Selon un communiqué du Department of Justice (justice.gov), Georgia Tech Research Corporation a accepté de payer 875 000 $ pour résoudre des allégations de violations du False Claims Act liées au non-respect des exigences de cybersécurité dans des contrats de l’Air Force et de la DARPA. L’affaire, issue d’une plainte de lanceur d’alerte, a impliqué une coordination entre DOJ, DCIS et AFOSI. ⚖️
Les manquements concernent le laboratoire Astrolavos Lab de Georgia Tech, impliqué dans des recherches sensibles en cyberdéfense pour le DoD. Les violations techniques relevées incluent :
- Absence d’anti‑virus/anti‑malware installés, mis à jour ou exécutés sur les postes, serveurs et réseaux jusqu’en décembre 2021.
- Absence de plan de sécurité du système (SSP) pour le laboratoire jusqu’au moins février 2020, alors qu’il documente les contrôles requis par NIST SP 800‑171.
- Soumission d’une note d’évaluation cybersécurité fausse (score de 98 en décembre 2020) basée sur un environnement « fictif/virtuel » plutôt que sur les systèmes traitant des informations de défense couvertes.
Ces exigences NIST SP 800‑171 sont obligatoires depuis 2017 pour les contrats du DoD. Le DOJ souligne que cette action illustre sa volonté de tenir les contractants de défense responsables de leurs obligations de conformité et des conséquences d’une fausse représentation de leur posture de sécurité. 🛡️
Type d’article : incident de conformité. Objectif principal : annoncer et détailler une action d’exécution liée à la conformité cybersécurité dans le secteur de la défense.
🔗 Source originale : https://www.justice.gov/opa/pr/georgia-tech-research-corporation-agrees-pay-875000-resolve-civil-cyber-fraud-litigation