### La violation et son impact **South Staffordshire Water**, qui fournit de l'eau potable à 1,6 million de consommateurs chaque jour, a révélé une cyberattaque en 2022 qui a perturbé ses opérations informatiques. Bien qu'elle ait initialement minimisé les affirmations du groupe de ransomware **Cl0p** (qui avait initialement mal identifié sa victime), l'enquête de l'ICO a confirmé l'authenticité des données divulguées, retraçant la compromission initiale jusqu'à septembre 2020. L'annonce de l'ICO a déclaré : « Nous avons infligé une amende à South Staffordshire Plc et South Staffordshire Water Plc (ensemble South Staffordshire) de 963 900 £ suite à une grave cyberattaque qui a entraîné l'extraction et la publication d'informations personnelles de 633 887 personnes sur le dark web. » Selon l'ICO, les attaquants ont obtenu l'accès par une attaque de phishing, installant un malware qui est resté indétecté pendant 20 mois. Entre mai et juillet 2022, ils ont escaladé leurs privilèges et obtenu un accès d'administrateur de domaine. La violation n'a été découverte qu'en juillet 2022 en raison de problèmes de performance informatique. Les données compromises comprenaient les noms complets, adresses, adresses e-mail, numéros de téléphone, dates de naissance, identifiants de compte client, détails de compte bancaire et données RH des employés, y compris les numéros de sécurité sociale. ### Défaillances de sécurité identifiées L'ICO a identifié plusieurs défaillances de sécurité critiques qui ont contribué à l'exposition des données : * Contrôles insuffisants pour empêcher l'escalade des privilèges * Surveillance ne couvrant qu'environ 5 % de l'environnement informatique * Utilisation de logiciels obsolètes, tels que **Windows Server 2003** * Mauvaise gestion des vulnérabilités et absence de correctifs de sécurité * Absence de scans de sécurité internes et externes réguliers Ces défaillances constituaient une violation claire de la réglementation britannique sur la protection des données, entraînant une amende substantielle. L'amende initiale a été réduite de 40 % car **South Staffordshire** a admis sa responsabilité, coopéré à l'enquête et accepté de régler sans appel.