Le dernier accord conclu par la FCA en matière de cybersécurité montre que l'application de la loi reste une priorité sous l'administration Trump

Une récente annonce du ministère américain de la Justice (DOJ) confirme que l'application des exigences en matière de cybersécurité en vertu de la loi sur les fausses déclarations (FCA) reste un risque permanent. Selon le communiqué de presse, le sous-traitant de défense MORSECORP Inc. (MORSE) a accepté de verser 4,6 millions de dollars américains pour régler un litige relevant de la FCA, suite à une plainte déposée par un dénonciateur alléguant que MORSE n'avait pas respecté certaines exigences du ministère américain de la Défense (DOD) en matière de cybersécurité. Il s'agit du dernier règlement en date concernant l'application des règles de cybersécurité par le DOJ, un sujet dont Foley a déjà fait état précédemment.

Le règlement MORSE

Kevin Berich, responsable de la sécurité chez MORSE, a déposé une plainte FCA contre MORSE et son PDG en janvier 2023. MORSE est une société de développement de logiciels qui avait conclu des contrats et des contrats de sous-traitance avec l'armée et l'armée de l'air américaines. La réglementation fédérale stipule que les contrats du ministère de la Défense tels que ceux conclus par MORSE nécessitent la mise en œuvre des contrôles de cybersécurité décrits dans la publication spéciale 800-171 du National Institute of Standards and Technology (NIST SP 800-171). Mais M. Berich a affirmé avoir été témoin du non-respect continu par MORSE des contrôles NIST SP 800-171, notamment en n'utilisant pas l'authentification multifactorielle, en utilisant des services de messagerie électronique et d'hébergement d'appels vidéo non conformes, et en utilisant les appareils personnels des employés pour accéder aux systèmes MORSE et transmettre des informations contrôlées non classifiées (CUI).

En vertu de la FCA, une plainte qui tam est déposée sous scellés, communiquée au DOJ, mais pas au défendeur, afin que le DOJ puisse enquêter sur l'affaire. Après plus de deux ans d'enquête, en mars 2025, le DOJ a annoncé un accord avec MORSE et M. Berich pour un montant de 4,6 millions de dollars américains. Selon l'annonce, MORSE a admis avoir :

A fait appel à un fournisseur tiers pour l'hébergement des e-mails sans s'assurer que ce dernier répondait aux exigences de sécurité nécessaires.
N'a pas mis en œuvre tous les contrôles NIST SP 800-171 ni maintenu un plan de sécurité des systèmes pour ses systèmes d'information couverts.
A soumis une note auto-évaluée de 104 au DOD pour sa mise en œuvre de la norme NIST SP 800-171 et a continué à communiquer cette note même après qu'un audit externe ait informé MORSE qu'elle n'avait pas mis en œuvre 78 % des mesures de sécurité requises et qu'elle avait obtenu une note réelle de -142.

Il convient de noter que l'accord ne fait état d'aucune violation ou autre compromission d'informations CUI ou d'autres informations protégées ; l'affaire semble plutôt avoir été fondée sur la possibilité que de telles violations pourraient survenir en raison du programme de cybersécurité de MORSE, qui n'était pas conforme aux normes.

Le règlement MORSE démontre le risque lié au fait de ne pas donner la priorité aux contrôles de cybersécurité, d'autant plus que les poursuites FCA qui tam peuvent être intentées par des initiés tels que le responsable de la sécurité qui a lancé la poursuite MORSE. Cette affaire souligne également l'attention constante portée par le ministère américain de la Justice à l'application des lois en matière de cybersécurité, notamment dans le cadre de l'initiative 2021 du ministère américain de la Justice contre la cyberfraude, qui semble se poursuivre à plein régime sous l'actuelle administration Trump.

Recommandations

Compte tenu de ces risques, les entreprises de défense et les autres bénéficiaires de fonds fédéraux (y compris les collèges et les universités) devraient envisager les mesures suivantes pour améliorer la conformité en matière de cybersécurité et réduire le risque de FCA :

Répertoriez et contrôlez la conformité à toutes les normes de cybersécurité imposées par le gouvernement. La première étape consiste à vous assurer que votre organisation dispose d'une liste complète de toutes les exigences en matière de cybersécurité et des systèmes concernés au sein de votre organisation. Ces exigences peuvent provenir non seulement des contrats gouvernementaux principaux, mais aussi des contrats de sous-traitance, des subventions ou d'autres programmes fédéraux. Cela implique non seulement de connaître en permanence les contrats de l'organisation, mais aussi de surveiller et d'évaluer en continu le programme de cybersécurité de l'organisation afin d'identifier et de corriger les vulnérabilités et d'évaluer la conformité avec ces normes contractuelles en matière de cybersécurité. Cette évaluation doit également tenir compte des relations avec des tiers, tels que les fournisseurs ou les prestataires de services.
Élaborez et maintenez un programme de conformité solide et efficace qui traite les questions de cybersécurité. Dans de nombreuses entreprises, le programme de conformité et les fonctions de sécurité de l'information ne sont pas bien intégrés. Un programme de conformité efficace traitera les préoccupations en matière de cybersécurité et encouragera les employés à signaler ces préoccupations. Lorsque des préoccupations sont identifiées, il est essentiel de les signaler à un niveau supérieur et de les examiner rapidement. Comme l'illustre le règlement MORSE, il est essentiel de répondre efficacement aux préoccupations des employés.
Lorsqu'une non-conformité aux normes de cybersécurité est constatée, les organisations doivent évaluer les mesures à prendre. Il s'agit notamment de savoir s'il convient de divulguer l'affaire au gouvernement et de coopérer avec les enquêteurs gouvernementaux. Les organisations doivent travailler avec des conseillers expérimentés à cet égard. L'élaboration proactive d'une stratégie d'enquête et de réponse à une éventuelle non-conformité permet d'instaurer une discipline dans le processus et de rationaliser l'approche de l'organisation.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.

[email protected]

Tampa 813.225.4161

Un homme en costume sombre et cravate rouge sourit à la caméra dans un bureau moderne et lumineux, reflétant le professionnalisme des meilleurs avocats de Chicago.

[email protected]

Milwaukee 414.297.4987

Un homme en costume-cravate bleu sourit à la caméra dans un bureau d'avocats d'entreprise moderne et lumineux, reflétant l'atmosphère professionnelle des grands cabinets d'avocats.

[email protected]

Tampa 813.225.5424

Perspectives connexes

Voir tous les articles

11 décembre 2025 Aperçu des technologies innovantes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

Le 9 décembre 2025, le Bureau du contrôleur de la monnaie (OCC) a publié la lettre d'interprétation 1188 (IL 1188), confirmant qu'une banque nationale est autorisée, dans le cadre de ses activités bancaires, à effectuer des transactions sans risque sur des crypto-actifs principaux.

10 décembre 2025 Conseiller en industrie manufacturière

La guerre des talents dans l'industrie automobile : remporter la course aux travailleurs qualifiés

Pendant plus d'un siècle, le secteur automobile a été défini par l'ingénierie mécanique, la fabrication et la maîtrise des chaînes de montage. Mais aujourd'hui, l'industrie connaît une transformation technologique si profonde qu'elle réécrit l'ADN de la construction automobile.

3 décembre 2025 Conseiller en industrie manufacturière

Fabriqué en Chine : ce que l'industrie automobile doit savoir sur l'émergence mondiale de la fabrication chinoise de véhicules connectés dans un contexte de restrictions américaines croissantes

L'industrie automobile chinoise s'est mondialisée, en grande partie grâce aux progrès technologiques, aux avantages en termes de coûts et aux investissements étrangers réalisés dans le cadre de coentreprises, en particulier dans les domaines des véhicules électriques (VE) et des technologies pour véhicules connectés.

Le dernier accord conclu par la FCA en matière de cybersécurité montre que l'application de la loi reste une priorité sous l'administration Trump

Le règlement MORSE

Recommandations

Auteur(s)

Joseph W. Swanson

Matthew D. Krueger

Jason Mehta

Perspectives connexes

L'OCC publie une nouvelle lettre d'interprétation favorable aux cryptomonnaies : admissibilité des transactions sans risque sur des actifs cryptographiques principaux

La guerre des talents dans l'industrie automobile : remporter la course aux travailleurs qualifiés

Fabriqué en Chine : ce que l'industrie automobile doit savoir sur l'émergence mondiale de la fabrication chinoise de véhicules connectés dans un contexte de restrictions américaines croissantes