Health Net Federal Services (HNFS) et sa société mère, Centene Corporation, ont accepté de payer 11 253 400 $pour régler les allégations selon lesquelles HNFS aurait faussement certifié la conformité aux exigences de cybersécurité dans le cadre de son contrat TRICARE de l’Agence de santé de la Défense (DHA).
Le gouvernement américain a passé un contrat avec HNFS pour fournir des services de soutien en soins de santé gérés pour la région Nord de TRICARE, couvrant 22 États.
Le contrat exigeait la conformité aux normes de cybersécurité, en particulier 48 CFR § 252.204-7012 et 51 contrôles de sécurité de la Publication spéciale 800-53 du NIST (Contrôles de sécurité et de confidentialité pour les systèmes et organisations d’information fédéraux).
Selon une annonce du département américain de la Justice, entre 2015 et 2018, HNFS n’aurait pas mis en œuvre les mesures de cybersécurité requises lors de l’administration des prestations de santé pour les militaires américains et leurs familles.
Dans le même temps, le DOJ affirme que HNFS a faussement certifié la conformité dans ses rapports au DHA, donnant l’impression qu’ils protégeaient adéquatement les données des personnes, bien qu’ils ne l’aient pas fait.
Plus précisément, HNFS n’a pas pris les mesures suivantes:
- Rechercher les vulnérabilités n-day dans ses systèmes et appliquer les correctifs en temps opportun.
- Examinez les conclusions des rapports d’audit mettant en évidence les risques de cybersécurité et prenez des mesures pour y remédier.
- Mettez en œuvre une gestion des actifs, des contrôles d’accès, des protections de pare-feu et une gestion des correctifs conformes aux normes du secteur.
- Évitez d’utiliser du matériel et des logiciels obsolètes.
- Suivez les politiques de mot de passe de compte fort.
Dans le document de l’accord de règlement, l’État américain explique que HNFS a faussement attesté la conformité à au moins trois reprises: le 17 novembre 2015, le 26 février 2016 et le 24 février 2017.
NFS et Centene nient toutes les allégations et soutiennent qu’aucune violation de données ou perte d’informations sur les membres du service n’a eu lieu. Cependant, ils ont quand même accepté de payer 11 253 400 $pour régler les allégations.
Le document juridique précise que le règlement ne protège pas HNFS et Centene de toute responsabilité pénale si des preuves supplémentaires, des sanctions administratives ou des actions civiles apparaissent à l’avenir.