Une entreprise britannique de services publics fournissant de l'eau potable à 1,6 million de personnes n'a pas découvert les pirates informatiques cachés dans son réseau informatique pendant près de deux ans avant que l'intrusion ne soit révélée par un ralentissement des performances informatiques, a constaté le régulateur britannique de la protection des données. ### L'ICO inflige une amende à South Staffordshire Water Le **Information Commissioner's Office (ICO)** a infligé à **South Staffordshire Water** une amende de 963 900 £ (1,3 million de dollars) lundi pour une attaque du groupe de ransomware **Cl0p** qui a conduit à la publication des données personnelles de 633 887 clients et employés en août 2022. Selon l'avis de sanction, l'accès initial a eu lieu près de deux ans plus tôt, en septembre 2020, lorsqu'un employé a ouvert une pièce jointe d'e-mail malveillante, installant un logiciel qui a donné à l'attaquant un point d'ancrage sur le réseau de l'entreprise. L'acteur de la menace est ensuite resté caché jusqu'en mai 2022 avant de commencer à se déplacer latéralement à travers les systèmes en utilisant un compte d'administrateur de domaine, le plus haut niveau d'accès système disponible. L'entreprise n'a pas identifié l'intrusion avant juillet 2022, lorsque les problèmes de performances informatiques ont déclenché une enquête interne. Deux semaines plus tard, l'entreprise a découvert une note de rançon que l'attaquant avait tenté sans succès de distribuer à certains membres du personnel. Après l'incident, South Staffordshire a détecté environ 4,1 téraoctets de données publiées sur le dark web, y compris des noms, des adresses, des dates de naissance, des numéros de compte bancaire et des codes de tri, des numéros de sécurité sociale, et, pour un petit pourcentage de clients inscrits sur le registre des services prioritaires de l'entreprise, des informations à partir desquelles des handicaps pouvaient être déduits. ### Défaillances de sécurité exposées L'enquête de l'ICO a identifié quatre défaillances de sécurité spécifiques, notamment le non-respect du principe du moindre privilège – un contrôle standard qui limite l'accès des utilisateurs à ce qui est nécessaire pour leur rôle – permettant à l'acteur de la menace de se déplacer librement sur le réseau en utilisant un compte d'administrateur de domaine. En décembre 2021, plus d'un an après que l'attaquant a obtenu l'accès pour la première fois, un centre des opérations de sécurité externalisé ne surveillait que 5 % de l'environnement informatique de l'entreprise. Le tiers n'a pas été identifié dans le rapport de l'ICO, qui indiquait que la télémétrie des points d'extrémité et la journalisation n'étaient pas intégrées à la plateforme de surveillance de la sécurité de l'entreprise. Certains appareils fonctionnaient encore sous **Windows Server 2003**, un système d'exploitation dont le support étendu a pris fin en juillet 2015. Lorsqu'elle a été interrogée par l'ICO pour fournir des enregistrements de toute analyse de vulnérabilité interne ou externe effectuée entre septembre 2020 et mai 2022, l'entreprise a confirmé qu'aucune analyse de ce type n'existait pour l'une ou l'autre catégorie. Deux contrôleurs de domaine sont également restés non corrigés contre une vulnérabilité critique connue sous le nom de **ZeroLogon**, qui permet une escalade rapide des privilèges et a été publiée pour la première fois en août 2020. L'attaquant a exploité avec succès cette vulnérabilité lors de l'incident. « Attendre des problèmes de performance ou une note de rançon pour découvrir une violation n'est pas acceptable », a déclaré Ian Hulme, directeur exécutif par intérim de la supervision réglementaire de l'ICO, ajoutant que « la sécurité proactive est une exigence légale, pas une option supplémentaire ». ### Détails de l'incident et réactions La violation est devenue publique en août 2022 lorsque, dans une tentative d'extorsion maladroite, le groupe **Cl0p** a affirmé avoir volé des données à un autre fournisseur d'eau, **Thames Water**, qui dessert environ 15 millions de personnes à Londres et dans ses environs. À l'époque, le groupe avait affirmé être capable de modifier la composition chimique de l'approvisionnement en eau, bien que cela ait été contesté par South Staffordshire. L'avis de sanction ne fait aucune référence à une compromission des systèmes opérationnels ou de traitement de l'eau. L'ICO a classé les infractions dans la catégorie de gravité moyenne et a réduit l'amende totale en raison de la coopération de South Staffordshire, de son admission précoce de responsabilité et des mesures d'atténuation. Une réduction discrétionnaire supplémentaire a été appliquée, bien que le raisonnement soit expurgé dans l'avis publié. South Staffordshire a conclu un règlement volontaire plus tôt cette année, obtenant une réduction de 40 %, et a accepté de ne pas faire appel de la décision de l'ICO. ### Montée des cyberattaques contre les fournisseurs d'eau britanniques L'amende intervient alors que les fournisseurs d'eau britanniques sont confrontés à un nombre croissant de cyberattaques. Cinq incidents ont été signalés au Drinking Water Inspectorate entre janvier 2024 et octobre 2025 – un nombre record sur toute période de deux ans, comme l'a rapporté Recorded Future News, qui a obtenu les chiffres en vertu des lois sur la liberté d'information en novembre 2025. Ces rapports ont été faits volontairement. En vertu des réglementations NIS actuelles, les fournisseurs d'eau ne sont tenus de notifier les autorités que des incidents cybernétiques qui causent une perturbation réelle des approvisionnements. La violation de South Staffordshire, devenue publique en 2022, n'a pas atteint ce seuil. Le projet de loi sur la cybersécurité et la résilience du gouvernement britannique, destiné à élargir les exigences de notification obligatoire et à améliorer les normes de sécurité pour les opérateurs d'infrastructures critiques, devrait être présenté au Parlement cette année. ### Implications mondiales pour les infrastructures d'eau Bien qu'il y ait eu des attaques de ransomware contre les systèmes informatiques utilisés par les compagnies des eaux – y compris les entreprises qui ont fait les rapports ci-dessus au Royaume-Uni, et Aigües de Mataró en Espagne – il est extrêmement rare que les cyberattaques contre les fournisseurs d'eau perturbent réellement les services. Dans un cas rare d'attaque réussie sur un composant de technologie opérationnelle (OT), les résidents d'une région éloignée de la côte ouest de l'Irlande sont restés sans eau pendant plusieurs jours en décembre 2023 lorsqu'un groupe de pirates pro-iranien a ciblé sans discernement des installations utilisant un équipement que les pirates se sont plaints d'avoir été fabriqué en Israël. Le gouvernement fédéral américain avait émis un avertissement concernant l'exploitation des contrôleurs logiques programmables (PLC) **Unitronics** utilisés par de nombreuses organisations dans le secteur de l'eau. Les attaques contre les PLC, composants technologiques clés dans de nombreux systèmes de contrôle industriels, sont l'une des principales préoccupations des défenseurs des infrastructures critiques. Les initiatives visant à améliorer la sécurité des systèmes d'eau aux États-Unis ont échoué sous l'administration Biden lorsque des groupes de l'industrie de l'eau se sont associés à des législateurs républicains pour mettre un terme aux efforts fédéraux, malgré une augmentation significative du nombre d'attaques de ransomware et d'intrusions parrainées par des États. L'année dernière, les autorités canadiennes ont mis en garde contre un incident au cours duquel des hacktivistes ont modifié la pression de l'eau dans une compagnie locale parmi une série d'attaques interférant avec les systèmes de contrôle industriels. Le PDG de South Staffordshire, Charley Maher, a déclaré : « Nous acceptons la décision du Information Commissioner's Office concernant la cyberattaque que notre groupe a subie en 2022, et nous sommes désolés pour l'inquiétude et la préoccupation qu'elle a causées aux clients et aux employés. Nous avons pris des mesures immédiates pour contenir l'incident, soutenir les personnes touchées et réduire le risque de récidive. « Nous avons investi considérablement pour renforcer notre résilience en matière de cybersécurité, notre gouvernance et notre surveillance, et nous continuons d'améliorer nos capacités à mesure que le paysage des menaces évolue. La protection des informations des clients et des employés est une responsabilité que nous prenons extrêmement au sérieux, et nous restons concentrés sur l'apprentissage de cet incident et le maintien de garanties solides dans tout le Groupe. » <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">En savoir plus.</a> <a rel="noopener" href="https://therecord.media/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a> <a href="https://therecord.media/author/alexander-martin"><img src="https://cms.therecord.media/uploads/headshot_79eb085f87.jpeg" data-nimg="1" decoding="async" height="384" width="384" loading="lazy" alt="Alexander Martin"></a>