Selon un rapport de la police de Thames Valley au Royaume-Uni, un Britannique a été condamné à deux ans de prison pour avoir effacé des données critiques de son ex-employeur, qui était entreposées dans le nuage.
Steffan Needham, de Bury, dans le Grand Manchester, a travaillé pendant quatre semaines début 2016 en tant que consultant informatique dans une agence de marketing et de logiciels numériques appelée Voova. Après avoir été licencié pour mauvaise performance, il a utilisé le compte Amazon Web Services (AWS) d'un ancien collègue pour accéder à 23 serveurs AWS. Il a alirs supprimé les données relatives aux clients de Voova sur ces serveurs.
Ses gestes ont coûté à l'entreprise 500 000 £ (650 000 $ US) en contrats perdus, ce qui a entraîné la mise à pied d'un certain nombre d'employés. Les données n'ont jamais été reconstituées. À l'approche de la Journée mondiale de la sauvegarde, ou World Backup Day (31 mars), cette affaire illustre bien la nécessité de mettre en place des stratégies efficaces de protection et de récupération des données.
Needham n'a été épinglé que 10 mois après la série de destruction de données, qui a eu lieu les 17 et 18 mai 2016. Plus tôt ce mois-ci, Needham, maintenant âgé de 36 ans, a été reconnu coupable de deux accusations en vertu de la Computer Misuse Act du Royaume-Uni. Il a été envoyé en prison à Reading Crown Court après un procès de neuf jours.
« Ses actions, bien qu’elles ne consistaient qu’en quelques de clics sur un clavier, ont entraîné des pertes financières importantes pour l'entreprise concernée, et des gens ont perdu leur emploi », souligne Giles Murphy, de l'équipe de la cybercriminalité au poste de police de Loddon Valley.
Selon un jugement précédent, l'entreprise n'avait pas mis en œuvre l'authentification multifactorielle, ce qui aurait très probablement été suffisant pour tenir Needham à distance. Des contrôles internes plus stricts, de sorte qu'il aurait fallu plus d'une personne pour des opérations telles que la suppression de données, auraient également permis de déjouer le déchaînement.
« Nous aimerions rappeler aux entreprises l’importance de s'assurer que les données d'accès des anciens employés ne sont plus accessibles une fois qu'ils se sont séparés, » déclare Murphy. C’est en effet un autre conseil important pour les organisations qui visent à protéger leurs données des initiés mécontent.