Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars. Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.
Selon un nouvel acte d'accusation délivré par un grand jury fédéral en décembre 2022, Brody a travaillé comme ingénieur cloud pour une banque dont le siège se trouve à San Francisco jusqu'au 11 mars 2020, date à laquelle il a été licencié pour avoir enfreint la politique de l'entreprise. L'acte d'accusation de substitution allègue que, plus tard dans la soirée et le lendemain matin, Brody a utilisé son ordinateur portable fourni par l'entreprise - qu'il n'a pas rendu après avoir été licencié - pour accéder au réseau informatique de la banque sans autorisation et pour causer des dommages substantiels.
Brody a notamment supprimé les référentiels de code de la banque, exécuté un script malveillant pour supprimer les journaux, laissé des railleries dans le code de la banque à l'intention d'anciens collègues et usurpé l'identité d'autres employés de la banque en ouvrant des sessions en leur nom. Il s'est également envoyé par courrier électronique le code propriétaire de la banque sur lequel il avait travaillé en tant qu'employé et qui était évalué à plus de 5 000 dollars.
Lors de l'audience de détermination de la peine, le juge Orrick a estimé le coût total des dommages causés aux systèmes de la banque à au moins 220 621,22 dollars.
L'acte d'accusation complémentaire allègue également que, dans les jours et les semaines qui ont suivi son licenciement, Brody s'est engagé dans une série d'actions évasives et trompeuses, y compris le dépôt d'un rapport de police dans lequel il a faussement déclaré à la police de San Francisco que son ordinateur portable fourni par l'entreprise avait été volé dans sa voiture alors qu'il s'entraînait à la salle de sport.
Brody a réitéré cette fausse allégation dans les déclarations qu'il a faites aux agents de l'USSS lors d'un entretien après son arrestation en mars 2021. Dans sa demande de plaidoyer de culpabilité, Brody a admis avoir fait une fausse déclaration au sujet de l'ordinateur portable fourni par l'entreprise et qu'il savait que sa déclaration était fausse à ce moment-là.
En plus de condamner Brody à une peine de prison, le juge Orrick lui a ordonné de payer une restitution d'un montant total de 529 266,37 dollars et de purger une période de liberté surveillée de trois ans à compter de la fin de sa peine d'emprisonnement. Les procureurs adjoints Lauren Harding et George O. Hageman sont chargés de l'affaire, avec l'aide du spécialiste juridique Mark DiCenzo. Les poursuites sont le résultat d'une enquête menée par les services secrets américains.
L'éthique professionnelle et la responsabilité individuelle
L'acte de Miklos Daniel Brody, où il a intentionnellement endommagé le réseau informatique de son ancien employeur après avoir été licencié, est inexcusable et soulève des questions sérieuses sur l'éthique professionnelle et la responsabilité individuelle. Sa décision de se venger en causant des dommages substantiels au système informatique de la banque va bien au-delà d'une simple réaction à son licenciement.
La gravité de ses actions, notamment la suppression des référentiels de code, l'utilisation de scripts malveillants, et le vol de propriété intellectuelle, met en évidence une méconnaissance totale des conséquences potentielles sur l'entreprise, ses employés et même les clients de la banque. En outre, le fait qu'il ait falsifié un vol de son ordinateur portable dans le but de tromper les autorités témoigne d'un mépris flagrant pour l'intégrité et la légalité.
La sentence de deux ans de prison, la restitution substantielle et la période de liberté surveillée imposées par le juge semblent appropriées pour punir ces actions répréhensibles et dissuader d'autres individus de suivre un chemin similaire. Cependant, il est important de souligner que de tels actes ont des répercussions bien au-delà de la peine individuelle, affectant la confiance dans les relations professionnelles et la sécurité des données.
Cette affaire souligne également l'importance pour les entreprises de mettre en place des mesures de sécurité robustes pour protéger leurs données sensibles et de sensibiliser leurs employés aux conséquences juridiques et éthiques de telles actions. En fin de compte, les professionnels de l'informatique doivent être conscients de leur responsabilité envers leurs employeurs et la société dans son ensemble, en veillant à agir de manière éthique même en cas de différends professionnels.
Gestion des ressources informatiques et sécurité des données au sein de l'entreprise
L'attitude de l'ancien employeur, la banque, soulève par ailleurs des questions et des préoccupations quant à la gestion des ressources informatiques et à la sécurité des données au sein de l'entreprise. Voici quelques points critiques à considérer :
Mesures de sécurité insuffisantes : Le fait que Brody ait pu accéder au réseau de la banque après son licenciement suggère un manque de mesures de sécurité adéquates. Les entreprises, en particulier celles opérant dans des secteurs sensibles tels que la finance, devraient mettre en œuvre des protocoles rigoureux pour révoquer rapidement l'accès des employés licenciés à leurs systèmes informatiques.
Absence de récupération de l'équipement : Le fait que Brody n'ait pas restitué son ordinateur portable fourni par l'entreprise après son licenciement est un défaut de la part de la banque. Cela souligne une négligence dans la gestion des actifs matériels et informatiques de l'entreprise.
Sensibilisation insuffisante : Les employés doivent être conscients des conséquences légales de leurs actions après avoir quitté l'entreprise. La banque aurait pu mettre en place des programmes de sensibilisation pour s'assurer que ses employés comprennent les risques liés à une utilisation inappropriée des informations et des systèmes informatiques de l'entreprise.
Réaction aux alertes de sécurité : Une réaction rapide aux activités suspectes est essentielle pour minimiser les dommages. Dans ce cas, la banque aurait-elle pu détecter plus rapidement les activités malveillantes de Brody et prendre des mesures pour minimiser les conséquences ?
Communication transparente : Lorsqu'une attaque ou une violation de données survient, la communication transparente avec les parties prenantes, y compris les clients, est cruciale. Il est important de savoir comment la banque a géré la communication autour de cet incident pour maintenir la confiance de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.