Le géant américain de la défense RTX a accepté une amende de 200 millions de dollars de la part des régulateurs de Washington, DC, liée à la divulgation non autorisée d’informations sensibles provenant de près de deux douzaines d’avions militaires.
Certaines de ces informations ont été transmises aux principaux adversaires géopolitiques des États-Unis, notamment la Russie, la Chine et l’Iran.
Le département d’État américain a annoncé l’accord le 30 août, affirmant que le conglomérat aérospatial avait commis 750 violations de la réglementation américaine sur le trafic international d’armes (ITAR) entre 2017 et 2023. Ces règles restreignent l’exportation de technologies sensibles liées à l’armée, y compris les matériaux physiques et les informations.
En plus de la pénalité de 200 millions de dollars, RTX doit se soumettre à un accord de consentement de trois ans avec le gouvernement qui exige au moins un audit externe du programme de conformité ITAR de l’entreprise et la mise en œuvre de mesures correctives de conformité.
Le département d’État a déclaré qu’il avait accepté de suspendre 100 millions de dollars de l’amende, à condition que ces fonds soient utilisés pour mettre en œuvre les mesures correctives prescrites et « renforcer le programme de conformité de RTX ».
RTX a volontairement divulgué les violations aux régulateurs, qui affirment que les violations de l’ITAR comprenaient des exportations non autorisées d’articles de défense classifiés et l’échec à établir une juridiction et une classification appropriées sur des matériaux sensibles.
« La majorité des violations résultant d’erreurs de juridiction et de classification, en particulier, reflètent une tendance claire à l’échec historique de la conformité systémique dans plusieurs divisions opérationnelles (de RTX) », indique le département d’État. « Dans certains cas, ces divisions opérationnelles n’ont pas réussi à remédier complètement à ces manquements. »
RTX est la société mère du fabricant de munitions et de radars Raytheon, du fabricant de moteurs Pratt & Whitney et du fournisseur de systèmes aéronautiques Collins Aerospace.
La nature spécifique des violations de sécurité varie d’un cas à l’autre. Si dans certains cas, des informations sensibles ont été divulguées à des pays amis comme l’Australie, l’Allemagne et la Norvège, dans d’autres cas, des informations sensibles sont tombées entre les mains d’adversaires comme la Russie, la Chine et l’Iran.
Plusieurs incidents spécifiques sont décrits dans un lettre de facturation publié par les autorités de Washington.
Dans un cas, des données techniques contrôlées ont été envoyées de manière inappropriée à des fournisseurs chinois par Collins Aerospace, filiale de RTX spécialisée dans les systèmes aéronautiques. Ces données ont été utilisées pour acheter des circuits imprimés auprès de sous-traitants non autorisés en Chine.
Ces composants ont ensuite été fournis au Pentagone et à d’autres sous-traitants de la défense américaine pour être utilisés dans près de deux douzaines d’avions militaires, dont l’avion de transport présidentiel Boeing VC-25, le bombardier lourd Boeing B-1B, l’avion de reconnaissance Lockheed Martin U-2, le bombardier stratégique Boeing B-52, le chasseur Lockheed Martin F-16, le chasseur Boeing F-15, l’avion d’attaque Fairchild Republic A-10 et le chasseur Boeing F/A-18.
De nombreux aéronefs à voilure tournante, avions de transport à voilure fixe, ravitailleurs aériens et véhicules aériens sans pilote ont également été touchés.
Une autre divulgation inappropriée à Collins a vu un ressortissant chinois recevoir des données techniques liées à l’avion de détection et de contrôle aéroporté Boeing E-3 et à l’avion de transport moyen Embraer KC-390.
Lors d’un autre incident survenu en 2021, un employé de RTX a utilisé un ordinateur portable fourni par l’entreprise contenant des données techniques sensibles lors d’un voyage personnel en Russie. Les mesures de cybersécurité internes ont signalé le problème, mais l’alerte de localisation a été ignorée comme un faux positif.
L’ordinateur portable contenait des données techniques sur les chasseurs furtifs Lockheed Martin F-22 et F-35, ainsi que sur l’U-2. L’employé en question s’était déjà rendu en Russie à quatre reprises, emportant l’ordinateur portable lors d’au moins un de ces voyages, selon le département d’État.
Un autre incident s’est produit en 2019, lorsqu’un employé s’est rendu en Iran avec un ordinateur portable de l’entreprise contenant des données techniques sur le bombardier furtif Northrop Grumman B-2 et le chasseur F-22. Dans ce cas, les protocoles de cybersécurité ont bloqué à distance l’accès au disque dur de l’ordinateur portable.
Selon la lettre d’accusation, la majorité des violations ont eu lieu au sein de Collins Aerospace, à l’époque où la division était une société indépendante appelée Rockwell Collins.
La chaîne d’événements est compliquée par l’histoire complexe de fusions et d’acquisitions de RTX. Rockwell Collins a été rachetée par l’entreprise de défense United Technologies Corporation (UTC) en 2018. UTC et Raytheon ont ensuite fusionné en 2020, le résultat étant appelé Raytheon Technologies Corporation.
Le conglomérat a changé de nom et a adopté le nom actuel de RTX en 2023. FlightGlobal attendait les commentaires de RTX au moment de la publication.
Une lettre similaire avait été envoyée par le département d’État au constructeur aéronautique Boeing plus tôt dans l’année, faisant état de 199 violations de l’ITAR sur des programmes tels que le jet de détection et de contrôle aérien E-7 de Boeing, le giravion CH-47F Chinook et l’hélicoptère d’attaque AH-64. Certaines de ces violations ont eu lieu dans des filiales de Boeing en Inde et en Australie.
Un associé ordonnance du tribunal Un rapport de février indique que Boeing sera condamné à une amende de 51 millions de dollars pour les infractions, dont 24 millions de dollars seront suspendus et consacrés aux coûts de conformité associés à la correction des manquements à la sécurité.