mer. Juin 24th, 2026
Cybersécurité

Règlements DOJ-FCA sur la cybersécurité : Focus sur les risques majeurs

ByJulien Macé

Sep 8, 2025

À l’approche du troisième trimestre 2025, le Département de la Justice (DOJ) a clairement affirmé sa volonté de continuer à utiliser la Loi sur les réclamations fausses (False Claims Act, FCA) pour promouvoir les priorités de l’administration.

Tout en maintenant un accent sur la diversité, l’équité et l’inclusion (DEI), comme nous l’avons abordé dans notre article du 8 août, le DOJ ne perd pas de vue la cybersécurité. Deux règlements annoncés fin juillet, totalisant environ 11,5 millions de dollars, soulignent que le non-respect des obligations en matière de cybersécurité peut exposer à des poursuites au titre de la FCA.

Règlement avec Illumina, Inc. (9,8 millions de dollars)

Le 31 juillet, le DOJ a annoncé que la société biotechnologique Illumina, Inc. acceptait de verser 9,8 millions de dollars pour résoudre les allégations de la FCA selon lesquelles elle avait vendu des systèmes de séquençage génomique à plusieurs agences fédérales avec un logiciel présentant des vulnérabilités en matière de cybersécurité et sans systèmes de sécurité et de qualité appropriés pour identifier et remédier à ces failles. Le gouvernement a spécifiquement allégué qu’Illumina : (1) n’avait pas intégré la cybersécurité au design, au développement, à l’installation et à la surveillance des produits ; (2) avait insuffisamment doté ses équipes, systèmes et processus de sécurité des produits ; (3) n’avait pas corrigé les caractéristiques de conception introduisant des vulnérabilités ; et (4) avait faussement représenté son respect des normes de cybersécurité, y compris celles de l’Organisation internationale de normalisation (ISO) et de l’Institut national des normes et de la technologie (NIST).

Notamment, les États-Unis ont déclaré dans l’accord de règlement que les demandes de paiement étaient fausses “peu importe si des violations réelles de cybersécurité s’étaient produites”, car le logiciel présentait diverses vulnérabilités et manquait de programmes de sécurité et de systèmes de qualité pour les traiter. La personne ayant signalé les irrégularités, ancienne directrice chez Illumina, recevra 1,9 million de dollars en tant que part de ce règlement.

Règlement avec Aero Turbine, Inc. (1,75 million de dollars)

Également annoncé le 31 juillet, le contractant de défense Aero Turbine Inc. et son propriétaire en capital-investissement, Gallant Capital Partners, ont résolu des allégations selon lesquelles l’entreprise n’avait pas mis en œuvre certains contrôles NIST dans le cadre d’un contrat avec l’US Air Force et avait indûment fourni à un fournisseur de logiciels étranger basé en Égypte des fichiers contenant des informations sensibles en matière de défense. Les défendeurs ont reçu un crédit de coopération selon les lignes directrices de la FCA du DOJ (Justice Manual § 4-4.112) en raison de la manière dont ils ont “fourni au gouvernement plusieurs divulgations écrites et coopéré avec l’enquête sur ces problèmes, tout en prenant des mesures correctives rapides”.

Importance de ces affaires

  • Pas besoin de violation. Le DOJ a affirmé dans l’accord de règlement avec Illumina que les demandes faites aux agences étaient fausses même en l’absence d’une violation réelle, renforçant que les déclarations concernant la cybersécurité peuvent être déterminantes pour le paiement et constituent une base de responsabilité au titre de la FCA. Cela envoie un message fort aux contractants vendant des produits avec logiciel dans des environnements fédéraux, car les déclarations sur la conformité avec diverses normes (par exemple, ISO, NIST) peuvent devenir le fondement d’une théorie de la FCA si elles ne sont pas complètement soutenues à travers le cycle de vie du produit.
  • Le capital-investissement n’est pas à l’abri. Dans le cadre de la résolution d’Aero Turbine, le DOJ a réglé des affaires tant avec la société du portefeuille qu’avec son propriétaire en capital-investissement, reflétant la volonté continue du DOJ de toucher les sponsors de contrôle lorsqu’ils influencent prétendument des comportements impactant la conformité des entreprises. Les sponsors de capital-investissement devraient envisager d’intégrer la diligence et la surveillance en matière de cybersécurité dans leur gouvernance de portefeuille.
  • Le crédit de coopération est concret. L’accord de règlement d’Aero Turbine consigne expressément les bases du crédit de coopération selon Justice Manual § 4-4.112, pratique vers laquelle le DOJ tend en matière civile de la FCA. Une auto-divulgation précoce et minutieuse peut avoir un impact considérable sur les résultats, et disposer d’un plan de divulgation et de remédiation concret peut influencer significativement la responsabilité au titre de la FCA.
  • Les lanceurs d’alerte surveillent la sécurité des produits. La personne ayant signalé les irrégularités chez Illumina (anciennement directrice du portefeuille sur le marché de l’entreprise) a reçu 1,9 million de dollars, soulignant les incitations pour les lanceurs d’alerte autour de la conception, des ressources et de la sécurité sur le cycle de vie des produits logiciels utilisés par les agences gouvernementales.
  • Les entreprises doivent anticiper un intérêt accru des agences. Le règlement d’Illumina impliquait des réclamations auprès de nombreuses agences civiles et de défense, rappelant aux fournisseurs que les attentes en matière de cybersécurité ne se limitent pas aux contrats du Département de la Défense.

Bon à savoir

  • Les lois sur les réclamations fausses sont appliquées de manière stricte aux entreprises travaillant avec le gouvernement.
  • La cybersécurité devient un élément crucial dans les contrats publics, indépendamment du secteur concerné.
  • Des programmes de formation continue en cybersécurité pour le personnel sont fortement recommandés pour éviter de futures violations.

La dynamique entre les questions de conformité, de cybersécurité et les engagements des entreprises envers les obligations légales est à la fois complexe et primordiale. Alors que les enjeux de cybersécurité prennent de l’ampleur, il est essentiel pour les entreprises de se préparer à un environnement réglementaire de plus en plus rigoureux, en intégrant des pratiques solides dès le départ. Quelles stratégies pourraient être mises en œuvre pour renforcer la conformité et la sécurité dans l’avenir ?


Partager : X Facebook WhatsApp LinkedIn Reddit

By Julien Macé

Articles de la même catégorie

Cybersécurité

Cycurion Finalise l’Acquisition de Secuvant et Renforce sa Plateforme de Cyberdéfense Panoptique !

Juin 11, 2026
Cybersécurité

Cycurion, Inc. réalise une acquisition transformative de Secuvant, LLC et de sa plateforme phare de cybersécurité Panoptic

Juin 10, 2026
Cybersécurité

Cycurion, Inc. Achève une Acquisition Révolutionnaire de Secuvant, LLC et de sa Plateforme Phare en Cybersécurité Panoptique

Juin 10, 2026

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Ne ratez pas

Sciences

Le gouvernement prévoit environ 30 zones publiques sécurisées pour observer l’éclipse aux Baléares !

23 juin 2026
Cryptos

Chainlink s’associe à 47 banques en Corée du Sud et en Europe pour accélérer les transferts d’argent internationaux !

23 juin 2026
Intelligence Artificielle

Frappez fort avec l’Odyssée : Laissez-vous emporter par la narration de Michael Caine !

23 juin 2026
Sciences

Cerveau : Un homme paralysé retrouve la parole après 19 mois !

23 juin 2026
Des questions ?

Vous pouvez contacter la rédaction à tout moment, pour nous proposer un bon plan ou soumettre une idée, c’est par ici ⬇️

Contactez l’équipe !

Suivez nous sur Google Actualités

Google Actualités
Soutenez Nous en mettant en Favoris

LesNews | 2025 - Tous droits réservés.