Focus Renforcé du DOJ sur la Conformité Sécuritaire dans la Santé : L’Accord Illumina Ouvre la Voie à un Tendance Plus Large

Le 31 juillet 2025, le département de la Justice des États-Unis a annoncé qu’Illumina Inc. accepterait de verser 9,8 millions de dollars pour résoudre des allégations liées à la loi sur les réclamations frauduleuses (FCA) concernant des insuffisances en matière de cybersécurité dans ses systèmes de séquençage génomique vendus aux agences fédérales entre 2016 et 2023. Le DOJ a allégué qu’Illumina n’avait pas intégré de mesures de cybersécurité adéquates dans la conception de ses produits, manquait de protocoles de surveillance ou de remédiation efficaces et avait faussement déclaré sa conformité avec les normes de cybersécurité reconnues, y compris celles établies par l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST).

Cette affaire représente le premier règlement significatif de la FCA contre un fournisseur de biotechnologie ou de technologie de santé basé sur des allégations de vulnérabilités en matière de cybersécurité dans ses produits. Elle marque également l’un des 10 règlements de la FCA obtenus par le DOJ depuis le lancement de son initiative Civil Cyber-Fraud en octobre 2021, une démarche visant à tenir les entrepreneurs et les bénéficiaires de subventions fédérales responsables de leur incapacité à respecter les normes de cybersécurité requises ou à faire de fausses déclarations concernant leur préparation aux cybermenaces.

Une application de la FCA axée sur la cybersécurité : un schéma plus large

Le cas d’Illumina s’inscrit dans un ensemble croissant d’actions d’application dans le cadre de l’initiative Civil Cyber-Fraud. Parmi les exemples récents, on note :

• Aero Turbine Inc. et Gallant Capital Partners, juillet 2025 : Règlement de 1,75 million de dollars par le contractant de défense et la société de capital-investissement pour résoudre une responsabilité liée à la FCA résultant de la divulgation volontaire d’infractions en rapport avec des non-conformités en matière de cybersécurité dans des contrats de défense fédéraux.
• Raytheon Technologies, RTX, et Nightwing Group, mai 2025 : Règlement de 8,4 millions de dollars par des entrepreneurs de défense pour résoudre des allégations de non-conformité aux exigences fédérales de cybersécurité dans des contrats de défense.
• MORSECORP, Inc., mars 2025 : Règlement de 4,6 millions de dollars pour régler des allégations selon lesquelles le fournisseur de logiciels de défense aurait faussement certifié sa conformité aux contrôles de sécurité requis sous le Defence Federal Acquisition Regulation Supplement (DFARS).
• Health Net Federal Services Inc. et Centene Corporation, février 2025 : Règlement de 11,25 millions de dollars résolvant des allégations selon lesquelles les entreprises, fournissant des services de santé gérés, auraient faussement certifié leur conformité aux exigences de cybersécurité dans le cadre de contrats TRICARE, omis de réaliser des analyses de vulnérabilité requises, et ignoré des constatations d’audit ainsi que des avertissements internes.

Ces règlements illustrent la position du DOJ selon laquelle les fausses déclarations en matière de conformité à la cybersécurité, que ce soit dans les offres de contrat, les certifications ou la performance continue, peuvent entraîner une responsabilité au titre de la FCA. Cela montre également que le DOJ est prêt à poursuivre tant les grands que les petits entrepreneurs à travers diverses industries, en accordant une attention accrue aux secteurs traitant des données sensibles ou opérant dans des environnements réglementés.

Le secteur de la santé comme priorité émergente de la FCA en matière de cybersécurité

Le règlement d’Illumina signale l’application croissante de cette théorie d’application dans le secteur de la santé et des sciences de la vie. Les organisations de santé gèrent de grands volumes d’informations personnelles identifiables et d’informations de santé protégées, ce qui en fait des cibles privilégiées pour les cyberattaques. Les dispositifs médicaux, les systèmes de séquençage génomique et les plateformes de santé informatique relèvent souvent de la surveillance de la FDA et des exigences d’approvisionnement fédéral, créant ainsi des obligations croisées de maintenir et de certifier des contrôles de cybersécurité robustes.

Le DOJ a qualifié les lacunes en matière de cybersécurité dans ce domaine d’enjeux dépassant les simples questions de conformité, considérant également les risques potentiels pour la sécurité des patients. Le groupe de travail sur la loi FCA du DOJ et du HHS a indiqué que les dispositifs médicaux matériellement défectueux ou les systèmes d’enregistrements électroniques de santé compromis resteront au cœur de l’application. Ainsi, les entreprises technologiques de santé peuvent s’attendre à être scrutinisées non seulement pour la performance clinique de leurs produits, mais aussi pour la sécurité et l’intégrité des données des systèmes qui les soutiennent.

Perspectives de l’application de la cybersécurité par le DOJ

L’initiative Civil Cyber-Fraud continuera de jouer un rôle central dans la stratégie de FCA du DOJ. Les futures actions d’application devraient impliquer une coordination plus étroite entre le DOJ, le HHS-OIG, le CMS et les inspecteurs généraux des agences pour identifier les cas où des défaillances cybernétiques affectent les programmes financés par l’État. Une augmentation de l’activité des lanceurs d’alerte est prévue, renforcée par le nouveau programme pilote de récompenses pour les lanceurs d’alerte d’entreprise du DOJ, qui couvre expressément les fautes liées à la cybersécurité.

Les entreprises de capital-investissement et les investisseurs dans des sociétés technologiques de santé devraient également prêter attention. Le DOJ a indiqué qu’il examinera de près si les propriétaires et investisseurs exercent une surveillance adéquate pour garantir que les entreprises de leur portefeuille respectent les obligations contractuelles et réglementaires relatives à la cybersécurité. En cas d’absence, l’application de la loi pourrait dépasser l’entreprise exploitante pour concerner ses soutiens.

Recommandations : Éviter l’exposition à la FCA liée à la cybersécurité

Le règlement d’Illumina rappelle que la conformité à la cybersécurité est désormais fermement ancrée dans les priorités d’application de la loi FCA du DOJ. Les entreprises fournissant des produits ou services au gouvernement fédéral, notamment dans les secteurs de la santé et des sciences de la vie, doivent considérer les exigences en matière de cybersécurité avec la même rigueur que les obligations de performance contractuelles traditionnelles. Le risque ne concerne pas seulement les grands contractants. Des fournisseurs plus petits, des sous-traitants, des fournisseurs technologiques et même des entreprises de services ont également été confrontés à des responsabilités au titre de la FCA lorsqu’ils n’ont pas respecté les normes de cybersécurité requises ou lorsqu’ils ont faussement certifié leur conformité.

Une approche proactive en matière de conformité à la cybersécurité peut réduire considérablement la probabilité de devenir l’objet d’une enquête du DOJ ou d’une action de lanceur d’alerte qui tam. Les programmes de conformité les plus efficaces combinent des contrôles techniques rigoureux avec une documentation claire, une responsabilité interne et des garanties contractuelles qui s’étendent aux partenaires tiers. Dans le climat actuel d’application de la loi, les actions suivantes peuvent aider à réduire le risque de FCA :

• Effectuer des audits de conformité en cybersécurité pour garantir l’alignement avec toutes les normes applicables, notamment pour les systèmes utilisés par les agences fédérales.
• Valider les certifications et divulgations internes pour s’assurer que toutes les déclarations concernant la préparation à la cybersécurité sont exactes et fondées.
• Renforcer les processus de signalement des violations et de remédiation, et auto-divulguer les incidents lorsque cela est nécessaire.
• Inclure des clauses explicites sur la cybersécurité dans les contrats avec des tiers et auditer leur conformité.
• Former les équipes de conformité et de produits sur l’exposition à la FCA liée aux défaillances en matière de cybersécurité ou aux fausses déclarations.
• Impliquer en amont des conseils juridiques et techniques dans la conception et le suivi des programmes de cybersécurité.

Conclusion

Le règlement d’Illumina marque un développement significatif dans l’application de la FCA, représentant à la fois une première pour le secteur des technologies de la santé et un nouvel exploit dans une série croissante de victoires du DOJ dans le cadre de l’initiative Civil Cyber-Fraud. Il démontre la volonté du DOJ de tenir les entreprises responsables non seulement pour des fraudes de facturation traditionnelles, mais aussi pour des défaillances en matière de cybersécurité qui compromettent la sécurité, la fiabilité et la sûreté des produits et services acquis par l’État.

Les entreprises opérant dans les secteurs de la santé et d’autres secteurs régulés doivent agir dès maintenant pour évaluer leur préparation à la cybersécurité, confirmer l’exactitude de leurs déclarations de conformité et mettre en œuvre des procédures de suivi et de réponse rigoureuses. Dans le climat d’application actuel, une conformité proactive et bien documentée est le meilleur moyen de se protéger contre des enquêtes coûteuses, des règlements et des dommages à la réputation.