Premier Accord FCA avec une Société de Dispositifs Médicaux pour Violations de CyberSécurité – Un Pas Vers la Sécurisation

Le règlement entre le Département de la Justice des États-Unis et Illumina, Inc. constitue une première en son genre, concernant des allégations de déficiences en matière de cybersécurité ayant entraîné des violations de la loi sur les réclamations frauduleuses (FCA), sur la base des normes de qualité établies par la FDA. Le cadre de cybersécurité, habituellement observé dans d’autres secteurs tels que les contrats de défense, sert d’avertissement pour les entreprises des sciences de la vie, des technologies médicales et de la santé numérique. Le DOJ et les lanceurs d’alerte élargissent le champ d’application de cette sorte d’application de la FCA, et ces entreprises devraient s’y préparer.

La plainte du lanceur d’alerte

Illumina est une entreprise de dispositifs médicaux qui produit des produits de test génétique, communément appelés « systèmes de séquençage génomique ». Selon la plainte et le règlement, déposés en 2023 dans le district de Rhode Island, Illumina aurait ignoré et négligé de réduire les vulnérabilités de cybersécurité dans ses produits. Ces manquements allégués incluent l’octroi de privilèges élevés à des utilisateurs généraux, ce qui a permis un accès potentiel aux données des patients, l’exposition des identifiants des utilisateurs par l’utilisation de méthodes de “hard coding”, comme des noms d’utilisateur et des mots de passe, et une incapacité à limiter les menaces posées par des “insiders” de l’entreprise accédant de manière inappropriée aux données fournies dans le cadre des produits.

Le lanceur d’alerte soutient que ces problèmes de cybersécurité étaient bien connus de l’entreprise, en citant des sources externes ayant rapporté des attaques par ransomware à Illumina et la réaction insuffisante de la société face à ces vulnérabilités, qui ont finalement conduit à plusieurs rappels de produits. Le relateur affirme que ces problèmes de cybersécurité ont entraîné le non-respect par Illumina de certaines exigences imposées par le Règlement de qualité (QSR) de la FDA. En particulier, la plainte cite les exigences QSR de la FDA en matière de contrôle de conception et précise que la FDA recommande aux fabricants de dispositifs médicaux de mettre en œuvre des “programmes de gestion des risques de cybersécurité complets et une documentation conforme au QSR.”

Cependant, ce non-respect supposé des réglementations, à lui seul, ne serait pas suffisant pour établir des violations de la FCA. Pour alléguer l’indispensable “crochet” à un financement fédéral, la plainte soutient qu’en raison du non-respect par Illumina des normes réglementaires requises, les déclarations faites dans le cadre de ses certifications pour des subventions fédérales et des contrats des Instituts Nationaux de la Santé (NIH) et d’autres agences étaient mensongères, rendant ainsi les fonds reçus par Illumina frauduleux au sens de la FCA. La plainte tente également de soutenir que les réclamations à Medicare et Medicaid soumises par des sociétés de test de laboratoire tierces utilisant les produits d’Illumina étaient également fausses selon une théorie de certification implicite.

Une nouvelle frontière pour l’application de la FCA en matière de cybersécurité

Ce règlement montre que le DOJ et les lanceurs d’alerte commencent à concentrer leurs efforts d’application de la FCA sur les enjeux de cybersécurité dans les sciences de la vie et les technologies médicales. Cette expansion n’est pas surprenante. Comme l’ont déjà commenté des représentants du DOJ, les affaires de cybersécurité en vertu de la FCA, qui ont réellement pris forme avec l’Initiative de lutte contre la Cyber-Fraude sous l’administration Biden, resteront un axe des efforts d’application sous l’administration américaine.

Il convient de noter que les efforts précédents se sont principalement concentrés sur les entrepreneurs de défense et les autres bénéficiaires de contrats et de subventions fédérales de grande envergure. Par exemple, l’un des règlements les plus récents en matière de cybersécurité de la FCA concernait une grande université publique de recherche, accusée de ne pas avoir respecté les exigences de cybersécurité de ses contrats avec le Département de la Défense des États-Unis (DOD) et la NASA. En effet, les efforts réglementaires récents du DOD concernant sa Certification du Modèle de Maturité en Cybersécurité ont engendré de nouvelles sources de responsabilité potentielle en vertu de la FCA.

En fin de compte, ce règlement démontre que le DOJ et les lanceurs d’alerte tentent d’adapter le cadre de la FCA lié aux contrats gouvernementaux et aux exigences de cybersécurité aux entreprises des sciences de la vie et des technologies médicales recevant des financements fédéraux ou développant des produits ou systèmes utilisés dans les services de santé remboursés par des programmes fédéraux. La plainte cite de nombreux cas de FCA et règlements avec des bénéficiaires de contrats du DOD pour violation des exigences en matière de cybersécurité afin de démontrer que les mêmes principes s’appliquent à la plainte contre Illumina.

Application de la FCA en matière de cybersécurité aux entreprises des sciences de la vie et des technologies médicales encore inexplorée

Cependant, les parties prenantes ne doivent pas considérer ce règlement comme une garantie que le cadre des affaires de la FCA basé sur des exigences de cybersécurité est infaillible lorsqu’il est appliqué aux entreprises des sciences de la vie et des technologies médicales.

En réalité, l’affaire soulève plusieurs questions concernant la viabilité de tels arguments. Par exemple, la plainte cite les subventions du NIH, y compris le Cadre NIST pour l’Amélioration de la Cybersécurité des Infrastructures Cruciales, parmi d’autres contrats gouvernementaux, mais omet de mentionner des dispositions de ces subventions et/ou contrats qui se rapportent expressément à une certaine infrastructure de cybersécurité et à la documentation associée. La plainte ne démontre pas non plus que ces subventions et contrats incluaient des dispositions ou des certifications concernant la conformité avec les exigences du QSR pour la cybersécurité.

De plus, la théorie de responsabilité avancée dans la plainte — selon laquelle Illumina a causé la soumission de réclamations fausses par des tiers à Medicare et Medicaid — ne précise pas davantage les certifications faites par les tiers concernant l’infrastructure de cybersécurité des produits impliqués dans les réclamations de services.

Ces théories restent inexplorées devant les tribunaux, malgré le règlement, sous lequel Illumina a nié les accusations et toute responsabilité relative à cette affaire.

Points clés à retenir

Cette affaire et ce règlement devraient servir d’avertissement indiquant que les agences d’application de la loi et les lanceurs d’alerte peuvent cibler les acteurs des sciences de la vie, des technologies médicales et de la santé numérique avec des allégations de FCA basées sur de présumées vulnérabilités de cybersécurité. Les parties prenantes devraient voir ce règlement comme une occasion d’évaluer leur conformité aux normes de cybersécurité, tant en ce qui concerne les orientations de l’industrie que les exigences explicites des subventions et contrats gouvernementaux.

Cependant, le règlement révèle certaines questions essentielles sans réponse concernant la viabilité juridique de telles allégations, notamment en ce qui concerne les réclamations spécifiques pour services auprès des programmes de santé gouvernementaux associés aux dispositifs médicaux. Par conséquent, si les parties prenantes reçoivent une demande d’informations relative à leur infrastructure de cybersécurité, des réponses rapides et stratégiques seront cruciales.