Miklos Daniel Brody, un ingénieur en informatique dématérialisée, a été condamné à deux ans de prison pour avoir intentionnellement endommagé le réseau informatique de son ancien employeur, une banque, après avoir été licencié. Brody, âgé de 38 ans et résidant à San Francisco, a plaidé coupable en avril 2023 de violations de la loi sur la fraude et l'abus informatiques, notamment l'accès non autorisé à un ordinateur protégé, la suppression de référentiels de code, l'utilisation d'un script malveillant, et le vol de code informatique évalué à plus de 5 000 dollars. Il a également fait de fausses déclarations à une agence gouvernementale en rapportant le vol de son ordinateur portable fourni par l'entreprise. Le juge Orrick a estimé les dommages causés aux systèmes de la banque à plus de 220 000 dollars. En plus de la peine de prison, Brody doit payer une restitution de plus de 500 000 dollars et purger une période de liberté surveillée de trois ans après sa libération. L'enquête a été menée par les services secrets américains.
Selon un nouvel acte d'accusation délivré par un grand jury fédéral en décembre 2022, Brody a travaillé comme ingénieur cloud pour une banque dont le siège se trouve à San Francisco jusqu'au 11 mars 2020, date à laquelle il a été licencié pour avoir enfreint la politique de l'entreprise. L'acte d'accusation de substitution allègue que, plus tard dans la soirée et le lendemain matin, Brody a utilisé son ordinateur portable fourni par l'entreprise - qu'il n'a pas rendu après avoir été licencié - pour accéder au réseau informatique de la banque sans autorisation et pour causer des dommages substantiels.
Brody a notamment supprimé les référentiels de code de la banque, exécuté un script malveillant pour supprimer les journaux, laissé des railleries dans le code de la banque à l'intention d'anciens collègues et usurpé l'identité d'autres employés de la banque en ouvrant des sessions en leur nom. Il s'est également envoyé par courrier électronique le code propriétaire de la banque sur lequel il avait travaillé en tant qu'employé et qui était évalué à plus de 5 000 dollars.
Lors de l'audience de détermination de la peine, le juge Orrick a estimé le coût total des dommages causés aux systèmes de la banque à au moins 220 621,22 dollars.
L'acte d'accusation complémentaire allègue également que, dans les jours et les semaines qui ont suivi son licenciement, Brody s'est engagé dans une série d'actions évasives et trompeuses, y compris le dépôt d'un rapport de police dans lequel il a faussement déclaré à la police de San Francisco que son ordinateur portable fourni par l'entreprise avait été volé dans sa voiture alors qu'il s'entraînait à la salle de sport.
Brody a réitéré cette fausse allégation dans les déclarations qu'il a faites aux agents de l'USSS lors d'un entretien après son arrestation en mars 2021. Dans sa demande de plaidoyer de culpabilité, Brody a admis avoir fait une fausse déclaration au sujet de l'ordinateur portable fourni par l'entreprise et qu'il savait que sa déclaration était fausse à ce moment-là.
En plus de condamner Brody à une peine de prison, le juge Orrick lui a ordonné de payer une restitution d'un montant total de 529 266,37 dollars et de purger une période de liberté surveillée de trois ans à compter de la fin de sa peine d'emprisonnement. Les procureurs adjoints Lauren Harding et George O. Hageman sont chargés de l'affaire, avec l'aide du spécialiste juridique Mark DiCenzo. Les poursuites sont le résultat d'une enquête menée par les services secrets américains.
L'éthique professionnelle et la responsabilité individuelle
L'acte de Miklos Daniel Brody, où il a intentionnellement endommagé le réseau informatique de son ancien employeur après avoir été licencié, est inexcusable et soulève des questions sérieuses sur l'éthique professionnelle et la responsabilité individuelle. Sa décision de se venger en causant des dommages substantiels au système informatique de la banque va bien au-delà d'une simple réaction à son licenciement.
La gravité de ses actions, notamment la suppression des référentiels de code, l'utilisation de scripts malveillants, et le vol de propriété intellectuelle, met en évidence une méconnaissance totale des conséquences potentielles sur l'entreprise, ses employés et même les clients de la banque. En outre, le fait qu'il ait falsifié un vol de son ordinateur portable dans le but de tromper les autorités témoigne d'un mépris flagrant pour l'intégrité et la légalité.
La sentence de deux ans de prison, la restitution substantielle et la période de liberté surveillée imposées par le juge semblent appropriées pour punir ces actions répréhensibles et dissuader d'autres individus de suivre un chemin similaire. Cependant, il est important de souligner que de tels actes ont des répercussions bien au-delà de la peine individuelle, affectant la confiance dans les relations professionnelles et la sécurité des données.
Cette affaire souligne également l'importance pour les entreprises de mettre en place des mesures de sécurité robustes pour protéger leurs données sensibles et de sensibiliser leurs employés aux conséquences juridiques et éthiques de telles actions. En fin de compte, les professionnels de l'informatique doivent être conscients de leur responsabilité envers leurs employeurs et la société dans son ensemble, en veillant à agir de manière éthique même en cas de différends professionnels.
Gestion des ressources informatiques et sécurité des données au sein de l'entreprise
L'attitude de l'ancien employeur, la banque, soulève par ailleurs des questions et des préoccupations quant à la gestion des ressources informatiques et à la sécurité des données au sein de l'entreprise. Voici quelques points critiques à considérer :
Mesures de sécurité insuffisantes : Le fait que Brody ait pu accéder au réseau de la banque après son licenciement suggère un manque de mesures de sécurité adéquates. Les entreprises, en particulier celles opérant dans des secteurs sensibles tels que la finance, devraient mettre en œuvre des protocoles rigoureux pour révoquer rapidement l'accès des employés licenciés à leurs systèmes informatiques.
Absence de récupération de l'équipement : Le fait que Brody n'ait pas restitué son ordinateur portable fourni par l'entreprise après son licenciement est un défaut de la part de la banque. Cela souligne une négligence dans la gestion des actifs matériels et informatiques de l'entreprise.
Sensibilisation insuffisante : Les employés doivent être conscients des conséquences légales de leurs actions après avoir quitté l'entreprise. La banque aurait pu mettre en place des programmes de sensibilisation pour s'assurer que ses employés comprennent les risques liés à une utilisation inappropriée des informations et des systèmes informatiques de l'entreprise.
Réaction aux alertes de sécurité : Une réaction rapide aux activités suspectes est essentielle pour minimiser les dommages. Dans ce cas, la banque aurait-elle pu détecter plus rapidement les activités malveillantes de Brody et prendre des mesures pour minimiser les conséquences ?
Communication transparente : Lorsqu'une attaque ou une violation de données survient, la communication transparente avec les parties prenantes, y compris les clients, est cruciale. Il est important de savoir comment la banque a géré la communication autour de cet incident pour maintenir la confiance de ses clients.
En résumé, l'ancien employeur aurait pu prendre des mesures préventives et réactives plus efficaces pour éviter de tels incidents. Cela souligne l'importance pour les entreprises de rester proactives dans la gestion de la sécurité informatique et de s'assurer que leurs politiques et procédures sont à jour et efficaces.
La décision de justice dans l'affaire de Miklos Daniel Brody, semble être une réponse appropriée et proportionnée aux actes répréhensibles commis par l'ingénieur en informatique. Cependant, il est toujours possible de soulever quelques points critiques :
- Peine de prison proportionnée : la peine de deux ans de prison semble justifiée compte tenu de la nature intentionnelle et dommageable des actions de Brody. Néanmoins, il est essentiel de garantir que la peine est équitable et basée sur une compréhension approfondie de tous les éléments de l'affaire ;
- En ce qui concerne les services secrets des États-Unis (USSS) : le fait que l'enquête ait été menée par les services secrets américains souligne l'importance de traiter sérieusement les crimes informatiques.
Cependant, il est essentiel de garantir que les enquêtes sont menées de manière transparente, impartiale et conforme aux lois en vigueur. Cette affaire met en lumière l'importance cruciale de la responsabilité des services secrets de protéger les infrastructures critiques du pays. cette mission dans un pays où la dépendance à l'égard des technologies de l'information est très élevée.
Source : Bureau du procureur des États-Unis pour le district nord de Californie
Et vous ?
Quel est votre avis sur le sujet ? À votre avis, comment l'entreprise aurait-elle pu mieux révoquer l'accès de l'ingénieur après son départ ? Dans quelle mesure les entreprises devraient-elles être responsables du comportement de leurs employés après leur licenciement, et quelles leçons peuvent être tirées de cette affaire pour les politiques de licenciement ?Voir aussi :
Qu'est-ce qui explique la pénurie de personnel dans le domaine de la cybersécurité ? Ben Rothke propose une théorie pour y répondre Lazarus, un faux recruteur, attire les employés d'une entreprise aérospatiale avec un défi de codage en C++, qui étaient des chevaux de Troie, selon les chercheurs d'ESET 78 % des entreprises déclarent que l'IA a créé plus d'emplois, d'après un rapport de l'Institute for the Future of Work