« Marks & Spencer: VĂȘtements impeccables, rĂ©seau informatique trouĂ© comme un vieux jean. »
Il y a des marques qui traversent les dĂ©cennies avec Ă©lĂ©gance. Et puis il y a Marks & Spencer (M&S), qui vient de traverser un mur Ă pleine vitesse, cĂŽtĂ© cybersĂ©curitĂ©. Le 21 mai dernier, la cĂ©lĂšbre enseigne britannique a Ă©tĂ© frappĂ©e de plein fouet par un ransomware signĂ© du trĂšs mĂ©diatique groupe DragonForce. RĂ©sultat ? Vente en ligne Ă lâarrĂȘt, direction informatique en PLS, et un joli communiquĂ© de presse aussi vide que la section lingerie aprĂšs NoĂ«l. Voir notre article du 22 mai
Mais voilĂ que lâhistoire prend une tournure encore plus croustillante : selon les derniĂšres estimations du Cyber Monitoring Centre (CMC), le coĂ»t cumulĂ© de cette petite sauterie numĂ©rique pourrait atteindre la bagatelle de 440 millions de livres sterling. Oui, quatre-cent-quarante-millions. De quoi se payer un nouveau plan cybersĂ©curitĂ©. Ou deux. Ou 73 000 pare-feux.
đ DragonForce, ou comment ruiner une enseigne centenaire en une journĂ©e
DragonForce, ce nâest pas seulement un groupe de metal pour ados Ă©mo⊠câest aussi une organisation cybercriminelle apparemment trĂšs au fait du calendrier commercial britannique. Cibler M&S juste avant le weekend des promotions, il fallait oser. Le genre dâhumour noir qui mĂ©rite presque un BAFTA.
Le ransomware utilisĂ© ? On nâen connaĂźt pas tous les dĂ©tails, mais Ă en juger par les dĂ©gĂąts, ce nâĂ©tait pas un script de stagiaire. Ventes en ligne KO, serveurs aux abonnĂ©s absents, fichiers chiffrĂ©s plus hermĂ©tiquement que la recette du Christmas pudding. Et derriĂšre, Co-op qui prend aussi une cartouche, parce que quitte Ă flinguer la grande distribution, autant faire un doublĂ©.
đž 440 millions, ça fait combien de cardigans bio ça ?
Le CMC nâa pas mĂąchĂ© ses mots : lâattaque est classĂ©e Ă©vĂ©nement systĂ©mique de catĂ©gorie 2. Pas un petit hack de bac Ă sable. Non, une attaque structurellement dangereuse pour le pays, comme on aime les qualifier quand on panique un peu dans les couloirs de Westminster.
Entre les pertes dâexploitation, les coĂ»ts de rĂ©ponse Ă incident, la reconstruction de lâIT, les campagnes de relations publiques en mode panique, et les amendes RGPD Ă venir si les donnĂ©es clients ont vraiment fuitĂ© (spoiler : elles ont probablement fuitĂ©), on arrive facilement Ă 440 millions de livres.
Et la question se pose : comment une enseigne de cette taille a pu tomber dans un panneau aussi classique ?
đ MFA, segmentation rĂ©seau⊠pas leur style manifestement
On aurait pu croire que, depuis 2021, toutes les grandes boĂźtes avaient compris que « sĂ©curitĂ© by design » nâĂ©tait pas juste un concept de powerpoint. Mais visiblement, chez M&S, les investissements SI se sont arrĂȘtĂ©s au design⊠pas Ă la sĂ©curitĂ©.
Les MFA ? Trop complexes.
La segmentation rĂ©seau ? Quelle horreur, ça ralentit lâaudit.
Les sauvegardes dĂ©connectĂ©es ? Elles sont dans un coin⊠peut-ĂȘtre… sur un disque dans un placard.
Bref, une architecture Ă lâancienne, aussi vulnĂ©rable que le mot de passe âMns2023!â sur un compte admin.
đĄïž Co-op dans la sauce aussi, mais tout le monde sâen fout
Ah oui, Co-op. Ils ont aussi Ă©tĂ© attaquĂ©s. Mais comme ils ne vendent pas de tailleurs Ă la mode, personne nâen parle. Pourtant, mĂȘme punition, mĂȘme racket, mĂȘmes erreurs. Et probablement, mĂȘmes consultants en cybersĂ©curitĂ© quâon appelle aprĂšs la fuite, jamais avant. On imagine dĂ©jĂ le call Teams du lundi matin :
â âBonjour, on a un souci.â
â âVous avez un backup ?â
â âCâest quoi, un backup ?â
đ§ Et maintenant, on fait quoi ?
M&S va sans doute annoncer un grand plan de transformation numĂ©rique 2.0 avec blockchain et IA dedans, parce que câest dans lâair du temps. On posera trois questions au RSSI Ă la prochaine rĂ©union, puis on retournera sâextasier sur les campagnes de pub de NoĂ«l. La seule chose qui changera vraiment, câest quâun budget cybersĂ©curitĂ© va tripler⊠trop tard.
Quant aux clients ? Leurs donnĂ©es sont probablement dĂ©jĂ en train de tourner sur un forum obscur, entre deux bases de chez British Airways et Ticketmaster. Mais ne vous inquiĂ©tez pas : ils ont eu droit Ă un mail de 17 lignes leur expliquant que M&S prend la sĂ©curitĂ© âtrĂšs au sĂ©rieux.â
đŻ En rĂ©sumĂ© :
- đ DragonForce 1 â M&S 0
- đ° JusquâĂ 440 MÂŁ de dĂ©gĂąts
- 𧻠Une sécurité aussi fine que du papier toilette
- đ Une image Ă©cornĂ©e plus vite quâun pull en cachemire en machine
- đ€Ą Et toujours pas de MFA gĂ©nĂ©ralisĂ© en 2025
Moralité ?
Vous vendez des fringues, pas des firewalls. Mais si vous oubliez que le retail est une cible dorée, préparez-vous à défiler sur le catwalk⊠du cyberdrame.
