Publié le 2025-12-20 06:37:00. Un audit de performance du bureau du procureur du comté de Middlesex (MDAO) a révélé des lacunes dans la gestion des accès à un système crucial de suivi des preuves d’agressions sexuelles, ainsi que des faiblesses dans les procédures internes concernant les accords de règlement avec les employés et la formation à la cybersécurité.
- Le MDAO n’a pas toujours révoqué rapidement l’accès des anciens employés au système de suivi des kits d’examen médical après une agression sexuelle (SAECK), ce qui pose un risque pour la confidentialité des informations sensibles.
- L’audit a souligné l’absence de politiques documentées concernant les accords de règlement avec les employés, notamment en ce qui concerne les clauses de confidentialité.
- Tous les employés du MDAO ne reçoivent pas systématiquement une formation annuelle de sensibilisation à la cybersécurité.
Réalisé par le Bureau de l’auditeur de l’État du Massachusetts conformément à l’article 12 du chapitre 11 des lois générales, l’audit a porté sur les activités du MDAO entre le 1er juillet 2022 et le 30 juin 2024. L’examen des accords de règlement des employés a conduit à étendre la période d’audit jusqu’au 30 juin 2024.
L’audit s’est concentré sur trois points principaux : la participation du MDAO au système de suivi SAECK à l’échelle de l’État, le respect des normes de sécurité informatique en matière de formation à la cybersécurité, et la mise en place de politiques internes pour la gestion des accords de règlement des employés.
Concernant le système SAECK, l’audit a révélé que le MDAO n’a pas toujours révoqué rapidement les droits d’accès des anciens employés, et que certains champs de données n’étaient pas complétés correctement. Selon le rapport, cela pourrait permettre un accès non autorisé à des informations sensibles concernant les victimes et les enquêtes. L’audit souligne également l’importance d’attribuer des coordonnées précises au MDAO dans le système Track-Kit, afin de faciliter le contact avec les survivants et de rationaliser le processus de suivi.
En ce qui concerne les accords de règlement des employés, l’audit a constaté que le MDAO n’avait pas de politiques ou de procédures internes documentées pour l’examen et l’approbation de ces accords, en particulier ceux contenant des clauses de non-divulgation, de non-dénigrement ou des clauses restrictives similaires. L’absence de telles procédures pourrait compromettre l’éthique, la légalité et l’adéquation du traitement de ces accords.
Enfin, l’audit a mis en évidence le fait que tous les employés du MDAO ne reçoivent pas une formation annuelle de sensibilisation à la cybersécurité. Le Bureau de l’auditeur souligne que cette formation est essentielle pour protéger les actifs informationnels du MDAO contre les cyberattaques et les pertes financières ou de réputation.
Le MDAO a déjà pris des mesures correctives en révoquant l’accès de tous les anciens employés au système Track-Kit, répondant ainsi partiellement aux recommandations de l’audit. Le bureau est invité à mettre en œuvre des politiques et des procédures plus robustes pour garantir la sécurité des données, la transparence des accords de règlement et la formation continue de ses employés.
Pour plus d’informations, vous pouvez consulter les rapports détaillés de l’audit :
- Constatation 1 : Accès au système SAECK
- Constatation 2 : Accords de règlement des employés
- Constatation 3 : Formation à la cybersécurité
Le Gouverneur a publié le 27 janvier 2025 une « Politique de règlement du département exécutif » qui recommande d’interdire l’utilisation de clauses de non-divulgation, de non-dénigrement ou de clauses restrictives similaires dans les accords.
