À la suite d'un incident interne au cours duquel les informations privées de 406 000 personnes ont été rendues publiques par un ancien employé de Booz Allen Hamilton, le Trésor américain a annulé tous les contrats avec Booz Allen Hamilton.
Cela s’est accompagné de pressions pour améliorer la cybersécuritépour les entrepreneurs fédérauxaprès qu'un ancien entrepreneur a plaidé coupable d'avoir accédé et distribué illégalement des informations sur les dossiers fédéraux de l'IRS.
Le Trésor met fin à tous les contrats Booz Allen
Le 26 janvier, le secrétaire au Trésor Scott Bessent a confirmé par écrit que le Trésor avait immédiatement résilié les 31 contrats actifs avec Booz Allen et a fourni une lettre conditionnelle mettant fin à la relation contractuelle du gouvernement avec Booz Allen.
Le secrétaire a également déclaré que le Trésor continuera à travailler avec Booz Allen pour élaborer un plan pour la future relation contractuelle entre le gouvernement et Booz Allen, et pour améliorer les contrôles de l'agence concernant l'accès des entrepreneurs fédéraux aux informations confidentielles.
Le Département du Trésor a licencié Booz Allen pour ne pas avoir mis en œuvre des mesures de sécurité adéquates pour les systèmes gouvernementaux.
Selon les responsables du Trésor, les contrats représentaient 4,8 millions de dollars de dépenses annuelles et comportaient des obligations totales de 2,1 millions de dollars.
Bessent a déclaré que le gouvernement fédéral doit protéger les informations des contribuables et que les entrepreneurs ayant accès à des systèmes sensibles doivent suivre des normes strictes de sécurité et de conformité.
Il a également souligné que cette initiative est conforme à l’objectif du président Trump d’éliminer le gaspillage, la fraude et les abus au sein des agences fédérales.
Les responsables du Trésor ont expliqué qu’ils avaient pris cette mesure pour restaurer la confiance du public dans la capacité du gouvernement à protéger les données privées après une série de graves cyberattaques dans les secteurs public et privé.
Une violation interne a révélé des centaines de milliers de contribuables
Dans une affaire d'accès non autorisé à des informations via Booz Allen par Charles Edward Littlejohn (un ancien entrepreneur de l'entreprise), où il a plaidé coupable à des accusations de crime pour accès illégal aux systèmes IRS de 2018 à 2020.
Les actions de Littlejohn constituaient un aspect clé des allégations d’actes répréhensibles associés à Booz Allen.
Les procureurs fédéraux ont allégué que Littlejohn avait obtenu un accès illégal à des centaines de milliers de dossiers et de données privées de contribuables en utilisant ses informations d'identification d'entrepreneur. 406 000 dossiers dénombrables contenaient des données privées et des informations fiscales.
En fin de compte, grâce à la divulgation de ces informations, les victimes ont été victimes d’usurpation d’identité, de fraude financière et de problèmes de confidentialité à long terme. L'IRS a subi l'une de ses pertes récentes les plus importantes après qu'un initié ait volé des données à Booz Allen & Hamilton.
Les responsables du Département du Trésor ont déterminé que les contrôles et la surveillance de Booz Allen étaient insuffisants, ce qui a contribué à l'incapacité de détecter et de prévenir ce vol avant qu'il ne se produise.
Le gouvernement fait pression pour des normes de performance plus strictes pour les entrepreneurs fédéraux
Les responsables du Trésor ont déclaré que ces contrats annulés témoignent des efforts plus importants du gouvernement pour accroître la surveillance et la surveillance des sous-traitants fédéraux qui détiennent des données sensibles.
Le gouvernement dépend de plus en plus des entreprises privées pour fournir des services dans des domaines tels que la cybersécurité, l’analyse et la gestion des données. Il est donc essentiel qu’elles fassent confiance à leurs sous-traitants, les tiennent responsables et les obligent à fonctionner selon les normes les plus élevées en matière de sécurité des données.
Selon un porte-parole du Département du Trésor, le gouvernement applique une politique de non-tolérance à l'égard des sous-traitants qui assurent une faible sécurité des données.
Tous les entrepreneurs faisant affaire avec eux doivent se soumettre à des audits rigoureux de leurs procédures de sécurité des données, mettre en œuvre des systèmes de surveillance des menaces internes et assurer une surveillance en temps réel de leurs systèmes.
Cette répression s'aligne sur une évolution mondiale vers une gouvernance des données plus stricte, à l'image des mesures législatives prises dans d'autres pays, commeModifications attendues du Canada à ses lois sur la protection de la vie privéeil n'y a pas si longtemps.
Une prise de conscience croissante des menaces internes
La violation de Booz Allen fournit une illustration importante d’un problème mondial émergent lié aux menaces internes pesant sur les informations gouvernementales.
La couverture médiatique récente sur les cyberattaques s’intéresse principalement aux menaces externes. Cependant, l’une des menaces les plus graves provient des utilisateurs des systèmes internes (menace interne) qui ont un accès légal aux systèmes informatiques.
L’étendue du risque lié aux données s’étend au-delà du vol par les employés pour inclure la vente par l’entreprise des données des utilisateurs à des organismes gouvernementaux, comme le prétend l’articlerapports récents sur Coinbase et ICE.
Les organisations gouvernementales continuent de s'orienter vers les transformations numériques et l'adoption de la technologie cloud. À mesure que de plus en plus d’entreprises accèdent à des informations sensibles sans surveillance ni audit appropriés, un employé peut compromettre des centaines de milliers de fichiers en quelques minutes.
Pour de nombreux responsables du Trésor, l’annulation de contrats est à la fois une mesure disciplinaire et un désir renouvelé de rétablir la confiance du public dans la sécurité numérique à une époque où la confiance du public dans la sécurité des transactions de données est au plus bas.
« Ce qui est important dans cette affaire n’est pas seulement la violation qui s’est produite », a déclaré un haut responsable du Trésor. "Cela renforce également l'idée selon laquelle les données des contribuables sont un privilège ; elles nécessitent le plus haut degré de responsabilité."