Discussion :

[Bill Fassinou]

Une employée licenciée d'une coopérative de crédit de New York détruit 21 Go de données pour se venger
elle a supprimé plus 20 000 fichiers et près de 3 500 répertoires

Les entreprises technologiques, mais aussi de tous les secteurs d'activités, se sont retrouvées de plus en plus exposées aux risques de cybersécurité liés aux anciens employés licenciés au cours de ces dernières années. Pertes de données, violations de donnée, etc., et violations de conformité sont autant de risques auxquels elles sont exposées. Juliana Barile, une ancienne employée d'une coopérative de crédit de New York, a plaidé coupable mardi d'avoir accédé sans autorisation aux systèmes informatiques de l'institution financière et d'avoir détruit plus de 21 gigaoctets de données pour se venger de son licenciement.

Barile a détruit plus de 20 000 fichiers et près de 3 500 répertoires

Selon les documents judiciaires, Barile a été licenciée de son poste d'employée à temps partiel à la Credit Union le 19 mai 2021. Deux jours plus tard, le 21 mai 2021, Barile a accédé à distance au serveur de fichiers de l'institution financière, puis a supprimé plus de 20 000 fichiers et près de 3 500 répertoires, soit un total d'environ 21,3 gigaoctets de données. Selon les documents du procès, les données supprimées comprenaient des fichiers relatifs à des demandes de prêts hypothécaires et au logiciel de protection antiransomware de la Credit Union. En outre, Barile aurait également ouvert des fichiers confidentiels.

Toujours selon les documents du procès, après avoir accédé au serveur informatique sans autorisation et détruit des fichiers, Barile a envoyé des messages texte à un ami expliquant que « j'ai supprimé leurs documents de réseau partagé », faisant référence au lecteur partagé de la coopérative de crédit. À ce jour, la Credit Union a dépensé environ 10 000 dollars pour remédier à l'intrusion non autorisée de Barile et à la destruction de données. Lors du procès mercredi, devant le tribunal fédéral de Brooklyn, Juliana Barile a plaidé coupable au chef d'accusation d'intrusion dans un ordinateur de la Credit Union.

Le plaidoyer de culpabilité a eu lieu devant le juge de district des États-Unis Eric N. Vitaliano. Lorsqu'elle sera condamnée, Barile risque une peine allant jusqu'à 10 ans d'emprisonnement et une amende. « Barile pensait peut-être qu'elle se vengeait de son employeur en supprimant des fichiers, mais elle a causé tout autant de tort aux clients. Sa vengeance mesquine a non seulement créé un énorme risque pour la sécurité de la banque, mais les clients qui dépendaient des documents et des approbations pour payer leur maison se sont retrouvés dans la panade », a déclaré, Michael Driscoll, directeur adjoint du bureau new-yorkais du FBI.

« Une menace interne peut faire autant de ravages, sinon plus qu'un criminel externe. La banque et les clients sont maintenant confrontés à un énorme casse-tête à réparer les actions égoïstes d'un employé », a-t-il ajouté. Cet incident rappelle à quel point la vengeance d'anciens employés mécontents peut être dévastatrice et la nécessité aujourd'hui pour les entreprises de traiter soigneusement les départs des employés licenciés. En licenciant des personnes, les entreprises s'exposent au risque de perdre des données essentielles, car les anciens employés peuvent partir avec des informations sensibles sur les clients et des dossiers privés.

Par exemple, la pandémie du Covid-19 a provoqué des licenciements dans presque tous les secteurs d'activité. Les temps difficiles exigent des mesures difficiles, et les licenciements en font partie. Pourtant, de nombreuses entreprises ne font qu'empirer les choses en gérant mal ces licenciements.

Les risques de cybersécurité liés à un mauvais départ des employés

Selon une étude de Forbes, en cas de licenciement inadéquat, les entreprises encourent les risques suivants :

Perte de données

Lorsqu'un employé est licencié, la relation entre l'employé et l'entreprise peut s'envenimer. Cela peut amener d'anciens employés, qui ont toujours accès aux données, à supprimer ou endommager, intentionnellement ou non, des fichiers qu'ils savent être essentiels à l'entreprise. Si l'accès aux données critiques de votre entreprise n'est pas correctement révoqué, une violation des données est une réelle possibilité. Cela peut également conduire au prochain risque majeur pour votre entreprise.

À titre d'exemple, le cas de Barile susmentionné. En outre, un ancien administrateur informatique de l'entreprise de fabrication de bottes Lucchese a été licencié et a reporté sa frustration sur le système. Il a fermé des serveurs, supprimé des fichiers et causé d'immenses dégâts au réseau de l'entreprise.

Violations de la conformité

Les cadres de conformité réglementaire sont une partie extrêmement importante de la posture de sécurité globale de votre organisation. Les anciens employés qui ont encore accès à des données sensibles peuvent les fuir ou les détruire, ce qui peut entraîner des violations majeures de la conformité. Si l'on prend l'exemple de l'HIPAA ou du RGPD, le coût d'une violation pour votre entreprise peut être considérable. Par exemple, les amendes dans le cadre du RGPD peuvent aller jusqu'à 20 millions d'euros ou jusqu'à 4 % de votre chiffre d'affaires mondial.

Violation de la confidentialité

Dans le monde très concurrentiel des affaires, les entreprises peuvent débaucher sans scrupules des employés de leurs concurrents pour avoir accès à des contrats confidentiels, des accords commerciaux et d'autres connaissances exclusives. Un ancien employé qui a encore accès aux informations confidentielles de l'entreprise peut les emporter avec lui chez un nouvel employeur. Les conséquences peuvent être dévastatrices.

Un exemple concret s'est produit lors d'un saut d'emploi dans le cas d'un ingénieur en automatisation qui a quitté son poste dans une entreprise d'énergie propre aux États-Unis pour travailler pour une entreprise chinoise d'éoliennes. L'ingénieur a apporté la propriété intellectuelle sous forme de code d'automatisation à l'entreprise concurrente et a essentiellement ruiné son ancien employeur.

Pour protéger les informations confidentielles d'un employeur, le contrat de travail doit prévoir des obligations claires quant à la manière dont les informations confidentielles doivent être traitées pendant et après l'emploi.

Violation des données

L'exemple donné ci-dessus détaille la menace réelle d'un autre risque qui découle d'un licenciement inadéquat d'un employé : le vol de données. Plus de la moitié des employés interrogés dans le cadre d'une étude du Ponemon Institute ont admis avoir pris des informations auprès d'un ancien employeur, et 40 % ont admis avoir l'intention de les utiliser dans un nouvel emploi. Le vol de données est une véritable faille de sécurité qui doit être traitée par des procédures de départ appropriées et des mesures visant à prévenir l'exfiltration de données.

Réputation ruinée

Le coût de réputation dû à la perte de données ou à une violation de données résultant d'un ancien employé peut être important. Les clients peuvent rapidement trouver votre concurrent pour les mêmes biens ou services si leur confiance dans la réputation de votre entreprise est perdue. Selon le rapport "Cost of a Data Breach Report 2019" d'IBM, le coût total moyen d'une violation de données est de 3,92 millions de dollars. L'action apparemment mineure que constitue le départ inapproprié d'un employé peut entraîner des conséquences majeures pour votre entreprise.

Des dépenses inutiles

Par rapport à de nombreux coûts, ce risque particulier est celui qui peut passer sous le radar en matière de coûts pour votre entreprise. Le gaspillage de dépenses peut se produire pour votre entreprise avec d'anciens employés qui peuvent consommer des licences ou d'autres services dans votre environnement G Suite ou Office 365, par exemple. En l'absence d'un processus d'exclusion adéquat, les services peuvent rester consommés par l'ancien employé et les coûts de licence peuvent continuer à être facturés pour des services, des logiciels et des applications en nuage non utilisés.

Un processus de désengagement approprié permettra de déprovisionner ces services, licences et coûts globaux pour l'ancien employé. Alors, comment atténuer les risques de cybersécurité liés à un départ des employés ?

Que pouvez-vous faire lors du départ d'un employé ?

• menez un entretien de départ : en plus de permettre à l'employé de partir sur une bonne note, l'entretien de départ est l'occasion de mettre en place des processus clés de sécurité. Il s'agit notamment de discuter des appareils de l'entreprise que l'employé a en sa possession, de l'accès aux comptes de l'entreprise et des cartes de crédit, ainsi que d'obtenir ses coordonnées afin de pouvoir le joindre en cas de besoin après son dernier jour ;
• empêchez le transfert d'e-mails et le partage de fichiers : dans le cadre d'un processus licenciement, désactivez les méthodes d'exfiltration des données. Une fuite de données peut facilement se produire si d'anciens employés peuvent accéder à des courriels, les transférer et partager des fichiers en dehors de l'entreprise ;
• révoquez l'accès à toutes les applications et à tous les services : la majorité des risques pour votre entreprise peuvent être évités en révoquant correctement l'accès aux applications et aux services ;
• réinitialiser les mots de passe partagés : les mots de passe partagés entre groupes ou pour des services dans le cloud doivent être réinitialisés dès que possible ;
• réaffecter les licences suspendues à un autre employé : pour éliminer les dépenses inutiles, réaffectez les licences suspendues à un autre employé qui assumera les rôles de l'ancien employé ;
• terminez les choses sur une bonne note : un exemple est celui du PDG d'Airbnb, Brian Chesky, qui a géré la situation délicate des licenciements massifs dans l'entreprise en raison de Covid-19, en terminant les choses sur une bonne note. Il est important que vous exprimiez la valeur que les employés ont apportée à l'entreprise.

Source : Tribunal fédéral de Brooklyn

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du comportement de Barile ?
Avez-vous déjà vécu un pareil cas au sein de votre organisation ?
Selon vous, comment les entreprises peuvent-elles se prémunir de ces risques ?

Voir aussi

Les violations de données par des employés peuvent coûter aux entreprises jusqu'à 20 % de leur chiffre d'affaires, selon une nouvelle étude de la société Code42

Un ancien employé sur quatre a accès aux applications de l'entreprise plus d'une semaine après son départ, d'après les résultats d'une enquête

94 % des entreprises ont été victimes de violations de données par des employés au cours de l'année écoulée. L'erreur humaine est la principale cause des incidents graves, selon une enquête d'Egress

Google a licencié des dizaines d'employés pour avoir abusé des données des utilisateurs, ils auraient espionné et divulgué des données privées à des personnes extérieures à l'entreprise

Les entreprises sous-estiment l'impact du vol des données des employés, qui peuvent apporter une vue d'ensemble sur les données clients au cybercriminel

[walfrat]

Sinon vous pouvez aussi évitez de traiter les gens comme de la merde, ça peut aider

menez un entretien de départ : en plus de permettre à l'employé de partir sur une bonne note

Quelle magnifique affirmation parfaitement bidon.

Bonjour, on m'a collé dans cette sale pour prendre en charge le fait qu'après 20ans de bon et loyaux service, sans aucune faute professionelle, sous payés par rapport au marché, on a décider de vous virer. Tenez voici une boîte de mouchoir et un paquet de smarties.

[Fleur en plastique]

Comme c'est bas comme vengeance.

Tout ce qu'elle mérite, c'est la lapidation, lui assurant une longue et douloureuse agonie lui permettant de réfléchir à son crime avant que la mort ne s'ensuive. Mais comme on n'est pas chez les talibans, je suis prête à accepter la chaise électrique comme châtiment.

D'un autre côté, la banque aurait dû bloquer ses accès. De plus, comme cela se fait qu'elle avait accès à autant de données ? Est-ce normal qu'une employée puisse avoir droit de vie et de mort sur autant de données à la fois ?

[AoCannaille]

Comme c'est bas comme vengeance.

Tout ce qu'elle mérite, c'est la lapidation, lui assurant une longue et douloureuse agonie lui permettant de réfléchir à son crime avant que la mort ne s'ensuive. Mais comme on n'est pas chez les talibans, je suis prête à accepter la chaise électrique comme châtiment.

Le retour du troll dans les règle de l'art, welcome back Sur tes deux trois derniers messages, c'était moins clair ^^

D'un autre côté, la banque aurait dû bloquer ses accès. De plus, comme cela se fait qu'elle avait accès à autant de données ? Est-ce normal qu'une employée puisse avoir droit de vie et de mort sur autant de données à la fois ?

Ce qui m'étonne plus, c'est qu'aucune sauvegarde n'est évoquée.... Nos dossiers réseaux sauvegardent une version par jour pendant une semaine, puis une par semaine pendant un mois puis un par mois sur un an....

[FMJ]

je relève surtout la double incompétence du service informatique de la banque :
1. D'avoir laisser actif le compte d'acès d'une personne qui ne faisait plus partie de l'entreprise (mais c'est peut-être la faute des RH ?......)
2. D'avoir une sauvegarde défaillante ! On peut supprimer 20 Go de données sur le réseau de mes clients, cela ne prendrait que quelques minutes pour les restaurer !!!

[infozoide]

@FMJ : entièrement d'accord, ça frôle l'incompétence totale à tous les niveaux et c'est même largement au-delà d'une triple incompétence.

S'il faut croire ce qui est écrit, ça signifierait qu'en cas d'erreur banale d'un utilisateur, qui supprimerait par simple mégarde des données sur leur lecteur partagé P:\ cette entreprise n'est même pas capable de restaurer les données concernées.

C'est juste inadmissible incroyable. Bravo !... On frise le délire d'incompétence à tous les étages et personne n'y voit rien ?

Je ne cautionne pas le geste stupide de l'employée évincée de son job mais elle n'est clairement pas la seule coupable dans cette affaire.
Le service informatique de cette entreprise est le pire des nuls qui puisse exister discutable : disons juste aussi stupide minable qu'incompétent, pour rester poli.
Surtout s'il est vrai que leur "logiciel de protection antiransomware" a lui aussi été endommagé par la simple manœuvre d'un utilisateur.
On a là manifestement affaire à une véritable bande d'incapables.

Pour la petite anecdote, il y a 10 ans, j'étais présent vers 7h30 dans un Cabinet d'Expertise Comptable situé en plein centre de Versailles.
On avait prévu de discuter dans la matinée avec le dirigeant, concernant ses futures évolutions en matière d'informatique.
Le reste des équipes n'était pas encore là... pendant qu'il était occupé au téléphone, sur un signe de sa part, j'ai décroché le téléphone pour répondre à un appel plutôt matinal sur le standard.
La personne qui appelait était la mère d'une stagiaire de l'entreprise: elle m'a annoncé que sa fille "n'avait pas été bien durant toute la nuit" et qu'elle ne se présenterait pas au Cabinet
Après avoir noté son nom, j'ai fait part du message au dirigeant, et on n'y a pas accordé plus d'attention.

Ce n'est qu'un peu plus tard dans la matinée, que d'autres Experts-Comptables sont rapidement venus interrompre notre réunion, pour nous annoncer qu'ils rencontraient des difficultés avec l'informatique.
En fait, ils n'avaient plus aucun accès à de nombreux dossiers, notamment la plupart de ceux relevant des missions de Commissariat aux Comptes.
Alors que les Experts-Comptables semblaient fort inquiets, sinon clairement paniqués pour certains d'entre eux au vu de la perte de leurs dossiers, le dirigeant qui me regardait a toute de suite discerné le petit sourire que j'essayais d'estomper.
C'est même lui qui a aussitôt annoncé à ses collaborateurs que "j'allais régler le problème en un claquement de doigts". Et il avait raison. Car la perte de données est le problème le plus basique auquel les informaticiens doivent savoir systématiquement répondre avec un maximum de sérénité.
Je suis simplement allé restaurer le contenu des dossiers effacés sur le serveur du Cabinet, ce qui ne m'a pris que quelques instants, cependant l'opération de restauration en soi n'a fini par aboutir qu'une heure plus tard, la volumétrie des données concernées par l'effacement étant plutôt conséquente.

Ce qui m'a naturellement le plus interpellé, c'est la raison exacte de l'effacement inattendu des fichiers et dossiers, surtout que la plupart des dossiers concernés étaient normalement supposés être protégés contre d'éventuels effacements par mégarde
Quelle personne autorisée, disposant des droits les plus étendus, aurait ainsi pu supprimer des dossiers entiers ?

L'explication était des plus simples. J'ai tout compris quand, face à mon interrogation, le dirigeant m'a précisé qu'il avait confié sa session ouverte sur son ordinateur portable la veille dans l'après-midi, en demandant à sa stagiaire d'y "faire du ménage" dans les dossiers
La stagiaire avait alors dû suivre un peu trop à la lettre les vagues consignes qui lui avaient été données, puisqu'elle a tout de même allégrement réussi à supprimer plusieurs Go de données sensibles et confidentielles, avant de manifestement prendre conscience de son erreur. Au lieu d'en faire part, elle aurait donc discrètement quitté le bureau, avant de se rendre ensuite inutilement malade toute la nuit. Cela me semblait disproportionné.
Autant j'avais eu envie de jouer durant l'espace de quelques instants avec la panique des Experts Comptables effarés de ne plus retrouver leurs données , autant il m'a semblé essentiel de rappeler dans les plus brefs délais la mère de la stagiaire, afin de la rassurer immédiatement : si des données avaient été effacées par mégarde la veille, il n'y avait aucune inquiétude à avoir, car tout était sauvegardé en permanence et nous avions la certitude de tout récupérer
Fin de l'histoire.

Les motivations humaines sont parfois étonnantes : j'ai toujours constaté que l'humain est capable du meilleur comme du pire ... Mais ce n'est pas une raison pour mentir, déraper ou jamais négliger quoi que ce soit.

Je trouve tout aussi absurde d'annoncer tous azimuts de soudaines dépenses de milliards en recherche pour "trouver des solutions contre les ransomwares" alors qu'il existe déjà des solutions efficaces, parfaitement opérationnelles, qui ne coûtent pratiquement rien.

Tous les clients où je suis intervenu jusqu'ici en sont équipés, et cela leur procure une immense tranquillité, en leur permettant de bénéficier en permanence d'une sécurité absolue et totale à moindre coût.

D'ailleurs, avec les dispositifs que j'installe, même si un dirigeant -ou un quelconque responsable autorisé- tombait un jour sur la tête en décidant subitement d'aller tout supprimer sur ses serveurs ou d'y introduire une collection des pires ransomwares possibles on sait qu'on pourra encore lui garantir de tout récupérer dans la foulée en un temps record, afin d'assurer la parfaite pérennité de l'activité de l'entreprise

Je pense ne pas être le seul informaticien équipé d'outils performants aptes à gérer les pires situations et je ne suis probablement pas doué pour la communication mais j'accorde la plus grande importance à la sécurité comme à la qualité des dispositifs mis en production.
Je me trompe peut-être, mais il me semble que notre rôle, c'est d'abord d'anticiper les pires situations, jamais de les subir.

Dommage que mes clients prescripteurs de longue date partent tous les uns après les autres à la retraite car j'aurais bien aimé un jour rencontrer les bonnes personnes ne serait-ce pour mieux tenter de contribuer à faire appliquer ou connaitre les quelques bonnes pratiques élémentaires qui permettent de pallier facilement à toutes les difficultés. Peut-être devrais-je bientôt songer à me reconvertir ?

Quand notre dernier président Emmanuel MACRON a été élu j'ai pensé qu'il allait enfin mettre au Ministère quelqu'un de compétent sur les nouvelles technologies, mais force est de constater qu'à part trouver des novices copains sachant surtout communiquer sur les réseaux dits sociaux (dissociaux pour les puristes) il en est réduit à nous servir toujours exactement la même éternelle belle brochette d'incapables brillant autant par leur terrible immobilisme intelligence que par leur nullité immense incompétence

Tout ça me rappelle l'affaire de la chaine de télé qui avait été attaquée il y a quelques années et où le "responsable informatique" en place, filmé devant son bureau s'étonnait que des pirates aient pu s'introduire dans les systèmes... le pauvre gars ne comprenait pas pourquoi... sauf que juste derrière lui, on voyait à travers la baie vitrée de son bureau une quantité incroyable de codes d'accès et mots de passe qu'il avait affiché en gros un peu partout sur son mur ... cherchez l'erreur... tout le monde n'y a vu que du feu... à croire que les gens sont aveugles

Je sais que depuis pas mal d'années, au gouvernement comme dans la plupart des entreprises, on préfère recruter des profils qui rassurent... c'est la grande priorité des RH... et on voit ce que ça donne au final !
Mon avis, c'est qu'il est préférable de prendre juste quelqu'un qui assure... ça coûte beaucoup moins cher à l'arrivée.

Pour en revenir au sujet qui nous intéresse, je trouve quand même aussi coupables qu'inadmissibles les défaillances de sécurité critiques des équipes de support informatique de CREDIT UNION, un peu comme dans l'affaire de COLONIAL PIPELINE et dans tellement d'autres qui défrayent en permanence la chronique. Quel gâchis inutile !... et terriblement répétitif

[shenron666]

je relève surtout la double incompétence du service informatique de la banque :
1. D'avoir laisser actif le compte d'acès d'une personne qui ne faisait plus partie de l'entreprise (mais c'est peut-être la faute des RH ?......)
2. D'avoir une sauvegarde défaillante ! On peut supprimer 20 Go de données sur le réseau de mes clients, cela ne prendrait que quelques minutes pour les restaurer !!!

beau résumé, tout est dit
la banque devrait être tout autant comdamnable et comdamnée

[zetoken]

Si 10000 $ ont suffi à remédier au problème, c'est que, contrairement à ce que disent les commentaires précédents, les sauvegardes existaient bien et ont été utilisées. Le montant mentionné ayant sûrement été utilisés pour une prestation d'accompagnement à la reprise d'activité ou un audit pour vérifier s'il y a eu d'autres impacts, procédure standard dans le cas d'une intrusion ou perte majeure de données, d'autant plus qu'il s'agit ici d'un organisme financier.