Naïveté coupable

dépens, quand une enquête du FBI a fait remonter plusieurs incidents de vol d’identité jusqu’à la société. Un employé vendait des informations personnelles sensibles, tirées de la base de données des clients de la société, à des voleurs d’identité.

Un audit détaillé des journaux de transactions, des profils d’accès à la base de données du personnel, et des liens de communication ne révéla aucun problème grave. Celui qui transmettait l’information, soit parvenait à effacer les pistes, soit obtenait les données en contournant les nombreux contrôles de sécurité en vigueur. Cette dernière hypothèse était la bonne : un employé subalterne enlevait les bandes de sauvegarde d’une salle de stockage, les copiait et remettait en place les bandes originales. Pour son malheur, il fut appréhendé.

L’équipe informatique avait supposé, à tort, que les anciennes bandes de sauvegarde qui étaient trop âgées pour la reprise de données d’urgence n’étaient pas non plus importantes à d’autres égards. Elles étaient donc rangées dans une salle de stockage banale, accessibles pour l’extraction d’archivage, tandis que les « bonnes » bandes courantes étaient soigneusement retirées du site tous les soirs. Le site de stockage hors site sécurisé était coûteux et de faible capacité et donc, tous les soirs, les bandes les plus anciennes hors site étaient ramenées au bureau principal pour le stockage à long terme. Pis encore, les bandes de plus d’un an étaient reléguées dans un lieu de stockage public sans protection aucune.

L’enseignement est que chaque bande de sauvegarde mérite un respect permanent et une protection égale. Si vous ne pouvez pas garder les anciens supports en sécurité, détruisez-les et gardez des traces détaillées de cette destruction pour prouver votre diligence, pour le cas où la brigade financière viendrait un jour frapper à votre porte.