⚡ Points Clés

M&S a perdu 324 M£ de CA — bénéfices en chute de 55 % après l’attaque de printemps 2025

En résumé:

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée

La brèche reposait sur de l’ingénierie sociale contre un service d’assistance, une mauvaise hygiène d’Active Directory et l’accès de tiers — et non sur un logiciel malveillant exotique. Ce sont exactement les failles auxquelles font face les banques algériennes en pleine numérisation, les opérations de Sonatrach et Sonelgaz, Algérie Télécom, les plateformes de commerce électronique et le déploiement des services publics en ligne. Le chiffre de 324 M£ de ventes perdues donne aux conseils d’administration algériens une donnée concrète pour évaluer la cyber-résilience.
Infrastructure prête ?
Partielle

L’Algérie dispose des briques fondamentales — un CERT national (DZ-CERT), le régulateur ARPCE et un hébergement de données local en croissance via les centres de données d’Alger — mais la plupart des entreprises locales font encore tourner des systèmes hérités enchevêtrés, avec une segmentation réseau limitée, la même dette technique qui a transformé l’incident de M&S en panne de sept semaines. Une architecture de reprise modulaire et testée reste rare en dehors des plus grandes banques.
Compétences disponibles ?
Partielles

L’Algérie forme de solides diplômés en informatique (ESI, USTHB, écoles polytechniques), mais les compétences spécialisées en réponse aux incidents, en durcissement d’Active Directory et en tests d’intrusion sur les services d’assistance sont rares et souvent drainées vers l’étranger. La plupart des organisations n’ont pas de fonction CISO dédiée ; la sécurité reste traitée comme une sous-tâche de l’informatique.
Calendrier d’action
Immédiat

Les contrôles les moins coûteux et les plus efficaces — vérification par second canal pour les réinitialisations d’identifiants privilégiés, exercices de vishing sur le service d’assistance, journalisation hors site des audits AD, et révocation des accès fournisseurs en 15 minutes — relèvent davantage du processus et de la discipline que du capital. Les organisations algériennes peuvent commencer ce trimestre, sans attendre de gros budgets d’infrastructure.
Parties prenantes clés
DZ-CERT (CERT national), ARPCE, Ministère de la Poste et des Télécommunications, Ministère des Finances et Banque d’Algérie (pour le secteur bancaire), grands opérateurs (Sonatrach, Sonelgaz, Algérie Télécom, Mobilis/Djezzy/Ooredoo), DSI/RSSI des entreprises, et l’Autorité nationale de protection des données à caractère personnel (ANPDP)

Assessment: DZ-CERT (CERT national), ARPCE, Ministère de la Poste et des Télécommunications, Ministère des Finances et Banque d’Algérie (pour le secteur bancaire), grands opérateurs (Sonatrach, Sonelgaz, Algérie Télécom, Mobilis/Djezzy/Ooredoo), DSI/RSSI des entreprises, et l’Autorité nationale de protection des données à caractère personnel (ANPDP). Review the full article for detailed context and recommendations.
Type de décision
Stratégique

Il s’agit d’une décision de résilience et de continuité d’activité au niveau du conseil d’administration, et non d’une simple ligne budgétaire informatique. Le cas M&S recadre la dépense de cybersécurité comme une protection contre une perte existentielle quantifiée, et les entreprises algériennes devraient adopter ce même cadrage dès maintenant, tant que la numérisation s’accélère encore.

En bref: Les banques, opérateurs énergétiques et télécoms algériens devraient considérer la brèche M&S comme un test de résistance gratuit de leurs propres hypothèses. Commencez immédiatement par les gains peu coûteux — vérification renforcée du service d’assistance, protection d’Active Directory et contrôles contractuels des accès fournisseurs — et inscrivez un chiffre de ROI de cyber-résilience, ancré au contrefactuel de 324 M£ de M&S, dans le prochain dossier du conseil. L’avantage décisif est la vitesse de reprise : investissez dans des systèmes modulaires et segmentés restaurables en jours, pas en semaines.

Publicité

D’un Week-end de Pâques à une Disruption Existentielle

Le week-end de Pâques 2025 — du 18 au 21 avril — les opérations de Marks & Spencer ont commencé à s’effondrer. Le collectif de hackers Scattered Spider, le même groupe à l’origine de la brèche MGM Resorts en 2023, avait obtenu un premier accès via une attaque d’ingénierie sociale ciblant un prestataire tiers. En exploitant les processus de vérification du helpdesk pour réinitialiser des identifiants privilégiés, les attaquants ont effectué un déplacement latéral à travers le réseau M&S, déployant finalement le ransomware DragonForce sur l’infrastructure cœur du distributeur.

Le PDG de M&S, Stuart Machin, l’a décrit sans détour : « Avril avait bien commencé, dans la continuité de l’élan de l’an dernier. Puis, pendant les vacances de Pâques, il est devenu évident que nous faisions face à une attaque hautement sophistiquée et ciblée. » L’entreprise a proactivement coupé des systèmes pour limiter la propagation, déclenchant une cascade immédiate : commandes en ligne de vêtements suspendues pendant près de sept semaines, chaînes d’approvisionnement alimentaires perturbées, rayons qui se vident, et un effondrement de 42,9 % des ventes de mode en ligne.

Quelques jours plus tard, Co-op — le sixième plus grand distributeur alimentaire britannique — a été frappé par le même groupe, subissant une réduction de 11 % de ses dépenses quotidiennes dans les 30 premiers jours. Entre mi-avril et début mai 2025, Scattered Spider avait exécuté des frappes de précision successives contre deux des enseignes britanniques les plus emblématiques.

La Forensique Financière : Ce que Coûte Réellement un Ouragan Cyber

Douze mois plus tard, les résultats semestriels de M&S ont révélé des chiffres devenus la référence en matière de quantification du risque cyber enterprise. Selon Cybersecurity Dive, l’entreprise avait prévenu que l’attaque amputerait environ 300 millions de livres — soit environ 400 millions de dollars — de ses bénéfices opérationnels. Quand les résultats complets ont été publiés, le tableau était plus précis et plus sombre :

  • 324 millions de livres de ventes perdues — légèrement supérieur à l’estimation initiale de 300 millions
  • 101,6 millions de livres de coûts de reprise exceptionnels (restauration des systèmes, support juridique, services professionnels, internalisation de l’équipe tech)
  • 100 millions de livres de remboursement d’assurance partiellement compensant les pertes du premier semestre
  • 136 millions de livres d’impact net sur le bénéfice pour l’exercice complet (102 M£ premier semestre + 34 M£ second semestre)
  • Chute de 55 % du bénéfice avant impôt ajusté — de 413,1 à 184,1 millions de livres sur un an
  • Recul de 16,4 % des ventes de la division mode ; ventes en magasin en baisse de 3,4 % ; en ligne en recul de 42,9 %

Le UK Cyber Monitoring Centre (CMC), un organisme indépendant soutenu par l’ancien directeur du NCSC Ciaran Martin, a classifié les incidents M&S et Co-op combinés en Catégorie 2 « ouragan cyber » — une désignation réservée aux événements ayant un « impact financier substantiel avec des répercussions économiques sur les fournisseurs tiers, franchisés et services associés ». Le coût total estimé pour les deux incidents : entre 270 et 440 millions de livres.

La classification Catégorie 2 s’établit en dessous de la Catégorie 1 (« catastrophique, systémique ») mais au-dessus de la Catégorie 3 (« modéré, localisé »). Le fait que deux attaques ciblées contre des entreprises non financières aient franchi le seuil de la Catégorie 2 signale un changement structurel : le retail est désormais aussi vulnérable systémiquement que le secteur bancaire aux yeux des assureurs et des régulateurs.

Les Cinq Défaillances Structurelles Mises à Nu

Le bilan à un an publié par Computer Weekly est inhabituellemlent franc pour une analyse de sécurité d’entreprise. Les experts ont convergé sur cinq défaillances systémiques qui expliquent pourquoi M&S a subi des dommages disproportionnés par rapport à Co-op — qui s’est rétabli significativement plus vite malgré avoir été frappé par le même groupe.

L’ingénierie sociale a contourné le périmètre technique. La brèche initiale n’a pas exploité une vulnérabilité logicielle — elle a exploité un processus humain. Le personnel du helpdesk a réinitialisé des identifiants privilégiés suite à un appel de vishing convaincant. Aucun pare-feu, EDR ou SIEM ne détecte cela. Au moment où le malware a été déployé, les attaquants contrôlaient déjà l’identité.

Active Directory était le véritable interrupteur principal. Une fois à l’intérieur, Scattered Spider a ciblé les bases de données des contrôleurs de domaine — les clés maîtresses d’un réseau d’entreprise. Traiter la sécurité AD comme une routine plutôt que comme une infrastructure critique a permis à un seul compte compromis de débloquer un déplacement latéral à grande échelle.

La dette technique a amplifié le rayon de souffle. Les systèmes legacy enchevêtrés avec l’infrastructure moderne ont empêché M&S d’isoler rapidement les segments compromis. Le PDG de l’enseigne a reconnu la nécessité d’« accélérer les plans de mise à niveau de l’infrastructure et de la connectivité réseau, des technologies en magasin et collaborateur, et des systèmes de chaîne d’approvisionnement » — un langage qui confirme implicitement des années de modernisation différée.

Le risque tiers est apparu comme vecteur d’entrée. L’attaque est entrée par un prestataire tiers, pas un employé direct de M&S. La forensique est cohérente avec un schéma observé dans les campagnes précédentes de Scattered Spider : les fournisseurs à accès privilégié et à maturité sécurité moindre sont les points d’entrée les plus faciles.

La vitesse de reprise, pas seulement la prévention, a déterminé les résultats. La reprise plus rapide de Co-op — portée par des décisions de confinement plus précoces et une infrastructure plus modulaire — démontre que l’architecture de réponse aux incidents est aussi importante que les contrôles préventifs. Les commandes en ligne de M&S ont été suspendues sept semaines ; la disruption équivalente chez Co-op a duré une fraction de ce temps.

Publicité

Ce que les Responsables Sécurité et IT Doivent Faire Différemment

La quantification à 300 M£+ donne enfin aux RSSI et aux DAF un langage commun. Utilisez-le.

1. Durcir le Helpdesk Avant la Prochaine Vague de Vishing

La brèche M&S a commencé à un service desk, pas sur un serveur. Toute réinitialisation d’identifiant privilégié — surtout hors horaires ou pour des comptes seniors — doit exiger un second canal de vérification (confirmation du manager, token matériel, identification vidéo en direct). Les cyber-attaques retail ont augmenté de 34 % en glissement annuel suite à l’incident M&S, et 80 % des exercices red team ultérieurs incluent désormais des simulations de vishing contre le helpdesk spécifiquement à cause de ce cas. Les organisations qui n’ont pas mené d’exercice de vishing contre leur propre service desk au cours des 12 derniers mois opèrent à l’aveugle.

2. Traiter Active Directory comme une Infrastructure de Joyaux de la Couronne

Les contrôleurs de domaine nécessitent la même posture de protection que les environnements de données de cartes de paiement. Cela signifie des postes de travail à accès privilégié (PAW) pour toute l’administration AD, l’application d’un modèle d’administration à niveaux, des journaux d’audit AD réguliers envoyés hors boîte vers un SIEM que les comptes de domaine compromis ne peuvent pas modifier, et un runbook de reprise AD testé. Si votre AD tombe, votre activité tombe — le cas M&S prouve que ce n’est pas théorique.

3. Construire et Tester une Architecture de Reprise Modulaire

Co-op s’est rétabli plus vite que M&S non pas parce qu’il avait de meilleures défenses périmètriques — il faisait face au même attaquant — mais parce que ses systèmes pouvaient être isolés et restaurés en segments indépendants. Revoyez votre segmentation réseau : pouvez-vous restaurer l’e-commerce pendant que les systèmes de chaîne d’approvisionnement sont hors ligne ? Pouvez-vous exploiter les magasins manuellement pendant que le canal en ligne est inopérant ? Documenter et pratiquer ces procédures d’exploitation en mode dégradé fait la différence entre sept semaines de commandes en ligne suspendues et deux semaines.

4. Étendre les Exigences de Sécurité Fournisseurs aux Prestataires de Rang 2

Les évaluations de risque tiers couvrent généralement les fournisseurs de Rang 1. La brèche M&S est entrée par un prestataire de services dont le helpdesk était la surface vulnérable. Étendez votre questionnaire fournisseur pour inclure : Ce fournisseur exige-t-il la MFA pour les réinitialisations d’identifiants ? Son accès à votre environnement expire-t-il automatiquement ? Son accès peut-il être révoqué en moins de 15 minutes ? Faites de ces points des exigences contractuelles, pas des bonnes pratiques volontaires.

5. Intégrer un Chiffre de ROI Cyber Résilience dans Chaque Rapport au Conseil

Avant les résultats M&S, les RSSI peinaient souvent à quantifier les investissements cyber en termes acceptables pour les dirigeants. Désormais, ils n’ont plus besoin d’estimer : 324 M£ de ventes perdues, une chute de 55 % des bénéfices, un écart d’assurance de 100 M£. Ce sont des chiffres publics audités d’une entreprise comparable en taille à des milliers d’entreprises mondiales. La conversation au conseil devient : « Combien nous coûte l’absence de protection AD par niveaux ? Combien une architecture de reprise modulaire nous économise-t-elle par rapport à sept semaines de commandes en ligne suspendues ? » Cadrez chaque investissement sécurité comme une fraction du contrefactuel M&S.

Où Atterrit le Paysage Réglementaire

La classification CMC a des implications assurantielles qui se propagent au-delà de M&S. Les événements Catégorie 2 génèrent par définition des « répercussions sur les fournisseurs tiers, franchisés et services associés » — un signal aux assureurs que la cyber-assurance retail doit désormais prendre en compte le risque systémique corrélé, et non plus seulement les incidents isolés. Les primes dans le secteur retail britannique sont déjà en hausse.

Au Royaume-Uni, le National Cyber Security Centre (NCSC) a depuis publié des orientations actualisées référençant spécifiquement les attaques d’ingénierie sociale contre les service desks comme vecteur d’accès initial primaire. La directive NIS2 de l’UE, en vigueur depuis octobre 2024, impose aux organisations classées « entités importantes » — ce qui inclut les grands distributeurs — de mettre en œuvre des procédures de réponse aux incidents, des contrôles de sécurité de la chaîne d’approvisionnement et des plans de continuité d’activité. La brèche M&S est désormais citée dans de multiples briefings de conformité NIS2 comme le cas exemplaire justifiant ces exigences.

Pour Singapour — un benchmark utile compte tenu de son profil de petit pays à haute numérisation — les Technology Risk Management Guidelines de la Monetary Authority of Singapore exigent déjà des institutions financières qu’elles testent la résistance du helpdesk à l’ingénierie sociale. Les entreprises non financières observent le cas M&S comme la preuve que des mandats similaires pourraient arriver dans leur secteur.

La Leçon Structurelle

Les attaques M&S et Co-op se lisent le plus utilement non pas comme une histoire du retail, mais comme un test de résistance des hypothèses de sécurité enterprise qui ont persisté dans toutes les industries depuis une décennie. L’hypothèse que les défenses périmètriques interceptent la plupart des menaces. L’hypothèse que les helpdesks sont des fonctions internes à faible risque. L’hypothèse qu’Active Directory n’est « que de l’IT ». L’hypothèse que la dette technique peut être gérée indéfiniment.

Les 324 M£ de ventes perdues sont la sanction pour ces hypothèses restées non remises en question. La chute de 55 % des bénéfices est la conséquence au niveau du conseil d’administration d’avoir traité la cyber-résilience comme un coût IT plutôt que comme un investissement de continuité d’activité. Et l’écart d’assurance de 100 M£ — la différence entre ce qui était assuré et ce qui a été perdu — est le signal le plus clair que la cyber-assurance est un supplément, pas un substitut, à l’architecture de résilience.

Un an plus tard, M&S indique que la reprise est « presque complète ». Les entreprises qui intérioriseront le plus rapidement ces leçons ne seront pas celles qui ont évité le résultat M&S par chance — elles seront celles qui auront construit l’architecture pour se rétablir en deux semaines plutôt qu’en sept.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Q : Qui a mené les attaques contre M&S et Co-op ?

Les attaques sont attribuées à Scattered Spider, un collectif de hackers à motivation financière connu pour l’ingénierie sociale et le vishing de helpdesk. Ils ont déployé le ransomware DragonForce contre l’infrastructure M&S.

Q : Quel a été le coût total de la cyber-attaque M&S ?

M&S a perdu 324 millions de livres de chiffre d’affaires, avec un impact net sur le bénéfice d’environ 136 millions de livres pour l’exercice financier, après un remboursement d’assurance de 100 millions de livres et la reprise du second semestre.

Q : Qu’est-ce que la classification Catégorie 2 du UK Cyber Monitoring Centre ?

La Catégorie 2 sur l’échelle ouragan cyber du CMC désigne un « impact financier substantiel avec des répercussions économiques sur les fournisseurs tiers, franchisés et services associés ». Le coût combiné M&S et Co-op est estimé entre 270 et 440 millions de livres.

Sources et Lectures Complémentaires