L'industrie de la défense est soumise aux exigences de conformité et de sécurité les plus strictes de tous les secteurs manufacturiers. La certification de gestion de la qualité AS9100 exige des programmes de maintenance des équipements documentés, avec traçabilité de l'étalonnage aux normes de mesure nationales. La réglementation ITAR (International Traffic in Arms Regulations) contrôle l'accès aux données et systèmes techniques, imposant des exigences aux systèmes de gestion de la maintenance assistée par ordinateur (GMAO) en matière de restriction d'accès aux données et de journalisation des audits, exigences que la plupart des plateformes GMAO commerciales ne prennent pas en charge nativement. Les principales exigences GMAO pour l'industrie de la défense sont les suivantes : un contrôle d'accès basé sur les rôles permettant de limiter la visibilité des données GMAO aux seuls citoyens américains pour les programmes soumis à l'ITAR ; des pistes d'audit complètes conformes aux exigences AS9100 ; une gestion de l'étalonnage liée aux exigences d'incertitude de mesure (les systèmes de mesure de la défense requièrent souvent des tolérances plus strictes que leurs équivalents commerciaux) ; et l'intégration avec les exigences de documentation qualité de la DCMA (Defense Contract Management Agency). Le déploiement d'une GMAO dans le cloud pour les programmes soumis à l'ITAR nécessite soit un hébergement cloud autorisé FedRAMP, soit une exclusion rigoureuse des données techniques soumises à l'ITAR des enregistrements stockés dans le cloud.
La clause 7.1.5 de la norme AS9100 exige des programmes documentés pour la surveillance et la mesure des équipements. Le secteur de la défense étend cette exigence avec des audits qualité DCMA qui examinent en détail les enregistrements d'étalonnage. Les programmes d'étalonnage pour la fabrication dans le secteur de la défense requièrent généralement : un étalonnage traçable aux normes NIST (et non pas seulement aux spécifications du fabricant), des intervalles d'étalonnage basés sur une analyse de stabilité documentée plutôt que sur des calendriers arbitraires, des procédures d'investigation des dépassements de tolérance avec une évaluation documentée de l'impact sur le produit, et une accréditation du laboratoire d'étalonnage (ISO/IEC 17025) pour les opérations d'étalonnage internes. Le système de gestion de la maintenance assistée par ordinateur (GMAO) doit générer les preuves de conformité d'étalonnage que les auditeurs AS9100 et DCMA examinent : les taux de respect des échéances d'étalonnage, l'historique des événements de dépassement de tolérance avec les enregistrements de leur traitement, et l'utilisation des équipements pendant toute période de dépassement de tolérance pour l'évaluation des rappels de produits. Les exigences d'inspection du premier article (FAI) de la norme AS9100 et les approbations de processus spéciaux du NADCAP (Programme national d'accréditation des entrepreneurs aérospatiaux et de défense) créent des exigences supplémentaires en matière de documentation de qualification des équipements que la gestion de l'étalonnage par GMAO doit prendre en charge.
Pour les fabricants d'armement manipulant des données techniques soumises à la réglementation ITAR, la GMAO (Gestion de la Maintenance Assistée par Ordinateur) représente un défi en matière de sécurité des données : les ordres de travail de maintenance, les schémas d'équipements associés aux fiches d'actifs et les documents de procédures stockés dans la GMAO peuvent constituer des données techniques soumises à la réglementation ITAR. Les plateformes GMAO commerciales standard en nuage stockent les données sur des serveurs accessibles dans le monde entier, ce qui peut enfreindre les exigences de l'ITAR en matière de traitement des données techniques. Les fabricants d'armement doivent donc : utiliser une GMAO sur site déployée au sein de leur environnement informatique contrôlé ; utiliser une GMAO en nuage avec autorisation FedRAMP (options limitées, principalement IBM Maximo sur IBM Cloud ou sur site) ; concevoir soigneusement l'architecture des données de leur GMAO afin d'exclure le contenu soumis à la réglementation ITAR des enregistrements stockés dans le nuage tout en conservant les données non contrôlées des flux de travail de maintenance ; ou obtenir une décision d'exclusion des données techniques ITAR du Département d'État américain concernant leur déploiement de GMAO. La plupart des fabricants d'armement de taille moyenne optent pour la troisième solution : une GMAO en nuage pour les flux de travail des ordres de travail et les données non contrôlées, les données techniques contrôlées étant conservées dans un système de gestion de documents classifiés ou contrôlés distinct. Il est conseillé de consulter un conseiller juridique spécialisé en ITAR avant de choisir une GMAO en nuage pour les programmes de défense manipulant des données techniques contrôlées.
Connexion
Blog
