Dans une initiative révolutionnaire annoncée par le ministère de la Justice cette semaine, les entrepreneurs fédéraux seront poursuivis s’ils ne signalent pas une cyberattaque ou des violations de données. et les bénéficiaires de subventions impliqués dans ce que le DOJ appelle la “fraude à la cybersécurité”. Habituellement, le False Claims Act est utilisé par le gouvernement pour s’attaquer aux poursuites civiles concernant de fausses déclarations faites en relation avec des fonds fédéraux et des biens liés aux programmes gouvernementaux.
“Pendant trop longtemps, les entreprises ont choisi le silence en pensant à tort qu’il est moins risqué de cacher une violation que de la signaler et de la signaler”, a déclaré la sous-procureure générale Lisa O. Monaco, pionnière de l’initiative. “Eh bien, cela change aujourd’hui. Nous annonçons aujourd’hui que nous utiliserons nos outils d’application civile pour poursuivre les entreprises, celles qui sont des sous-traitants du gouvernement qui reçoivent des fonds fédéraux, lorsqu’elles ne respectent pas les normes de cybersécurité requises – car nous savons que cela nous met tous C’est un outil dont nous disposons pour nous assurer que l’argent des contribuables est utilisé de manière appropriée et pour protéger le fisc public et la confiance du public.
L’introduction de l’Initiative civile de cyberfraude est le “résultat direct” de l’examen approfondi en cours du ministère du paysage de la cybersécurité ordonné par le sous-procureur général en mai. L’objectif derrière ces activités d’examen est de développer des recommandations concrètes qui améliorent et élargissent les efforts du DOJ pour lutter contre les cybermenaces.
Le développement intervient à un moment où les cyberattaques sont endémiques et où les gangs de ransomwares avancés ciblent à plusieurs reprises des infrastructures critiques, telles que le pipeline colonial et les établissements de santé.
L’initiative civile de cyber-fraude utilisera la loi sur les fausses déclarations, alias la “loi Lincoln”, qui sert d’outil de litige au gouvernement lorsqu’il engage la responsabilité de ceux qui fraudent les programmes gouvernementaux.
“La loi comprend une disposition unique sur les lanceurs d’alerte, qui permet aux parties privées d’aider le gouvernement à identifier et à poursuivre les comportements frauduleux et de partager toute récupération et protège les lanceurs d’alerte qui apportent ces violations et échecs contre les représailles”, a expliqué le DOJ dans un communiqué de presse.
L’initiative tiendra des entités, telles que des sous-traitants fédéraux ou des individus, responsables lorsqu’ils mettent l’infrastructure cybernétique américaine en danger en “fournissant sciemment des produits ou services de cybersécurité déficients, en déformant sciemment leurs pratiques ou protocoles de cybersécurité, ou en violant sciemment les obligations de surveiller et de signaler les incidents et violations de cybersécurité”. “
En résumé, l’initiative est conçue avec les objectifs suivants à l’esprit :
Construire une large résilience contre les intrusions dans la cybersécurité au sein du gouvernement, du secteur public et des principaux partenaires de l’industrie
Tenir les entrepreneurs et les bénéficiaires de leurs engagements à protéger les informations et l’infrastructure du gouvernement
Soutenir les efforts des experts gouvernementaux pour identifier, créer et publier en temps opportun des correctifs pour les vulnérabilités des produits et services de technologie de l’information couramment utilisés
Veiller à ce que les entreprises qui respectent les règles et investissent pour répondre aux exigences de cybersécurité ne soient pas désavantagées par rapport à la concurrence
Rembourser le gouvernement et les contribuables pour les pertes subies lorsque les entreprises ne satisfont pas à leurs obligations en matière de cybersécurité
Améliorer les pratiques globales de cybersécurité qui profiteront au gouvernement, aux utilisateurs privés et au public américain
Ce qui ressort, cependant, c’est que l’Initiative civile contre la cyberfraude poursuivrait ceux qui ont été sciemment négligents dans la mise en œuvre d’une solide posture de cybersécurité ou ceux qui ont sciemment déformé leurs pratiques de cybersécurité, laissant place à un déni plausible.
Tout aussi intéressant est le fait qu’il y a à peine deux jours, la sénatrice Elizabeth Warren et la représentante Deborah Ross ont proposé un nouveau projet de loi intitulé “Ransom Disclosure Act”. La loi obligerait les victimes de rançongiciels à divulguer les détails de tout montant de rançon payé dans les 48 heures suivant le paiement et à divulguer “toute information connue sur l’entité demandant la rançon”.