TRANServe – un système de cartes de transport électroniques géré par le DoT et utilisé par de nombreux employés du gouvernement fédéral pour encourager l’utilisation des transports publics – a déclaré au Congrès qu’il avait commis une erreur dans la protection de ces données.
Le DoT a déclaré au Register que son service informatique avait “isolé la violation de certains systèmes du département utilisés pour des fonctions administratives, telles que le traitement des prestations de transport des employés”, ajoutant que l’incident n’avait pas affecté les systèmes de sécurité des transports.
Pas plus tard qu’hier, le Government Accountability Office des États-Unis a publié un rapport indiquant que si le ministère de la défense a donné suite aux recommandations visant à définir les rôles et les responsabilités en matière de cybersécurité, il ne l’a pas fait dans certains cas.
Dans un rapport sur l’état actuel des recommandations prioritaires du GAO, daté du 9 mai, le contrôleur général des États-Unis, Gene Dodario, a déclaré que le DoT n’avait mis en œuvre que 67 % des recommandations du GAO, soit 10 % de moins que la moyenne du gouvernement fédéral.
Jennifer Franks, directrice du Center for Enhanced Cybersecurity du GAO et de ses IT & Cybersecurity Teams, a déclaré au Register que de nombreuses recommandations avaient été adressées au DoT au fil des ans, mais que de nombreux problèmes prioritaires n’avaient pas encore été résolus.
En conséquence, a déclaré M. Franks, le DoT n’a pas mis en place de stratégies de gestion des risques appropriées, ne comprend pas bien les risques d’une pénurie de main-d’œuvre informatique à l’échelle du gouvernement et ne dispose pas d’un plan pour répondre aux incidents liés à la protection de la vie privée, tels que l’exposition d’informations confidentielles. Franks nous a dit qu’une grande partie des problèmes de cybersécurité et d’informatique auxquels le DoT est confronté se résume à des questions de personnel, notamment le fait qu'”il n’y a pas de hauts fonctionnaires [DoT] responsables de la protection de la vie privée qui gèrent la documentation relative aux questions de protection de la vie privée”.
