‘Le Département de la Justice des États-Unis (DoJ) et l’Université d’État de Pennsylvanie (Penn State) ont conclu un règlement de 1,25 million de dollars concernant des allégations de non-conformité en matière de cybersécurité. Selon des documents judiciaires, Penn State aurait manqué à mettre en œuvre les mesures de sécurité stipulées par le National Institute of Standards and Technology (NIST) dans des contrats avec le Département de la Défense (DoD) et la NASA.
Cette affaire a été révélée il y a deux ans après qu’un ancien directeur de l’information, Matthew Decker, ait dépose une plainte qui tam contre son ancien employeur. En faisant cela, Decker a implicitement suggéré que Penn State, alors sous contrats fédéraux, n’a pas maintenu certaines exigences de sécurité pour la gestion et le stockage des informations non classifiées contrôlées (CUI) telles que décrites dans la publication spéciale 800-171 du NIST.
Lors de l’utilisation ou du stockage de données CUI, les entités non gouvernementales doivent respecter les réglementations rigoureuses du NIST pour garantir que les informations sensibles sont correctement protégées. Les documents judiciaires indiquent qu’au total, quinze contrats de Penn State impliquaient la « collecte, le développement, la réception, la transmission, l’utilisation ou le stockage » de ces informations pour ces agences.
Le DoJ a soutenu les affirmations de Decker et a repris l’affaire, ce qui a conduit à ce récent règlement. Ils allèguent que Penn State n’a pas respecté les exigences de sécurité du NIST SP 800-171 et n’a pas suffisamment « documenté, développé et mis en œuvre des plans d’action conçus pour corriger les déficiences. »
Ce cas rappelle clairement l’importance de maintenir un système de cybersécurité robuste dans le monde numérique d’aujourd’hui, en particulier lorsqu’on traite des informations sensibles. Il souligne que les organisations – entités non gouvernementales ou autres – ont une responsabilité de veiller à ce qu’elles se conforment aux protocoles de cybersécurité établis tels que définis par des organismes nationaux de normalisation comme le NIST, en particulier si leur travail implique la gestion de données sensibles provenant d’agences gouvernementales.’