Résumé
- L'incident cyber de Capita en mars 2023 est devenu un test de responsabilité en matière d'externalisation car il a combiné perturbation des services, exfiltration de données, dépendance de clients publics et privés, exposition de données de retraite, divulgation des coûts de rétablissement et conclusions ultérieures du régulateur.
- La question pratique est de savoir qui avait le contrôle sur la segmentation des systèmes externalisés, la continuité des services publics, le périmètre des données affectées, la notification des clients, la divulgation des coûts de rétablissement, l'assurance des données de retraite et la preuve qu'un incident chez un fournisseur n'est pas devenu un angle mort pour le secteur public.
- La page d'incident de Capita à l'adressehttps://www.capita.com/about-us/responsible-business/cyber-incident-what-happened-and-how-we-responded, sa mise à jour d'avril 2023 àhttps://www.capita.com/news-and-insights/news/2023/update-cyber-incidentet sa mise à jour de mai 2023 àhttps://www.capita.com/news-and-insights/news/2023/update-actions-taken-resolve-cyber-incidentsont considérées comme des preuves primaires de l'entreprise pour les déclarations publiques et le cadre du rétablissement.
- Le communiqué de l'ICO en 2025 àhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/et l'avis d'amende àhttps://ico.org.uk/media2/pv5nhks4/capita-plc-and-cpsl-monetary-penalty-notice.pdfsont considérés comme des preuves réglementaires primaires pour les conclusions sur la protection des données, la population affectée et les faiblesses de contrôle.
- Le rapport du régulateur des pensions àhttps://www.thepensionsregulator.gov.uk/en/document-library/enforcement-activity/regulatory-intervention-reports/capita-cyber-security-incident-regulatory-intervention-reportet les documents USS àhttps://www.uss.co.uk/for-members/capita-cyber-incident-hubmontrent comment un incident chez un fournisseur est devenu un problème de responsabilité pour les trustees, les membres et l'administration des retraites.
Pourquoi ce cas appartient à un dossier de risque et de responsabilité
Capita appartient à un dossier de risque et de responsabilité car l'externalisation sépare délibérément la propriété du service de l'exécution opérationnelle. Une collectivité locale, un trustee de caisse de retraite, un organisme gouvernemental, un assureur, un service public, un client de soins de santé, un employeur ou un client privé peut conserver des obligations légales envers les personnes, mais un fournisseur peut contrôler les plateformes, les flux de travail du personnel, les identifiants, les magasins de fichiers, les centres d'appels, les systèmes d'administration et les preuves de rétablissement.
Lorsque le fournisseur est attaqué, la personne affectée ne fait pas l'expérience d'une frontière nette entre le fournisseur privé et le devoir public. Un membre de caisse de retraite interroge le régime. Un citoyen interroge la municipalité. Un client interroge Capita. Un régulateur interroge tous pour montrer ce qui s'est passé.
La propre page d'incident de Capita àhttps://www.capita.com/about-us/responsible-business/cyber-incident-what-happened-and-how-we-respondedindique qu'en mars 2023, l'entreprise a connu un incident cyber qui a conduit à un accès non autorisé à certains systèmes informatiques et à une perturbation de certains services clients. Capita a déclaré que l'attaque a été interrompue le 31 mars et que les services ont été rétablis peu après. La mise à jour du 20 avril àhttps://www.capita.com/news-and-insights/news/2023/update-cyber-incidentindiquait que l'enquête avait identifié des preuves d'une exfiltration limitée de données provenant d'une petite partie du parc de serveurs affecté, et que Capita travaillait avec des conseillers spécialisés et des clients pour enquêter et notifier le cas échéant.
Le dossier public ultérieur a alourdi l'incident. Le communiqué de l'ICO d'octobre 2025 àhttps://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/indiquait que le régulateur avait infligé une amende totale de 14 millions de livres à Capita plc et Capita Pension Solutions Limited pour des manquements à la protection des données après une cyberattaque affectant plus de 6 millions de personnes. L'avis d'amende àhttps://ico.org.uk/media2/pv5nhks4/capita-plc-and-cpsl-monetary-penalty-notice.pdfexpose les conclusions du régulateur, y compris l'accès non autorisé, l'exfiltration à grande échelle, les faiblesses des mesures techniques et organisationnelles, et le rôle de Capita Pension Solutions Limited dans le traitement des données liées aux retraites.
Cet article traite le dossier de l'entreprise, le dossier réglementaire, le dossier du régulateur des pensions, les avis aux clients, le rapport annuel et les reportages réputés comme différentes couches de preuves. Il ne prétend pas avoir accès aux rapports médico-légaux privés de Capita, aux dossiers complets client par client, aux documents des forces de l'ordre, aux journaux de rétablissement complets ou à tous les enregistrements de services affectés. Il n'adopte pas non plus les reportages publics sur l'identité de l'attaquant comme un fait confirmé par l'entreprise.
Les faits relevant de la responsabilité sont déjà graves sans attribution non étayée: un accès non autorisé s'est produit, certains services ont été perturbés, des données ont été exfiltrées, de nombreuses personnes ont été affectées et les régulateurs ont ensuite constaté des manquements à la protection des données.
La question centrale est pratique. Qui avait le contrôle sur la segmentation des systèmes externalisés, la continuité des services publics, le périmètre des données affectées, la notification des clients, la divulgation des coûts de rétablissement, l'assurance des données de retraite et la preuve qu'un incident chez un fournisseur n'est pas devenu un angle mort pour le secteur public? La réponse commence par Capita car Capita contrôlait ses systèmes centraux, la réponse aux incidents, les communications avec les clients, l'environnement d'administration des retraites et la production de preuves.
Elle ne s'arrête pas à Capita, car les clients et les trustees conservaient des obligations envers leurs propres populations.
La chronologie a transformé une panne de fournisseur en un problème de périmètre de données
Le premier problème public a été la perturbation des services. The Guardian a rapporté le 3 avril 2023 àhttps://www.theguardian.com/business/2023/apr/03/capita-blames-cyber-attack-outage-it-systemsque Capita avait attribué une panne à une cyberattaque alors que l'entreprise s'efforçait de rétablir ses systèmes informatiques. La première déclaration publique de Capita décrivait une perturbation principalement autour des applications internes Microsoft Office 365. Ce cadrage importait car une panne de fournisseur peut être traitée comme un problème opérationnel si les services reviennent rapidement et que les données restent protégées. En quelques semaines, cependant, la question de la responsabilité s'est déplacée vers l'exfiltration et la notification des clients.
La mise à jour de l'entreprise du 20 avril àhttps://www.capita.com/news-and-insights/news/2023/update-cyber-incidentindiquait que Capita avait contenu l'attaque, rétabli l'accès des employés à Microsoft Office 365 et trouvé des preuves d'une exfiltration limitée de données provenant du parc de serveurs affecté. Le même jour, The Guardian rapportait àhttps://www.theguardian.com/business/2023/apr/20/capita-admits-customer-data-may-have-been-breached-during-cyber-attackque les données des clients, du personnel et des fournisseurs avaient peut-être été consultées. Le libellé exact a modifié le problème de responsabilité. Une panne temporaire demande: à quelle vitesse les services ont-ils été rétablis? L'exfiltration de données demande: quelles données personnelles ont été copiées, qui était le responsable du traitement ou le sous-traitant, quels avis étaient requis et quelles preuves étayent la réponse?
La mise à jour du 10 mai àhttps://www.capita.com/news-and-insights/news/2023/update-actions-taken-resolve-cyber-incidentindiquait que Capita avait pris des mesures importantes pour récupérer et sécuriser les données dans le parc de serveurs affecté, remédier aux problèmes découlant de l'incident et renforcer les défenses cyber. Elle donnait également une fourchette de coûts publics pour les honoraires de spécialistes, le rétablissement, la remédiation et les investissements en sécurité. Les reportages publics àhttps://www.theguardian.com/business/2023/may/10/cyber-attack-to-cost-outsourcing-firm-capita-up-to-20mdécrivaient cette facture prévue entre 15 et 20 millions de livres, et des reportages ultérieurs àhttps://www.theguardian.com/business/2023/aug/04/cyber-attack-to-cost-outsourcing-firm-capita-up-to-25mdécrivaient un coût prévu allant jusqu'à 25 millions de livres.
Les coûts importent, mais ils ne sont pas la même chose que la réparation. Une facture de rétablissement élevée peut indiquer un travail sérieux, mais elle ne prouve pas la segmentation, le moindre privilège, la surveillance, le périmètre spécifique au client ou la qualité des avis aux membres. Le rapport annuel 2023 de Capita àhttps://www.capita.com/dam/documents/investors/results-reports-presentations/2023/full-year-results-2023/Capita-plc-Annual-Report-and-Accounts-2023.pdfest utile car il replace l'incident dans le contexte des risques, de la remédiation, des coûts et de la transformation de l'entreprise. Les investisseurs avaient besoin de connaître l'impact financier. Les clients avaient besoin de connaître l'impact sur les services et les données. Les personnes affectées avaient besoin de connaître l'impact personnel. Ce sont des dossiers liés mais pas identiques.
La chronologie médico-légale décrite plus tard par l'ICO a rendu le récit du rétablissement des services incomplet. L'avis d'amende de l'ICO comprend une vision réglementaire plus détaillée de l'accès, de la détection, de la réponse, des contrôles des comptes, de l'exfiltration de données et des personnes affectées. Le point important en matière de responsabilité n'est pas de raconter chaque étape technique comme si les lecteurs publics pouvaient la valider indépendamment. Il s'agit d'observer que la première mise à jour opérationnelle d'un fournisseur contient rarement l'image complète du risque de données.
Les clients de l'externalisation ont donc besoin de contrats et de manuels d'incident qui supposent que la première mise à jour est provisoire et exigent des preuves ultérieures.
L'externalisation déplace le contrôle, pas le devoir public
L'externalisation des services publics est attrayante car des entreprises spécialisées peuvent gérer à grande échelle l'administration, le contact client, les processus de paiement, les plateformes de retraite, le traitement des dossiers, le support technologique et les flux de travail de back-office. Cette échelle peut améliorer les coûts, le personnel et l'automatisation. Elle peut également concentrer les risques. Si les systèmes centraux, le modèle d'identité, les magasins de fichiers ou la surveillance de sécurité d'un seul fournisseur sont faibles, de nombreux organismes publics et privés peuvent découvrir leur exposition en même temps.
Le modèle commercial de Capita mettait cette concentration en évidence. Son rapport annuel décrit un groupe fournissant des services de processus d'entreprise, l'expérience client, le numérique, les logiciels et le soutien aux services publics dans tous les secteurs. Le public n'avait pas besoin de comprendre chaque contrat pour saisir la dépendance. La panne d'avril 2023 a immédiatement suscité des inquiétudes car Capita était associé à des services touchant les collectivités locales, la santé, la défense, l'éducation, les retraites et les clients privés. Les reportages publics réputés, y compris l'article d'avril du Guardian et le reportage de la BBC àhttps://www.bbc.com/news/technology-65746599sur les organisations signalant des violations de données à l'ICO, ont capté la rapidité avec laquelle l'incident est passé d'une perturbation d'entreprise à une préoccupation d'institution en aval.
Le problème de responsabilité est qu'un organisme public ne peut pas externaliser sa relation publique. Une municipalité peut contracter avec un fournisseur, mais un citoyen demande toujours à la municipalité pourquoi un service était indisponible ou pourquoi ses données personnelles ont été exposées. Un régime de retraite peut utiliser un administrateur, mais un membre demande toujours au trustee ce qui est arrivé à son dossier. Un ministère peut s'appuyer sur une chaîne d'externalisation, mais le Parlement, les auditeurs, les régulateurs et les utilisateurs du service jugent toujours le résultat public.
Le fournisseur peut avoir le contrôle opérationnel, tandis que l'organisme public conserve le risque de légitimité.
C'est pourquoi les preuves d'achat importent avant l'incident. Les clients devraient savoir quels systèmes de Capita détiennent leurs données, quelles entités de Capita les traitent, si les données sont séparées par client, quels comptes privilégiés peuvent y accéder, comment les alertes de sécurité sont triées, comment les sauvegardes sont protégées, où les données sont stockées, si des sous-traitants sont impliqués, comment les avis d'incident sont émis et quelle assurance indépendante est disponible. Si ces questions ne sont posées qu'après une violation, le client a déjà cédé trop de contrôle.
Il en va de même pour la continuité des services. La continuité du secteur public ne se mesure pas seulement à la capacité de Capita à rétablir ses propres applications internes. Elle se mesure à la capacité des personnes à accéder aux services, au fonctionnement des centres d'appels, à la poursuite des calculs de retraite, aux retards dans les processus des collectivités locales, à l'impact sur les flux de travail de santé ou de prestations, à la capacité du personnel à utiliser des procédures de repli et à la capacité des clients à expliquer la perturbation.
Un incident chez un fournisseur peut devenir un angle mort pour le service public si les mesures de continuité restent internes au fournisseur.
Les dossiers de retraite ont rendu la chaîne de preuves visible
Les retraites sont devenues l'un des exemples publics les plus clairs car les régimes de retraite ont des trustees, des administrateurs, des membres, des régulateurs et des obligations en matière de données identifiables. Le rapport d'intervention du régulateur des pensions àhttps://www.thepensionsregulator.gov.uk/en/document-library/enforcement-activity/regulatory-intervention-reports/capita-cyber-security-incident-regulatory-intervention-reportindique qu'il a travaillé avec Capita pour évaluer le risque pour les régimes de retraite et les membres suite à l'incident de cybersécurité et a formulé des leçons pour les trustees. Ce rapport est important car il traite l'incident non seulement comme un événement Capita, mais comme un événement de gouvernance du régime.
Le centre d'information USS àhttps://www.uss.co.uk/for-members/capita-cyber-incident-hubindiquait que Capita avait informé USS le 11 mai 2023 que les données des membres d'USS avaient été consultées, et USS a commencé à informer les membres à partir du 12 mai. USS a déclaré qu'il utilisait la plateforme Hartlink de Capita pour soutenir les processus internes d'administration des retraites, et que les données concernées se trouvaient dans des fichiers générés par Capita à partir de Hartlink et stockés séparément sur les serveurs de Capita pour des processus opérationnels. C'est exactement le type de chaîne de dépendance qu'un membre affecté ne peut pas voir sans que le régime et le fournisseur ne l'expliquent.
Les questions fréquemment posées par USS àhttps://www.uss.co.uk/for-members/capita-cyber-incident-hub/frequently-asked-questionsajoutaient des détails pratiques pour les membres, y compris les catégories de données et des conseils sur les mesures de protection. La réponse d'USS au rapport du régulateur des pensions àhttps://www.uss.co.uk/for-members/capita-cyber-incident-hub/response-to-the-reportreplaçait l'incident dans un cadre de réponse des trustees et de leçons apprises. Le rapport du Guardian du 12 mai àhttps://www.theguardian.com/business/2023/may/12/capita-cyber-attack-uss-pension-fund-members-details-may-have-been-stolendécrivait le risque pour les données des membres et le conseil de Capita de travailler en partant du principe que les données avaient été consultées ou copiées lorsque la confirmation n'était pas définitive.
C'est le problème de responsabilité de l'externalisation en miniature. Capita contrôlait la plateforme d'administration et les fichiers. USS avait des obligations envers les membres. Les membres avaient le moins d'informations et l'exposition personnelle la plus élevée. Le régulateur devait évaluer la réponse des trustees et les leçons plus larges pour les régimes. La question n'est pas seulement de savoir si un fichier a été copié. Il s'agit de savoir si le système composé du fournisseur, du trustee, du régulateur et de la communication avec les membres a fonctionné assez rapidement et assez spécifiquement.
Les données de retraite ne sont pas des données de contact ordinaires. Elles peuvent inclure des noms, des dates de naissance, des numéros d'assurance nationale, des adresses, des salaires, des emplois, des prestations, le statut d'affiliation et le contexte de planification de la retraite. Elles peuvent être utilisées pour le risque d'identité, le ciblage financier, l'ingénierie sociale et une anxiété à long terme. Un membre d'une caisse de retraite peut ne plus être un employé actif. Il peut être retraité, malade, dépendant de prestations ou difficile à contacter.
La conception de l'avis doit tenir compte de cette population, pas seulement des travailleurs numériquement confiants.
Les faits confirmés, les inférations étayées et les inconnues doivent rester séparés
Les faits publics confirmés sont substantiels. Capita a divulgué un accès non autorisé à certains systèmes informatiques et une perturbation de certains services clients. Il a ensuite divulgué des preuves d'une exfiltration limitée de données provenant d'une petite partie du parc de serveurs affecté. L'ICO a infligé une amende à Capita plc et Capita Pension Solutions Limited après avoir constaté des manquements à la protection des données affectant plus de 6 millions de personnes. Le régulateur des pensions a publié un rapport sur l'incident de cybersécurité et les leçons pour les régimes de retraite.
USS et d'autres avis publics ont confirmé l'activité de notification aux membres. Capita a divulgué les coûts de rétablissement et de remédiation. Ces faits suffisent à étayer un dossier de responsabilité en matière de risque.
Les inférations étayées sont également claires mais doivent rester limitées. Il est raisonnable d'inférer que de nombreux clients ne pouvaient pas déterminer indépendamment le périmètre des données sans Capita car les fichiers et systèmes pertinents se trouvaient dans des environnements contrôlés par Capita. Il est raisonnable d'inférer que les trustees des caisses de retraite avaient besoin de preuves du fournisseur avant d'émettre des avis précis aux membres.
Il est raisonnable d'inférer que la concentration de l'externalisation a accru la complexité de la coordination car de nombreux clients et régimes dépendaient de l'enquête d'un seul fournisseur. Il est raisonnable d'inférer que des faiblesses dans les comptes privilégiés ou les contrôles de surveillance peuvent transformer un incident initial sur un terminal en une exposition de données plus large si les conclusions du régulateur montrent ces faiblesses.
Des inconnues subsistent. Le dossier public ne fournit pas chaque contrat client, chaque fichier affecté, chaque personne concernée, chaque détail de perturbation de service, chaque pont d'incident privé, chaque contact avec les forces de l'ordre, chaque artefact médico-légal, chaque journal de restauration, chaque paquet de notification spécifique au client ou chaque artefact de preuve de remédiation. Il ne prouve pas que les données de chaque personne affectée ont été utilisées à mauvais escient. Il ne prouve pas que tous les services de Capita ont été affectés.
Il ne permet pas de nommer un groupe d'attaquants comme un fait confirmé par l'entreprise dans cet article. Le dossier de responsabilité est plus solide lorsque les inconnues ne sont pas déguisées en faits.
Cette distinction est particulièrement importante dans les services publics. Si les fonctionnaires ou les fournisseurs surestiment la certitude, ils peuvent sous-notifier les personnes. S'ils surestiment le préjudice, ils peuvent créer une panique évitable. Un bon avis devrait indiquer ce qui est confirmé, ce qui est supposé par sécurité, ce qui est encore en cours d'investigation, ce que la personne peut faire, ce que le fournisseur fait, ce que le client fait et quand la prochaine mise à jour arrivera. Le cas de Capita montre que les clients ont besoin du droit contractuel d'exiger ces catégories de la part des fournisseurs.
La même discipline s'applique aux conclusions du régulateur. L'avis de l'ICO est une preuve faisant autorité pour l'application de la protection des données au Royaume-Uni. Il ne remplace pas les dossiers opérationnels client par client. Le rapport du régulateur des pensions est une preuve faisant autorité pour la surveillance des régimes de retraite et les leçons. Ce n'est pas un rapport médico-légal public complet. Le rapport annuel de Capita est une preuve faisant autorité de l'entreprise pour le contexte financier et de risque. Il ne suffit pas à dire à un membre si son dossier exact a été copié. Chaque source a un rôle.
L'automatisation des logiciels d'entreprise peut masquer le risque de mode commun
L'incident de Capita appartient au sujet de l'automatisation des logiciels d'entreprise car l'administration externalisée est souvent automatisée via des plateformes partagées, des processus de génération de fichiers, des outils de flux de travail, des services d'identité, des systèmes de centres d'appels et des tâches de reporting. L'automatisation réduit les coûts manuels. Elle crée également un risque de mode commun lorsque plusieurs clients dépendent de la même architecture.
Une faiblesse dans un compte privilégié, un magasin de fichiers, un processus de surveillance ou un flux de travail d'alerte peut affecter de nombreux clients avant qu'un seul client ne voie le schéma complet.
L'avis d'amende de l'ICO est utile car il traite les contrôles de sécurité comme des mesures organisationnelles, et non comme des paramètres techniques isolés. Il aborde la responsabilité à l'échelle du groupe Capita, le traitement par Capita Pension Solutions Limited, les politiques de sécurité, l'audit interne, l'accès privilégié, les tests d'intrusion, la gestion des alertes et la réponse. C'est le bon niveau pour la responsabilité de l'externalisation. Un client n'achète pas seulement une fonction logicielle. Il achète la gouvernance du fournisseur sur cette fonction.
Les conseils du NCSC sur l'atténuation des logiciels malveillants et des ransomwares àhttps://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks, la prévention des mouvements latéraux àhttps://www.ncsc.gov.uk/guidance/preventing-lateral-movementet la sécurité de la chaîne d'approvisionnement àhttps://www.ncsc.gov.uk/collection/supply-chain-securityfournissent un langage de contrôle public pour ce cas. Ces sources ne formulent pas de conclusions sur Capita. Elles définissent les attentes de contrôle dont les clients devraient se soucier: réduire la surface d'attaque, séparer les réseaux, protéger l'accès privilégié, surveiller l'activité, répéter la réponse aux incidents et gérer le risque fournisseur.
Dans un environnement d'externalisation, les preuves d'automatisation devraient inclure des cartographies des données clients, des inventaires de comptes privilégiés, une couverture de journalisation, des dossiers de triage des alertes, la fermeture des vulnérabilités, la remédiation des tests d'intrusion, la validation des sauvegardes, des diagrammes de segmentation, des examens d'accès et des tests de continuité de service. Un fournisseur peut dire que les services ont été rétablis, mais un client a besoin de la preuve que le rétablissement n'a pas simplement reconnecté des systèmes vulnérables.
Un fournisseur peut dire que l'exfiltration de données était limitée, mais un client a besoin de la preuve que la limite a été établie par des preuves plutôt que par l'absence de plaintes.
Le défi est que certaines preuves ne peuvent pas être publiées en détail. Un fournisseur ne devrait pas mettre de diagrammes d'architecture sensibles dans un avis public. Mais il peut donner aux clients et aux régulateurs une assurance structurée: quelles classes de systèmes ont été affectées, quelles catégories de données étaient dans le périmètre, quels contrôles ont échoué, quels contrôles ont tenu, ce qui a été reconstruit, quels comptes ont été renouvelés, quelle surveillance a changé, quel examen indépendant a eu lieu et comment les futures alertes seront remontées.
C'est la différence entre le secret pour la sécurité et l'opacité par commodité.
La notification des clients est un devoir partagé avec un goulot d'étranglement de preuves
La notification des clients dans un incident fournisseur comporte au moins quatre niveaux. Premièrement, le fournisseur doit dire aux clients ce qui s'est passé et ce qui pourrait impliquer leurs données ou services. Deuxièmement, le client doit décider s'il y a une violation de données personnelles, un problème de continuité de service, une obligation de notification contractuelle ou une obligation réglementaire. Troisièmement, les personnes affectées ont besoin d'avis compréhensibles. Quatrièmement, les régulateurs et les trustees ont besoin de preuves que la réponse était adéquate.
Le cas de Capita montre à quelle vitesse ces niveaux se multiplient. The Guardian rapportait le 30 mai 2023 àhttps://www.theguardian.com/business/2023/may/30/capita-cyber-attack-data-breaches-icoqu'environ 90 organisations avaient signalé des violations de données personnelles détenues par Capita au régulateur des données britannique. Le reportage de la BBC àhttps://www.bbc.com/news/technology-65746599rapportait la même préoccupation publique fondamentale. Le nombre exact de notifications est moins important que la structure: un incident chez un fournisseur a généré de nombreuses décisions de clients.
Le goulot d'étranglement des preuves se situe chez le fournisseur. Les clients ont besoin de savoir si leurs données se trouvaient dans les systèmes affectés, si elles ont été consultées ou copiées, quelles catégories étaient impliquées, si les données étaient cryptées, combien de temps l'attaquant a eu accès, si les sauvegardes ou les journaux sont fiables, si la restauration du système a modifié le risque et quelles mesures de protection sont appropriées. Si le fournisseur ne donne que des déclarations génériques, les clients soit retardent les avis, soit sur-notifient. Les deux peuvent nuire à la confiance.
C'est là que la conception du contrat importe. Les contrats fournisseurs devraient définir des déclencheurs d'avis d'incident rapides, des obligations de périmètre de données, la coopération avec le régulateur, des rapports spécifiques au client, des droits d'audit, des attentes en matière d'accès privilégié, des exigences de séparation des données, des limites de conservation, des preuves de sauvegarde et de restauration et des responsabilités de communication. Ils devraient également définir qui paie pour le travail de réponse extraordinaire et le soutien aux personnes affectées.
Attendre après un incident pour négocier l'accès aux preuves est un mauvais contrôle.
Le rapport du régulateur des pensions concrétise la dimension des trustees. Les trustees devraient comprendre où sont détenues les données du régime, ce que les fournisseurs en font, comment les incidents seront remontés et comment informer les membres. L'incident cyber n'a pas supprimé le devoir des trustees. Il a testé si les trustees disposaient d'une gouvernance suffisante du fournisseur pour remplir ce devoir sous pression.
Cette leçon s'applique au-delà des retraites aux collectivités locales, aux services adjacents à la santé, aux entrepreneurs gouvernementaux et aux clients du secteur privé qui ont des obligations de type public envers des populations vulnérables.
Le coût du rétablissement n'est pas la même chose que la responsabilité publique
Les coûts de rétablissement et de remédiation de Capita étaient significatifs. La mise à jour de l'entreprise de mai 2023 et les reportages publics décrivaient les coûts attendus des spécialistes, du rétablissement, de la remédiation et de la cyberdéfense. Le reportage d'août décrivait des coûts attendus plus élevés. Le rapport annuel replace l'incident dans le cadre des rapports financiers et de la gestion des risques. Les investisseurs avaient besoin de ces chiffres car les incidents cyber affectent la trésorerie, les marges, les assurances, les réclamations, la confiance des clients et le risque contractuel futur.
Mais le coût n'est pas une preuve. Dépenser de l'argent pour des spécialistes ne prouve pas que les données ont été correctement délimitées. Acheter des outils ne prouve pas que les alertes sont triées. Payer une compensation ne prouve pas que le risque de récidive est contrôlé. Restaurer les systèmes ne prouve pas qu'ils ont été restaurés dans une architecture plus sûre. Un fournisseur peut absorber un choc financier alors que les clients et les personnes affectées manquent encore des preuves dont ils ont besoin.
Inversement, une entreprise peut mettre en œuvre des réparations solides qui ne sont pas visibles dans un chiffre de coût en titre.
La responsabilité publique exige des preuves de résultats. Les services ont-ils été rétablis aux niveaux convenus? Les personnes concernées ont-elles été notifiées correctement? Les régulateurs ont-ils été satisfaits des preuves? Les chemins d'accès privilégiés ont-ils été modifiés? Les conclusions des tests d'intrusion ont-elles été clôturées? Les unités commerciales affectées ont-elles été auditées? Les magasins de données clients ont-ils été cartographiés? Les processus de sauvegarde et de restauration ont-ils été testés? Des rapports spécifiques au client ont-ils été fournis? Les clients ont-ils modifié leur propre gouvernance?
Ce sont les questions qui transforment la dépense en réparation.
Le dossier d'amende de l'ICO rend cette distinction nette. Une amende en 2025 ne répare pas en soi l'incident de 2023. Elle énonce des conclusions, impose des conséquences et signale la norme qui a été manquée. La réponse publique de Capita au résultat de l'ICO fait partie du dossier ultérieur, mais le dossier de responsabilité devrait demander quels artefacts prouvent désormais un contrôle durable. Les personnes affectées n'ont pas seulement besoin d'une amende. Elles ont besoin de l'assurance que le fournisseur et les clients ont tiré la leçon opérationnelle.
La répartition des coûts importe également. Si un incident chez un fournisseur oblige les collectivités locales, les caisses de retraite, les employeurs ou les organismes publics à consacrer du temps de personnel, des frais juridiques, des efforts de centre d'appels, un soutien de surveillance et des dépenses de communication, ces coûts peuvent être déplacés du fournisseur vers l'écosystème des services publics. Un dossier de responsabilité complet devrait identifier non seulement les coûts de Capita, mais aussi les coûts des clients et les charges des personnes affectées.
Le titre du marché peut s'arrêter à la facture de remédiation de Capita. Le coût pour le service public se poursuit souvent ailleurs.
La souveraineté et la localité des données sont des contrôles opérationnels
La souveraineté des données dans ce cas ne concerne pas seulement l'emplacement du serveur. Il s'agit de savoir qui contrôle les dossiers de retraite, les données des employés, les données des citoyens, les dossiers de prestations, les notes des centres d'appels, les champs d'identité et les historiques de service; quels rôles RGPD UK s'appliquent; quel client est responsable du traitement ou sous-traitant; quelle entité de Capita traite quelles données; quels régulateurs supervisent quelles obligations; et quelles personnes affectées reçoivent un avis dans quel cadre juridique.
Les dossiers de l'ICO et du régulateur des pensions montrent pourquoi ces questions sont opérationnelles, pas académiques.
Les conseils de l'ICO sur les rançongiciels et la conformité à la protection des données àhttps://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/security/a-guide-to-data-security/ransomware-and-data-protection-compliance/sont utiles car ils traitent les rançongiciels et les incidents cyber comme des événements de protection des données personnelles où la confidentialité, l'intégrité, la disponibilité, la notification et les preuves importent toutes. Encore une fois, les conseils ne sont pas une conclusion spécifique à Capita. Ils sont un cadre pour comprendre pourquoi les systèmes externalisés qui détiennent des données personnelles nécessitent plus qu'une restauration informatique.
La localité importe également pour les personnes affectées. Un membre d'une caisse de retraite peut être au Royaume-Uni, retraité à l'étranger, ne plus travailler pour l'employeur d'origine ou être lié à un régime par le biais d'un service historique. Les données d'un citoyen peuvent être détenues par une municipalité qui utilise un entrepreneur. Un employé d'un organisme public peut avoir des dossiers du personnel traités par un administrateur externalisé. Les avis doivent atteindre les personnes par des canaux réels, pas seulement par un propriétaire de contrat.
La localité des données inclut la localité de la communication: qui peut trouver et informer la personne dont les données ont été exposées?
La cartographie des données du fournisseur fait donc partie de la continuité du secteur public. Elle devrait montrer où sont détenus les dossiers, quels clients les possèdent, quels systèmes génèrent des fichiers pour le traitement opérationnel, combien de temps les fichiers sont conservés, si des extraits temporaires existent, qui peut y accéder, quelles sauvegardes les contiennent et comment la suppression fonctionne. La divulgation d'USS concernant les fichiers générés à partir de Hartlink et stockés séparément sur les serveurs de Capita est un exemple utile car elle expliquait un chemin de données opérationnel autrement invisible.
Les membres pouvaient voir que le risque n'était pas simplement le "système de retraite" dans l'abstrait; il impliquait des fichiers générés détenus par un fournisseur.
La minimisation des données en fait partie. Si des fichiers sont générés pour des raisons opérationnelles, ils ne devraient pas rester disponibles plus longtemps que nécessaire. Si des comptes privilégiés peuvent accéder à de grands magasins de données, ils devraient être restreints, surveillés et segmentés. Si des alertes sont déclenchées, elles devraient être traitées rapidement. Si des tests d'intrusion identifient des configurations risquées, la remédiation devrait être suivie. Le dossier de l'ICO relie ces points de contrôle à la protection des données personnelles.
C'est ce qui fait de la localité un système de contrôle plutôt qu'un slogan.
Les acheteurs publics ont besoin de preuves avant le renouvellement
Le cas Capita montre également pourquoi les acheteurs publics, les trustees de caisses de retraite et les clients réglementés ne devraient pas attendre une violation avant de demander comment les preuves du fournisseur seront produites. Le renouvellement est le moment où un client peut transformer les leçons de l'incident en contrôles contractuels. Si le client renouvelle sur le seul prix, le niveau de service et la réputation générale, il peut préserver le même manque de preuves qui a rendu l'incident difficile à gérer.
Un contrat de service public devrait définir comment les cartographies de données, les attestations de sécurité, les rapports d'incident, les examens des accès privilégiés et les preuves de continuité de service seront produits pendant le fonctionnement normal.
Ces preuves devraient être pratiques. Une collectivité locale n'a pas besoin de chaque règle de pare-feu. Elle a besoin de savoir quels systèmes détiennent les données de ses résidents, comment ces systèmes sont segmentés des autres clients, comment l'accès administrateur est approuvé et revu, comment les fichiers générés sont stockés et supprimés, à quelle vitesse les alertes de sécurité à haut risque sont remontées et quel rapport elle recevra si un incident affecte ses données.
Un trustee de caisse de retraite a besoin de preuves similaires pour les dossiers des membres, les calculs de prestations, les fichiers d'adresses, les flux de paie, les vérifications de décès, les notes des centres d'appels et les magasins de documents. Le client devrait être en mesure d'expliquer la dépendance au fournisseur à une personne affectée avant que le fournisseur ne défaillle.
Les preuves de renouvellement devraient également inclure des exercices. Un plan d'incident papier est faible si le fournisseur, le client, le trustee, l'équipe juridique, l'équipe de communication et le processus de contact avec le régulateur n'ont jamais été testés ensemble.
Un exercice sur table peut poser des questions simples: qui reçoit la première alerte du fournisseur; qui décide si les membres ou les citoyens sont notifiés; quels champs de données minimaux sont nécessaires pour un avis légal; qui répond aux questions des médias; comment les replis de service sont activés; comment les preuves spécifiques au client sont préservées; et qui signe que le rétablissement est complet. Ces questions sont opérationnelles, pas théâtrales. Elles décident si un événement fournisseur devient une réponse coordonnée ou une semaine de messages improvisés.
Le processus de renouvellement devrait également inclure la planification de la sortie. L'externalisation peut créer un verrouillage lorsque le fournisseur détient des fichiers historiques, un historique de flux de travail, des connaissances utilisateur et des intégrations difficiles à déplacer. Si un incident cyber amène un client à reconsidérer la relation, le client a toujours besoin d'une extraction propre des données, d'un soutien à la transition et de la preuve que les anciennes copies du fournisseur sont supprimées ou conservées légalement.
Sans preuves de sortie, le client peut rester exposé à un environnement fournisseur même après avoir changé de stratégie.
Pour les caisses de retraite, cela est particulièrement important car les membres peuvent rester dans un régime pendant des décennies. Les administrateurs peuvent changer, les plateformes peuvent être migrées et les employeurs peuvent se restructurer, mais les dossiers des membres persistent. Les trustees devraient donc traiter l'assurance cyber du fournisseur comme faisant partie de la discipline fiduciaire. Il ne suffit pas de demander si l'administrateur peut calculer les prestations. L'administrateur doit être en mesure de protéger, localiser, expliquer et récupérer les données utilisées pour calculer ces prestations.
Les organismes publics sont confrontés au même problème de durabilité. Les citoyens peuvent interagir une fois avec un service municipal, puis leurs données sont conservées dans un flux de travail du fournisseur pendant des années. Un usager du service peut ne pas se souvenir du nom de l'entrepreneur. Si l'entrepreneur est victime d'une violation, l'organisme public doit encore expliquer l'exposition. Les contrôles de renouvellement, la minimisation des données, les droits d'audit et les voies de notification testées sont la manière dont l'organisme public évite de découvrir sa dépendance seulement après que les citoyens sont déjà affectés.
Ce qu'une réparation durable devrait prouver
Une réparation durable après l'incident Capita devrait prouver huit choses. Premièrement, elle devrait prouver le périmètre. Capita et les clients devraient savoir quels systèmes, unités commerciales, clients, fichiers, dossiers, lignes de service et catégories de personnes affectées étaient impliqués. Le périmètre devrait distinguer la perturbation de l'exfiltration, l'accès possible de la copie confirmée, et les données de Capita des données clients.
Deuxièmement, elle devrait prouver la segmentation. Les plateformes de services externalisés, les fichiers de retraite, les systèmes d'entreprise, les environnements clients, les comptes privilégiés, les systèmes de sauvegarde et les magasins de fichiers opérationnels ne devraient pas être accessibles via un seul chemin faible. Si la segmentation a échoué, la réparation devrait montrer ce qui a changé. Si la segmentation a tenu, la réparation devrait montrer quelles preuves soutiennent cette conclusion.
Troisièmement, elle devrait prouver le contrôle des accès privilégiés. Le dossier de l'ICO fait de l'accès privilégié une question centrale. Un dossier de réparation durable devrait inclure un inventaire des comptes, des modifications du moindre privilège, des restrictions sur les comptes de service, la surveillance, les règles d'alerte, la force de l'authentification et la gouvernance des exceptions. Les comptes privilégiés sont un risque pour le service public lorsqu'ils contrôlent des dossiers externalisés.
Quatrièmement, elle devrait prouver la discipline d'alerte et de réponse. Les alertes ne devraient pas rester non traitées pendant qu'un attaquant se déplace. Les opérations de sécurité devraient avoir des normes de triage, des seuils de remontée, une couverture en personnel, des règles de pont d'incident et une préservation des preuves. Le fournisseur devrait être en mesure d'expliquer comment une future alerte serait traitée différemment.
Cinquièmement, elle devrait prouver la qualité de la notification aux clients. Les clients devraient recevoir des rapports opportuns, spécifiques et basés sur les catégories de données qui permettent des avis légaux et des conseils pratiques. Les déclarations génériques ne suffisent pas lorsque les membres de caisses de retraite, les citoyens, les employés et les usagers du service ont besoin de savoir ce qui s'est passé.
Sixièmement, elle devrait prouver la continuité des services publics. Le rétablissement devrait être mesuré par rapport aux services que les gens utilisent, pas seulement à la disponibilité des applications internes. Si un service client a été dégradé, le dossier devrait enregistrer la durée, le repli, les utilisateurs affectés, la réconciliation et le rétablissement.
Septièmement, elle devrait prouver le contrôle de la conservation et de la génération de fichiers. Les fichiers générés, les extraits opérationnels, les enregistrements historiques, les sauvegardes et les magasins de traitement temporaires devraient avoir des calendriers de suppression et des contrôles d'accès. Les données qui n'existent que parce qu'un processus est pratique peuvent devenir un inventaire de violation.
Huitièmement, elle devrait prouver la gouvernance après l'application de la loi. L'amende de l'ICO, le rapport du TPR, les divulgations dans le rapport annuel et les avis aux clients devraient alimenter la surveillance du conseil d'administration, l'assurance du fournisseur, les normes d'approvisionnement, la gouvernance des trustees et l'examen indépendant. La réparation devrait être durable à travers les changements de direction et les renouvellements de contrat.
La responsabilité suit la surface de contrôle externalisée
La répartition finale suit le contrôle pratique. Capita contrôlait les systèmes affectés, les opérations de sécurité, le travail de rétablissement, la délimitation des données, les communications avec les clients, les preuves de remédiation et de nombreuses plateformes opérationnelles. Les clients contrôlaient leur gouvernance contractuelle, leurs choix en matière de données, leurs obligations publiques et leurs avis à leurs populations. Les trustees des caisses de retraite contrôlaient la responsabilité envers les membres et la supervision du fournisseur. Les régulateurs contrôlaient l'application de la loi et les leçons.
Les personnes affectées ne contrôlaient que des mesures de protection limitées après avoir été suffisamment informées pour agir.
Cette répartition ne signifie pas que Capita est responsable de chaque préjudice en aval allégué dans le débat public. Cela signifie que le fournisseur ayant le contrôle opérationnel avait le devoir le plus fort de produire des preuves rapidement et avec précision. Cela signifie également que les organismes publics et les trustees ne peuvent pas traiter l'externalisation comme un bouclier de responsabilité. Si un fournisseur de services publics est une dépendance critique, la supervision de ce fournisseur fait partie du service.
Le cas Capita reste important car il expose un problème récurrent du secteur public. L'externalisation peut donner l'impression que les services sont administrativement efficaces tout en masquant la surface de contrôle technique qui détient les données des citoyens et des membres. Lorsque cette surface de contrôle échoue, la personne affectée vit un seul événement: un service dont elle dépend et des données qu'elle n'a pas personnellement confiées au fournisseur deviennent soudainement incertains. Les contrats juridiques peuvent diviser la responsabilité, mais l'expérience publique ne le fait pas.
La leçon durable est que le risque cyber du fournisseur doit être gouverné comme un risque de continuité des services publics. Les contrats devraient exiger des preuves avant les incidents. Les incidents devraient produire des preuves structurées et spécifiques au client. Les régulateurs devraient tester à la fois les contrôles du fournisseur et la supervision du client. Les trustees et les organismes publics devraient expliquer les chaînes de dépendance avant que les membres et les citoyens ne soient forcés de les apprendre via des avis de violation.
L'incident cyber de 2023 de Capita est devenu un test de responsabilité pour les services publics car la vraie question n'était pas seulement de savoir si un externalisateur privé s'est rétabli. Il s'agissait de savoir si les personnes dépendant des services externalisés pouvaient voir, vérifier et faire confiance aux preuves du rétablissement.

