cohérente avec le périmètre CMMC de l'entreprise?
  • À quelle vitesse le système peut-il être mis en place sans affaiblir le contrôle des accès, la traçabilité ou l'audit trail?

La dernière question compte plus qu'il n'y paraît. La pression de conformité arrive souvent avec une échéance contractuelle. Si la mise en place de l'ERP prend 18 mois, le système risque de manquer la fenêtre commerciale qui a rendu le projet urgent.

FAQ sur les logiciels de conformité ITAR et CMMC

Qu'est-ce qu'un logiciel de conformité ITAR?

Un logiciel de conformité ITAR aide les entreprises à gérer les contrôles opérationnels liés à l'International Traffic in Arms Regulations, dont la classification des articles contrôlés, l'accès aux technical data, la documentation export, la conservation des enregistrements, les audit trails et le flowdown fournisseur. Pour les industriels, l'ERP doit souvent soutenir ces contrôles parce que les pièces contrôlées et les technical data passent par la production, la qualité, les achats, le stock et l'expédition.

Qu'est-ce qu'un logiciel de conformité CMMC?

Un logiciel de conformité CMMC aide les contractors de la défense à gérer les exigences de cybersécurité nécessaires à la protection des FCI et CUI. Cela peut inclure la documentation de sécurité, les évaluations, les preuves, le contrôle d'accès, les audit logs et le suivi des contrôles. Un ERP n'est pas un programme CMMC complet, mais s'il stocke ou traite des CUI, il doit soutenir les exigences d'accès, d'audit et de preuves liées au périmètre CMMC de l'entreprise.

Un ERP rend-il un industriel conforme ITAR?

Non, aucun ERP ne rend à lui seul un industriel conforme ITAR. La conformité ITAR dépend de la classification, de l'enregistrement, des licences ou approbations quand elles sont requises, des procédures d'export control, des contrôles sur les personnes, de la gestion fournisseurs, de la formation et du jugement juridique. L'ERP doit soutenir la partie opérationnelle: étiquettes sur les données contrôlées, accès restreint, traçabilité, conservation des enregistrements, historique des modifications et preuves.

Un ERP rend-il un industriel conforme CMMC?

Non, aucun ERP ne rend à lui seul un industriel conforme CMMC. CMMC couvre les pratiques de cybersécurité de l'organisation à travers les personnes, les processus, les systèmes et les réseaux. Mais un ERP peut entrer dans le périmètre s'il stocke, traite ou transmet des FCI ou des CUI. Dans ce cas, l'ERP doit soutenir le contrôle d'accès, la gestion des identités, l'historique d'audit, la segmentation des données et la collecte des preuves.

Que doivent chercher les industriels aéronautique et défense dans un ERP?

Les industriels aéronautique et défense doivent chercher un ERP qui soutient la classification des articles contrôlés, le contrôle d'accès par rôles, le contrôle documentaire, la traçabilité par lot et numéro de série, le flowdown fournisseur, les enregistrements qualité, les audit trails immuables et la récupération rapide des preuves. Le système doit aider l'équipe à prouver ce qui s'est passé sans reconstruire l'historique depuis des tableurs, dossiers, emails et exports manuels.

You may also like ...

Cadre de sélection d’un manufacturing ERP montrant les étapes d’évaluation, les besoins métier, l’alignement des équipes et la préparation du projet ERP.
Déploiement et implémentation ERP

3 things to do before choosing a manufacturing ERP

Read the article
Reorder point inventory management concept showing warehouse stock boxes on pallets, illustrating automated reorder point calculations and inventory replenishment planning.
AI manufacturing operations

Qu'est-ce que le point de commande et comment arrêter de le calculer manuellement ?

Read the article
Demand forecasting software et demand planning software illustrés par des tendances historiques de la demande, des projections prévisionnelles et des marges d’incertitude utilisées pour la planification des stocks et de la production.
AI manufacturing operations

Qu'est-ce que la prévision de la demande, et pourquoi échoue-t-elle encore pour les planners ?

Read the article

Ça a l'air intéressant ?

Bénéficiez d'une démonstration personalisée en 48h.

Réservez une démo
bonx logo in white
Enfin un ERP qui vous écoute et qui travaille pour vous.
Restez à jour :
Thanks for subscribing to the Bonx newsletter! You’ll hear from us if we think our content is a fit for you.
© 2026 Bonx
Langues