Dans une initiative révolutionnaire annoncée par le ministère de la Justice cette semaine, les entrepreneurs fédéraux seront poursuivis s’ils ne signalent pas une cyberattaque ou des violations de données. L’initiative « Civil Cyber-Fraud Initiative » nouvellement introduite s’appuiera sur les Loi sur les fausses déclarations poursuivre les sous-traitants et les bénéficiaires de subventions impliqués dans ce que le DoJ appelle la « fraude en matière de cybersécurité ». Habituellement, le False Claims Act est utilisé par le gouvernement pour s’attaquer aux poursuites civiles concernant de fausses déclarations faites en relation avec des fonds fédéraux et des biens liés aux programmes gouvernementaux.
Les cyber-entrepreneurs ont choisi le silence « trop longtemps »
« Pendant trop longtemps, les entreprises ont choisi le silence en croyant à tort qu’il est moins risqué de cacher une violation que de la mettre en avant et de la signaler », déclare la sous-procureure générale Lisa O. Monaco, pionnière de l’initiative. « Eh bien , cela change aujourd’hui. Nous annonçons aujourd’hui que nous utiliserons nos outils d’application civile pour poursuivre les entreprises, celles qui sont des sous-traitants du gouvernement qui reçoivent des fonds fédéraux, lorsqu’elles ne respectent pas les normes de cybersécurité requises, car nous savons que cela nous met tous en danger. C’est un outil dont nous disposons pour nous assurer que l’argent des contribuables est utilisé de manière appropriée et protéger le fisc public et la confiance du public. »
L’introduction de l’Initiative de cyber-fraude civile est le « résultat direct » de l’examen approfondi en cours du ministère du paysage de la cybersécurité ordonné par le sous-procureur général en mai. L’objectif de ces activités d’examen est de développer des recommandations exploitables qui améliorent et étendent les efforts du DoJ pour lutter contre les cybermenaces.
Le lancement de l’Initiative vise à freiner les menaces de cybersécurité nouvelles et émergentes contre les systèmes sensibles et critiques en réunissant des experts en la matière des agences de fraude civile, de marchés publics et de cybersécurité.
Le développement intervient à un moment où les cyberattaques sont endémiques et où les gangs de ransomware avancés ciblent à plusieurs reprises des infrastructures critiques, telles que le Pipeline colonial et établissements de santé.
Les dispositions de la loi protégeraient les dénonciateurs
La Civil Cyber-Fraud Initiative utilisera la False Claims Act, alias la « Lincoln Law », qui sert d’outil de contentieux au gouvernement lorsqu’il engage la responsabilité de ceux qui fraudent les programmes gouvernementaux.
« La loi comprend une disposition unique sur les dénonciateurs, qui permet aux parties privées d’aider le gouvernement à identifier et à poursuivre les comportements frauduleux et à participer à toute récupération et protège les dénonciateurs qui apportent ces violations et échecs contre les représailles », explique le DoJ dans un communiqué de presse.
L’initiative tiendra les entités, telles que les entrepreneurs fédéraux ou les particuliers, responsables lorsqu’ils mettent en danger la cyberinfrastructure américaine en sciemment « fournir des produits ou services de cybersécurité déficients, déformer sciemment leurs pratiques ou protocoles de cybersécurité, ou violer sciemment les obligations de surveiller et de signaler les incidents et les violations de cybersécurité ».
En résumé, l’Initiative est conçue avec les objectifs suivants à l’esprit :
- Construire une large résilience contre les intrusions de cybersécurité à travers le gouvernement, le secteur public et les principaux partenaires de l’industrie.
- Tenir les entrepreneurs et les bénéficiaires de leurs engagements à protéger les informations et l’infrastructure du gouvernement.
- Soutenir les efforts des experts gouvernementaux pour identifier, créer et publier en temps opportun des correctifs pour les vulnérabilités dans les produits et services de technologie de l’information couramment utilisés.
- Veiller à ce que les entreprises qui respectent les règles et investissent pour répondre aux exigences de cybersécurité ne soient pas désavantagées par rapport à la concurrence.
- Rembourser le gouvernement et les contribuables pour les pertes subies lorsque les entreprises ne remplissent pas leurs obligations en matière de cybersécurité.
- Améliorer les pratiques globales de cybersécurité qui profiteront au gouvernement, aux utilisateurs privés et au public américain.
Le moment de cette annonce coïncide également avec la création par le sous-procureur général d’un « Équipe nationale d’application de la crypto-monnaie » conçu pour faire face aux enquêtes complexes et aux affaires pénales d’abus de crypto-monnaie. En particulier, les activités de l’équipe se concentreront sur les infractions commises par les échanges de crypto-monnaie et les opérations de blanchiment d’argent.
Ce qui ressort, cependant, c’est que la Civil Cyber-Fraud Initiative poursuivrait ceux qui ont été sciemment négligents dans la mise en œuvre d’une posture de cybersécurité robuste ou ont sciemment déformé leurs pratiques de cybersécurité, laissant place à un déni plausible.
Tout aussi intéressant est le fait qu’il y a à peine deux jours, la sénatrice Elizabeth Warren et la représentante Deborah Ross ont proposé un nouveau projet de loi intitulé « Loi sur la divulgation des rançonsLa loi obligerait les victimes de rançongiciels à divulguer les détails de tout montant de rançon payé dans les 48 heures suivant le paiement et à divulguer « toute information connue sur l’entité exigeant la rançon ».
Source link
