Plus les choses changent… Le dernier règlement cybernétique du ministère américain de la Justice montre que le risque lié à la loi sur les fausses déclarations persiste

Bien que le changement d'administration ait annoncé un remaniement des priorités en matière d'application de la loi au sein du ministère américain de la Justice (DOJ), l'application de la loi en matière de cybersécurité dans le cadre du False Claims Act (FCA) semble toujours d'actualité. C'est ce qui ressort de la récente annonce du DOJ selon laquelle Health Net Federal Services et sa société mère, Centene Corporation, ont accepté de verser plus de 11 millions de dollars américains pour régler une affaire relevant du FCA et portant sur des violations présumées en matière de cybersécurité.

Le règlement Health Net

Selon le ministère américain de la Justice, Health Net a conclu un contrat avec le ministère de la Défense pour gérer le programme de prestations de santé TRICARE de la Defense Health Agency. Health Net aurait manqué à certaines obligations en matière de cybersécurité dans le cadre de son contrat avec le gouvernement et aurait certifié à tort le respect de ces exigences dans ses rapports annuels au gouvernement. Le gouvernement a allégué que la société n'avait pas détecté en temps opportun les vulnérabilités connues et n'avait pas corrigé les failles de sécurité de ses réseaux et systèmes. En outre, selon le gouvernement, Health Net aurait ignoré les rapports des auditeurs de sécurité tiers et de son propre service d'audit concernant les risques de cybersécurité sur les réseaux et les systèmes de la société. Ces risques concernaient, entre autres, la gestion des actifs, les pare-feu, la gestion des correctifs et les politiques en matière de mots de passe. Le gouvernement a allégué qu'en raison de ces prétendues défaillances, les demandes de remboursement de l'entreprise au titre du contrat étaient fausses, même s'il n'y avait pas eu d'exfiltration ou de compromission de données ou d'informations médicales protégées.

Ce dernier règlement s'appuie sur des actions antérieures du ministère américain de la Justice contre des prestataires du gouvernement pour des manquements présumés en matière de cybersécurité. Foley a rendu compte de ces actions antérieures ici et ici, notamment du procès intenté par le ministère américain de la Justice contre Georgia Tech en vertu de la loi FCA, qui est toujours en cours.

L'accord conclu avec Health Net démontre que le ministère de la Justice de l'administration Trump continue de se concentrer sur l'application des lois en matière de cybersécurité, en particulier en vertu de la FCA. Cela n'est pas surprenant, compte tenu des déclarations de l'administration concernant la lutte contre la fraude, le gaspillage et les abus présumés. De plus, ce thème a été repris par plusieurs intervenants du ministère de la Justice lors d'une conférence nationale sur les dénonciations (qui tam) qui s'est tenue à Washington, D.C. en février 2025.

De plus, lorsqu'un contrat fédéral implique l'armée, comme ce fut le cas avec l'accord Health Net, cette administration est susceptible de s'engager tout particulièrement dans ses efforts d'enquête et de poursuites. En effet, il est à noter que l'accord Health Net ne semble pas avoir été conclu à la suite d'une action en justice, ce qui signifierait que le gouvernement a lancé l'enquête de son propre chef. Enfin, il n'en reste pas moins que la cybersécurité a toujours été une question bipartisane.

Recommandations

Compte tenu de l'accord conclu avec Health Net et de l'intérêt que porte la nouvelle administration à l'application des mesures de cybersécurité, les entreprises et autres bénéficiaires de fonds fédéraux (y compris les collèges et universités) devraient envisager les mesures suivantes afin de renforcer leur conformité en matière de cybersécurité et de réduire les risques liés à la FCA :

1. Répertorier et contrôler la conformité à toutes les normes de cybersécurité imposées par le gouvernement. Cela implique non seulement de connaître en permanence les contrats de l'organisation, mais aussi de surveiller et d'évaluer en continu le programme de cybersécurité de l'organisation afin d'identifier et de corriger les vulnérabilités et d'évaluer la conformité à ces normes contractuelles de cybersécurité.
2. Élaborer et maintenir un programme de conformité solide et efficace qui traite les questions de cybersécurité. Dans de nombreuses entreprises, le programme de conformité et les fonctions de sécurité de l'information ne sont pas bien intégrés. Un programme de conformité efficace traitera les préoccupations en matière de cybersécurité et encouragera les employés à signaler ces préoccupations. Lorsque des préoccupations sont identifiées, il est essentiel de les signaler à un niveau supérieur et de les examiner rapidement. Étant donné que les dispositions de la FCA relatives aux dénonciations permettent aux employés et à d'autres personnes d'intenter une action en justice au nom des États-Unis, il est essentiel de répondre efficacement aux préoccupations des employés.
3. Lorsqu'une non-conformité aux normes de cybersécurité est constatée, les organisations doivent évaluer les mesures à prendre. Il s'agit notamment de savoir s'il convient de divulguer l'affaire au gouvernement et de coopérer avec les enquêteurs gouvernementaux. Les organisations doivent travailler avec des conseillers expérimentés à cet égard. L'élaboration proactive d'une stratégie d'enquête et de réponse à une éventuelle non-conformité permet d'instaurer une discipline dans le processus et de rationaliser l'approche de l'organisation.