« Marks & Spencer: Vêtements impeccables, réseau informatique troué comme un vieux jean. »
Il y a des marques qui traversent les décennies avec élégance. Et puis il y a Marks & Spencer (M&S), qui vient de traverser un mur à pleine vitesse, côté cybersécurité. Le 21 mai dernier, la célèbre enseigne britannique a été frappée de plein fouet par un ransomware signé du très médiatique groupe DragonForce. Résultat ? Vente en ligne à l’arrêt, direction informatique en PLS, et un joli communiqué de presse aussi vide que la section lingerie après Noël. Voir notre article du 22 mai
Mais voilà que l’histoire prend une tournure encore plus croustillante : selon les dernières estimations du Cyber Monitoring Centre (CMC), le coût cumulé de cette petite sauterie numérique pourrait atteindre la bagatelle de 440 millions de livres sterling. Oui, quatre-cent-quarante-millions. De quoi se payer un nouveau plan cybersécurité. Ou deux. Ou 73 000 pare-feux.
🐉 DragonForce, ou comment ruiner une enseigne centenaire en une journée
DragonForce, ce n’est pas seulement un groupe de metal pour ados émo… c’est aussi une organisation cybercriminelle apparemment très au fait du calendrier commercial britannique. Cibler M&S juste avant le weekend des promotions, il fallait oser. Le genre d’humour noir qui mérite presque un BAFTA.
Le ransomware utilisé ? On n’en connaît pas tous les détails, mais à en juger par les dégâts, ce n’était pas un script de stagiaire. Ventes en ligne KO, serveurs aux abonnés absents, fichiers chiffrés plus hermétiquement que la recette du Christmas pudding. Et derrière, Co-op qui prend aussi une cartouche, parce que quitte à flinguer la grande distribution, autant faire un doublé.
💸 440 millions, ça fait combien de cardigans bio ça ?
Le CMC n’a pas mâché ses mots : l’attaque est classée événement systémique de catégorie 2. Pas un petit hack de bac à sable. Non, une attaque structurellement dangereuse pour le pays, comme on aime les qualifier quand on panique un peu dans les couloirs de Westminster.
Entre les pertes d’exploitation, les coûts de réponse à incident, la reconstruction de l’IT, les campagnes de relations publiques en mode panique, et les amendes RGPD à venir si les données clients ont vraiment fuité (spoiler : elles ont probablement fuité), on arrive facilement à 440 millions de livres.
Et la question se pose : comment une enseigne de cette taille a pu tomber dans un panneau aussi classique ?
🔐 MFA, segmentation réseau… pas leur style manifestement
On aurait pu croire que, depuis 2021, toutes les grandes boîtes avaient compris que « sécurité by design » n’était pas juste un concept de powerpoint. Mais visiblement, chez M&S, les investissements SI se sont arrêtés au design… pas à la sécurité.
Les MFA ? Trop complexes.
La segmentation réseau ? Quelle horreur, ça ralentit l’audit.
Les sauvegardes déconnectées ? Elles sont dans un coin… peut-être… sur un disque dans un placard.
Bref, une architecture à l’ancienne, aussi vulnérable que le mot de passe “Mns2023!” sur un compte admin.
🛡️ Co-op dans la sauce aussi, mais tout le monde s’en fout
Ah oui, Co-op. Ils ont aussi été attaqués. Mais comme ils ne vendent pas de tailleurs à la mode, personne n’en parle. Pourtant, même punition, même racket, mêmes erreurs. Et probablement, mêmes consultants en cybersécurité qu’on appelle après la fuite, jamais avant. On imagine déjà le call Teams du lundi matin :
— “Bonjour, on a un souci.”
— “Vous avez un backup ?”
— “C’est quoi, un backup ?”
🧠 Et maintenant, on fait quoi ?
M&S va sans doute annoncer un grand plan de transformation numérique 2.0 avec blockchain et IA dedans, parce que c’est dans l’air du temps. On posera trois questions au RSSI à la prochaine réunion, puis on retournera s’extasier sur les campagnes de pub de Noël. La seule chose qui changera vraiment, c’est qu’un budget cybersécurité va tripler… trop tard.
Quant aux clients ? Leurs données sont probablement déjà en train de tourner sur un forum obscur, entre deux bases de chez British Airways et Ticketmaster. Mais ne vous inquiétez pas : ils ont eu droit à un mail de 17 lignes leur expliquant que M&S prend la sécurité “très au sérieux.”
🎯 En résumé :
- 🐉 DragonForce 1 — M&S 0
- 💰 Jusqu’à 440 M£ de dégâts
- 🧻 Une sécurité aussi fine que du papier toilette
- 📉 Une image écornée plus vite qu’un pull en cachemire en machine
- 🤡 Et toujours pas de MFA généralisé en 2025
Moralité ?
Vous vendez des fringues, pas des firewalls. Mais si vous oubliez que le retail est une cible dorée, préparez-vous à défiler sur le catwalk… du cyberdrame.
