Skip to content
Cyber Breaches
Recherche
RançongicielRésolu

Attaque par rançongiciel de Capita

Une intrusion du rançongiciel Black Basta chez le géant britannique de l'externalisation Capita a exposé les données de pension et personnelles d'environ 6,6 millions de personnes, entraîné une amende de 14 millions de livres de l'ICO et coûté plus de 25 millions de livres à l'entreprise.

Victime
Capita
Perte
$32.0M
données
6.6M
utilisateurs
6.6M
Secteurbusiness-services
PaysRoyaume-Uni
GroupeBlack Basta
Attaquants nommésGroupe de rançongiciel Black Basta

Le 31 mars 2023, le géant britannique de l'externalisation et des processus métier Capita a confirmé un incident cyber qui s'est révélé être une intrusion du rançongiciel Black Basta — l'une des violations les plus lourdes de conséquences de l'histoire récente des entreprises britanniques, compte tenu du vaste portefeuille de contrats gouvernementaux et d'administration de pensions de Capita.

Ce qui s'est passé

Les opérateurs de Black Basta ont accédé au réseau de Capita le 22 mars 2023. Les outils de surveillance de Capita ont déclenché une alerte prioritaire en 10 minutes, et un confinement automatisé a été partiellement amorcé. Mais l'entreprise n'a pas mis en quarantaine l'appareil compromis pendant 58 heures, durant lesquelles les attaquants se sont déplacés latéralement, ont élevé leurs privilèges et exfiltré des données avant de déployer le rançongiciel. Capita a déconnecté une partie de son infrastructure pour limiter la propagation.

Impact

  • Les données personnelles d'environ 6,6 millions de personnes ont été compromises, dont des dossiers de pension, des données du personnel et des données clients appartenant aux clients de Capita.
  • Capita Pension Solutions, qui traite les données de plus de 600 régimes de pension, a indiqué que 325 organisations clientes étaient touchées. Les types de données volées comprenaient noms, adresses, numéros d'assurance nationale, coordonnées bancaires, scans de passeports et de permis de conduire, et informations de vérification de casier judiciaire.
  • Capita a déclaré des coûts de réponse directs d'environ 25,3 millions de livres et indiqué que l'attaque avait contribué à une perte annuelle de 106,6 millions de livres pour 2023.

Action réglementaire

Le 15 octobre 2025, l'Information Commissioner's Office (ICO) a infligé à Capita une amende de 14 millions de livres — répartie entre Capita plc (8 millions) et Capita Pension Solutions (6 millions) — pour défaut de sécurisation des données personnelles. L'ICO avait initialement proposé une sanction de 45 millions de livres, réduite après que Capita a démontré des améliorations de sécurité post-incident, fourni 12 mois de surveillance de crédit aux personnes concernées et coopéré à l'enquête. Le régulateur a souligné le délai de 58 heures pour isoler l'appareil compromis comme un manquement central.

Pourquoi c'est important

Capita est tissé dans la trame des services publics britanniques — gérant des régimes de pension, des systèmes administratifs des collectivités locales et des contrats du gouvernement central. La violation a montré comment un seul prestataire d'externalisation peut devenir un risque systémique de protection des données affectant des millions de citoyens qui n'ont jamais choisi de lui confier leurs données. Le raisonnement de l'ICO a fait de la rapidité de détection-confinement, et non seulement de la prévention, une exigence réglementaire explicite, la fenêtre de 58 heures de Capita servant de référence d'avertissement.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
32.0M
USD · 32 000 000 $US
  • Amendes & règlements$18.0M

Chronologie

  1. Les attaquants de Black Basta accèdent au réseau de Capita ; une alerte de sécurité prioritaire se déclenche en 10 minutes mais l'appareil compromis n'est pas isolé.

  2. Capita confirme publiquement un « incident cyber » après que l'appareil a finalement été mis en quarantaine quelque 58 heures après l'alerte initiale.

  3. Black Basta référence Capita sur son site de fuite du dark web et commence à publier les données volées ; Capita reconnaît l'exfiltration de données.

  4. Capita confirme que des données personnelles ont probablement été compromises et commence à notifier les régimes de pension et les clients entreprises.

  5. Capita indique que l'attaque a contribué à une perte annuelle de 106,6 millions de livres, avec des coûts de réponse directs d'environ 25,3 millions de livres.

  6. L'ICO inflige à Capita une amende de 14 millions de livres pour ne pas avoir sécurisé les données personnelles d'environ 6,6 millions de personnes.

Sources

  1. ico.org.ukhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/
  2. computerweekly.comhttps://www.computerweekly.com/news/366632591/ICO-fines-Capita-14m-after-ransomware-caused-major-data-breach
  3. theregister.comhttps://www.theregister.com/2024/03/06/capita_says_2023_cyberattack_recovery/
  4. computerweekly.comhttps://www.computerweekly.com/news/366537238/Black-Basta-ransomware-attack-to-cost-Capita-over-15m

Incidents liés