Une cyberattaque bien taillée pour faire mal
Ce 21 mai 2025, l’historique enseigne britannique Marks & Spencer (M&S) s’est retrouvée sous les projecteurs… pas pour ses soldes, mais pour avoir été victime d’un ransomware mené par le groupe DragonForce. L’attaque a paralysé ses ventes en ligne, provoqué des pertes colossales, et mis en évidence — une fois encore — la fragilité numérique du secteur retail.
🐉 Qui est DragonForce ?
DragonForce est un groupe cybercriminel connu, actif depuis plusieurs années. Leurs actions mêlent revendications idéologiques, tactiques de double extorsion (vol + chiffrement des données) et une excellente capacité à exploiter des failles rapidement après leur divulgation.
Leur mode opératoire :
- Accès initial via phishing ou exploitation de failles non corrigées,
- Mouvement latéral pour prendre le contrôle des systèmes critiques (Active Directory, ERP),
- Chiffrement des données + exfiltration pour pression médiatique,
- Publication progressive des données si la rançon n’est pas payée.
💰 L’impact : des millions partis en fumée
- Site e-commerce paralysé pendant plusieurs jours.
- Pertes estimées à 300 millions de livres sterling pour l’exercice 2025/2026.
- Communication de crise activée, avec hotline dédiée pour les clients.
- Des données clients auraient été compromises (noms, adresses, historiques d’achat), mais pas les infos bancaires.
Ce genre d’incident rappelle à quel point une attaque numérique peut se traduire en dégâts très concrets sur le chiffre d’affaires.
🛠️ Que s’est-il passé côté technique ?
Les premiers éléments d’enquête pointent :
- Une compromission via des identifiants réutilisés d’un partenaire IT,
- L’exploitation rapide d’un outil interne non patché (type Citrix ou MOVEit),
- Une montée en privilèges via un compte AD non surveillé,
- Le déploiement du ransomware via PSExec ou GPO sur l’ensemble du parc Windows.
Autrement dit : un scénario classique, mais redoutablement efficace.
🧩 Retail = cible parfaite ?
Le secteur du retail coche toutes les cases d’une cible de choix :
- Données clients et financières très attractives,
- Systèmes hétérogènes (ERP, caisse, e-commerce),
- Dépendance aux services en ligne pour générer du CA,
- Souvent une cybersécurité sous-investie par rapport au volume d’exposition.
Un attaquant sait qu’un site e-commerce down = pression maximale = rançon plus probable.
✅ Que faire si vous êtes dans le retail (ou pas) ?
- Mettez à jour vos accès tiers : les prestataires sont souvent la porte d’entrée.
- Analysez les comptes AD à privilèges : comptes dormants, mots de passe partagés, etc.
- Surveillez vos journaux d’événements (SIEM) : détection précoce = dégâts limités.
- Segmentez vos réseaux : un ransomware ne doit pas passer d’un service à l’autre comme une lettre à La Poste.
- Entraînez vos équipes : le phishing reste la première cause d’intrusion.
- Voir notre article sur les vulnérabilités par secteur : « Grande distribution & cybersécurité : quand les failles se glissent entre deux promos«
🧠 En résumé
- M&S victime d’un ransomware ciblé par DragonForce.
- Impact : centaines de millions de pertes, services paralysés, données volées.
- Cause probable : un accès externe compromis + défaut de patch.
- Leçon clé : même les géants du commerce doivent renforcer leur cyberdéfense.
🎯 Et maintenant ?
On ignore si la rançon a été payée, mais une chose est sûre : ce genre d’attaque va se répéter tant que les fondamentaux ne seront pas en place. Les acteurs du retail ont tout intérêt à penser sécurité comme une brique business à part entière, et non comme un coût accessoire.
👉 La cybersécurité ne protège pas que des données. Elle protège votre capacité à vendre, à exister, et à faire confiance.
