Le Bureau du commissaire à l’information (ICO) au Royaume-Uni a infligé une amende de 14 millions de livres sterling (18,7 millions de dollars) à Capita, un fournisseur de services de processus métier axés sur les données, pour un incident de violation de données survenu en 2023 qui a exposé les informations personnelles de 6,6 millions de personnes.
Capita est une importante société d’externalisation et de services professionnels basée au Royaume-Uni qui fournit des services de conseil, numériques et logiciels aux conseils locaux, au NHS, au ministère de la Défense et aux organisations des secteurs bancaire, des services publics et des télécommunications.
Avec environ 34 000 employés et un chiffre d’affaires annuel de 3 milliards de livres sterling, les clients de Capita se trouvent principalement au Royaume-Uni et en Europe.
Des centaines de fournisseurs de régimes de retraite touchés
L’OIC avait initialement fixé l’amende à un montant beaucoup plus élevé de 45 millions de livres sterling, mais l’agence a décidé de réduire l’amende après que l’entreprise a accepté sa responsabilité, mis en œuvre d’importantes améliorations en matière de sécurité et offert des services de protection des données aux personnes exposées.
L’autorité de protection des données a infligé une amende de 8 millions de livres sterling à Capita plc et Capita Pension Solutions Limited a reçu une amende de 6 millions de livres sterling.
L’enquête de l’OIC a maintenant confirmé que les données volées touchent 6,6 millions de personnes et des centaines de clients Capita, dont 325 prestataires de régimes de retraite au Royaume-Uni.
En avril 2023, la société a annoncé qu’elle avait été ciblée par des pirates informatiques qui tentaient d’accéder à son environnement interne Microsoft 365, forçant certains systèmes à se déconnecter dans le cadre de sa réponse.
Une mise à jour trois semaines plus tard a confirmé que les pirates avaient accédé à 4% de l’infrastructure informatique interne de Capita et exfiltré des fichiers privés hébergés sur les systèmes piratés.
Le gang de ransomwares Black Basta a revendiqué l’attaque et a menacé de divulguer tous les fichiers volés à moins que l’entreprise ne paie une rançon.
Les pirates ont eu accès pendant 58 heures
La cyberattaque s’est produite le 22 mars 2023, lorsqu’un employé de Capita a téléchargé un fichier malveillant permettant aux pirates d’accéder au réseau interne de l’entreprise.
L’OIC commente que, même si la violation a été détectée dans les 10 minutes, Capita n’a pas réussi à isoler l’appareil infecté pendant 58 heures supplémentaires, ce qui a donné aux attaquants suffisamment de temps pour se déplacer latéralement, se propager sur le réseau et accéder aux bases de données sensibles.
« Ce fichier a permis le déploiement de logiciels malveillants sur le réseau Capita, permettant au pirate de rester dans le système, d’obtenir des autorisations d’administrateur et d’accéder à d’autres zones du réseau », a déclaré le Bureau du commissaire à l’information
« Entre le 29 et le 30 mars 2023, près d’un téraoctet de données a été exfiltré. Le 31 mars 2023, un ransomware a été déployé sur les systèmes Capita et le pirate a réinitialisé tous les mots de passe des utilisateurs, empêchant le personnel de Capita d’accéder à leurs systèmes et à leur réseau”, déclare l’autorité britannique de protection des données.
Capita est désormais condamné à une amende pour de mauvais contrôles d’accès (absence de modèle de compte administrateur à plusieurs niveaux), réponse tardive aux alertes de sécurité, exploitation d’un centre d’opérations de sécurité en sous-effectif et échec des tests d’intrusion réguliers et des exercices de gestion des risques.
Le PDG de Capita, Adolfo Hernandez, a annoncé le règlement avec ICO, soulignant les efforts et les investissements consacrés au renforcement de la position de l’entreprise en matière de cybersécurité depuis l’incident.
L’exécutif a également noté qu’il ne s’attendait pas à ce que le paiement de l’amende ait un impact sur les conseils aux investisseurs précédemment publiés.