Un héritage menacé

Depuis plus de 140 ans, Marks & Spencer (M&S) incarne la qualité, la confiance et l'excellence du commerce britannique. Fondée en 1884 à Leeds, en Angleterre, l’entreprise a débuté comme un modeste bazar, vendant des articles ménagers abordables. Elle a rapidement évolué en une puissance du commerce de détail, réputée pour ses vêtements haut de gamme, ses offres alimentaires de luxe et son innovation dans l’expérience client.

Avec plus de 1 400 magasins à travers le monde, M&S s’est imposée comme un pilier du commerce britannique, s’adaptant aux évolutions du marché et aux tendances des consommateurs. Mais le 25 mai 2025, cet empire a été brutalement frappé—par un ennemi invisible qui a percé ses défenses et semé le chaos.

Chronologie d’un désastre

Tout a commencé comme n'importe quel autre jour. Les clients se précipitaient pour passer leurs commandes en ligne, les paiements étaient traités sans accroc, l’activité se déroulait normalement. Mais dans la nuit du 25 mai, tout a basculé.

Marks & Spencer a été victime d'une attaque de ransomware DragonForce, une cyberattaque sophistiquée qui a infiltré son système avec une précision chirurgicale.

Au début, il ne s'agissait que de quelques anomalies—des paiements en attente, des commandes suspendues. Mais rapidement, la situation s'est aggravée. Les services de Click & Collect ont été interrompus. Le site web est devenu inaccessible, plongeant les clients dans l’incertitude. À midi, Marks & Spencer a compris l'ampleur du désastre: elle n'était pas seulement attaquée, elle était prise en otage.

Qu’ont-ils volé ?

Les auteurs de l’attaque, supposés appartenir au groupe Scattered Spider, n’ont pas seulement cherché à perturber les opérations. Ils ont brisé les protocoles de sécurité, mettant la main sur le fichier NTDS.dit du domaine Windows—une mine de données contenant les identifiants chiffrés, leur offrant un accès total aux infrastructures numériques de M&S.

Mais le véritable cauchemar concernait les données clients. 
Des informations personnelles, y compris noms, e-mails, adresses postales et même dates de naissance, ont été exfiltrées par les pirates. En quelques heures, plus d’un siècle de confiance construit par Marks & Spencer s’est effondré.

Qui sont Scattered Spider ?

Scattered Spider, également connu sous le nom de UNC3944, est un groupe de hackers notoires, composé de cybercriminels anglophones, dont plusieurs seraient basés au Royaume-Uni et aux États-Unis.

Le groupe s’est fait connaître en 2023, lorsqu'il a piraté des géants du casino comme Caesars Entertainment et MGM Resorts International. Caesars aurait payé 15 millions de dollars (€13,8 millions) de rançon pour récupérer ses systèmes.

Scattered Spider excelle dans l’ingénierie sociale, exploitant des techniques comme le SIM swapping, les attaques MFA par fatigue et le phishing pour infiltrer les réseaux d’entreprise. Grâce à leur expertise des plateformes cloud telles que Microsoft Azure, Google Workspace et AWS, ils contournent les défenses avec une efficacité redoutable.

Le coût réel de l’attaque cyber sur Marks & Spencer : Une analyse financière

Les pertes financières directes

Marks & Spencer a déjà estimé que l’attaque entraînerait une perte de £300 millions (€350 millions) dans ses bénéfices d’exploitation. Cela inclut :

• Perte de revenus : L’entreprise subit £40 millions (€47 millions) de pertes par semaine, en raison de l’arrêt des ventes en ligne.

• Pénuries et gaspillage alimentaire : Les perturbations logistiques ont provoqué des pertes considérables, notamment dans le secteur alimentaire.

• Interruption des opérations : Le traitement manuel a remplacé les systèmes automatisés, augmentant les coûts de main-d’œuvre.

Le coût d’une rançon

Marks & Spencer n’a pas confirmé avoir payé une rançon, mais les précédents incidents montrent des demandes de paiement élevées:

• Caesars Entertainment (2023) a payé $15 millions (€13,8 millions) à Scattered Spider pour récupérer ses données.

• Colonial Pipeline (2021) a versé $4,4 millions (€4 millions) à DarkSide pour reprendre ses activités.

• Les demandes de rançon moyennes pour les grandes entreprises varient entre £10 millions (€11,7 millions) et £50 millions (€58,5 millions).

Coût de restauration des systèmes et récupération des données

Après une attaque, les entreprises doivent restaurer leurs systèmes, renforcer la sécurité et mener des enquêtes forensiques :

• British Library (2023) a dépensé £6-7 millions (€7-8,2 millions) pour se remettre d’une attaque par ransomware.

• Marks & Spencer devra probablement investir entre £50-80 millions (€58-94 millions) dans la restauration et la sécurisation de ses infrastructures informatiques.

Coût juridique et sanctions réglementaires

• Sanctions RGPD : Si les données clients ont été compromises, Marks & Spencer pourrait être condamné à une amende pouvant atteindre 4 % de son chiffre d’affaires, soit jusqu’à £100 millions (€117 millions).

• Actions en justice : Les frais juridiques et les accords avec les victimes pourraient dépasser £50 millions (€58,5 millions), d’après des cas similaires.

Impact sur la réputation et conséquences à long terme

• Perte de confiance des consommateurs : Les analystes estiment que les ventes pourraient chuter de plusieurs millions en raison du scandale.

• Baisse du cours de l’action : Les actions de Marks & Spencer ont déjà reculé de 10 % depuis l’attaque.

• Projection de baisse de revenus : Si la confiance des consommateurs s’effondre davantage, la perte de chiffre d’affaires pourrait atteindre £500 millions (€585 millions) sur deux ans.

Coût total de l’attaque

D’après des comparaisons avec d’autres attaques, la facture totale pour Marks & Spencer pourrait se situer entre £500 millions (€585 millions) et £1 milliard (€1,17 milliard).

Comment Cy-Napea® aurait pu éviter la catastrophe chez Marks & Spencer

Première ligne de défense : Formation à la sensibilisation à la cybersécurité

Avant même qu’une cyberattaque ne commence, les pirates exploitent les erreurs humaines. Scattered Spider est spécialiste en ingénierie sociale, trompant les employés via des e-mails de phishing, des appels IT frauduleux et des demandes de connexion manipulées.

Avec la Formation à la sensibilisation à la cybersécurité de Cy-Napea®, Marks & Spencer aurait pu anticiper et bloquer ces menaces:

• Des simulations de phishing auraient permis aux employés de reconnaître et éviter les e-mails trompeurs.

• Une sensibilisation aux manipulations sociales aurait empêché les collaborateurs de révéler leurs identifiants à de faux techniciens IT.

• Des scénarios d’attaques en temps réel auraient assuré une réaction rapide et efficace face aux comportements suspects.

En éliminant les vulnérabilités humaines, Cy-Napea® aurait stoppé l’attaque dès le premier contact.

Deuxième ligne de défense : Sécurité avancée des e-mails

Même avec des employés formés, les hackers tentent d’outrepasser la vigilance. La solution Cy-Napea® de sécurité avancée des e-mails aurait :

• Bloqué les e-mails de phishing avant qu’ils n’atteignent les boîtes de réception.

• Détecté les tentatives d’usurpation, empêchant les criminels de se faire passer pour le service IT.

• Analysé les modèles comportementaux, stoppant les demandes de connexion frauduleuses.

Avec une sécurité e-mail proactive, Marks & Spencer aurait évité l’entrée des hackers dans son réseau.

Troisième ligne de défense : Solutions EDR/XDR/MDR

Après avoir infiltré le réseau, Scattered Spider a lancé le ransomware DragonForce, chiffrant les systèmes et volant les hashs de mots de passe contenus dans la base NTDS.dit de Windows.

Les solutions EDR/XDR/MDR de Cy-Napea® auraient neutralisé la menace immédiatement :

• La surveillance des terminaux aurait identifié l’activité anormale, comme le chiffrement de masse des fichiers.

• Les réponses automatisées auraient isolé les postes infectés, empêchant la propagation du ransomware.

• L’IA de traque des menaces aurait repéré l’intrusion des hackers bien avant le vol des données clients.

Dernière ligne de défense : Sauvegarde en temps réel et récupération instantanée

Même face à une attaque réussie, Cy-Napea® offre une solution avancée de sauvegarde et récupération instantanée, permettant une restauration immédiate sans pertes :

• Sauvegarde en temps réel assurant aucune perte de données, même pendant une attaque.

• Restauration en un clic, permettant à l’entreprise de reprendre ses opérations en quelques heures.

• Stockage immuable, empêchant les hackers de modifier ou de supprimer les sauvegardes.

Ressources économisées : Estimation financière

Si Marks & Spencer avait mis en place Cy-Napea®, l’entreprise aurait économisé des centaines de millions :

• Élimination des paiements de rançon : économies de £10-50 millions (€11,7-58,5 millions).

• Réduction des pertes opérationnelles : au lieu de £300 millions (€350 millions), les interruptions auraient coûté moins de £50 millions (€58,5 millions).

• Baisse des frais juridiques : réduction de 70 %, soit £100 millions (€117 millions) économisés.

• Contrôle des pertes de réputation : récupération rapide aurait limité la perte de £500 millions (€585 millions) en chiffre d’affaires futur.

Une stratégie de cybersécurité prête pour l’avenir

Grâce à l’approche multi-couches de Cy-Napea®, Marks & Spencer aurait évité les rançons, minimisé les pertes financières et rétabli ses systèmes sans interruption. Dans un monde où les cyberattaques se perfectionnent chaque jour, l’anticipation est la clé de la survie.