D’un Week-end de Pâques à une Disruption Existentielle
Le week-end de Pâques 2025 — du 18 au 21 avril — les opérations de Marks & Spencer ont commencé à s’effondrer. Le collectif de hackers Scattered Spider, le même groupe à l’origine de la brèche MGM Resorts en 2023, avait obtenu un premier accès via une attaque d’ingénierie sociale ciblant un prestataire tiers. En exploitant les processus de vérification du helpdesk pour réinitialiser des identifiants privilégiés, les attaquants ont effectué un déplacement latéral à travers le réseau M&S, déployant finalement le ransomware DragonForce sur l’infrastructure cœur du distributeur.
Le PDG de M&S, Stuart Machin, l’a décrit sans détour : « Avril avait bien commencé, dans la continuité de l’élan de l’an dernier. Puis, pendant les vacances de Pâques, il est devenu évident que nous faisions face à une attaque hautement sophistiquée et ciblée. » L’entreprise a proactivement coupé des systèmes pour limiter la propagation, déclenchant une cascade immédiate : commandes en ligne de vêtements suspendues pendant près de sept semaines, chaînes d’approvisionnement alimentaires perturbées, rayons qui se vident, et un effondrement de 42,9 % des ventes de mode en ligne.
Quelques jours plus tard, Co-op — le sixième plus grand distributeur alimentaire britannique — a été frappé par le même groupe, subissant une réduction de 11 % de ses dépenses quotidiennes dans les 30 premiers jours. Entre mi-avril et début mai 2025, Scattered Spider avait exécuté des frappes de précision successives contre deux des enseignes britanniques les plus emblématiques.
La Forensique Financière : Ce que Coûte Réellement un Ouragan Cyber
Douze mois plus tard, les résultats semestriels de M&S ont révélé des chiffres devenus la référence en matière de quantification du risque cyber enterprise. Selon Cybersecurity Dive, l’entreprise avait prévenu que l’attaque amputerait environ 300 millions de livres — soit environ 400 millions de dollars — de ses bénéfices opérationnels. Quand les résultats complets ont été publiés, le tableau était plus précis et plus sombre :
- 324 millions de livres de ventes perdues — légèrement supérieur à l’estimation initiale de 300 millions
- 101,6 millions de livres de coûts de reprise exceptionnels (restauration des systèmes, support juridique, services professionnels, internalisation de l’équipe tech)
- 100 millions de livres de remboursement d’assurance partiellement compensant les pertes du premier semestre
- 136 millions de livres d’impact net sur le bénéfice pour l’exercice complet (102 M£ premier semestre + 34 M£ second semestre)
- Chute de 55 % du bénéfice avant impôt ajusté — de 413,1 à 184,1 millions de livres sur un an
- Recul de 16,4 % des ventes de la division mode ; ventes en magasin en baisse de 3,4 % ; en ligne en recul de 42,9 %
Le UK Cyber Monitoring Centre (CMC), un organisme indépendant soutenu par l’ancien directeur du NCSC Ciaran Martin, a classifié les incidents M&S et Co-op combinés en Catégorie 2 « ouragan cyber » — une désignation réservée aux événements ayant un « impact financier substantiel avec des répercussions économiques sur les fournisseurs tiers, franchisés et services associés ». Le coût total estimé pour les deux incidents : entre 270 et 440 millions de livres.
La classification Catégorie 2 s’établit en dessous de la Catégorie 1 (« catastrophique, systémique ») mais au-dessus de la Catégorie 3 (« modéré, localisé »). Le fait que deux attaques ciblées contre des entreprises non financières aient franchi le seuil de la Catégorie 2 signale un changement structurel : le retail est désormais aussi vulnérable systémiquement que le secteur bancaire aux yeux des assureurs et des régulateurs.
Les Cinq Défaillances Structurelles Mises à Nu
Le bilan à un an publié par Computer Weekly est inhabituellemlent franc pour une analyse de sécurité d’entreprise. Les experts ont convergé sur cinq défaillances systémiques qui expliquent pourquoi M&S a subi des dommages disproportionnés par rapport à Co-op — qui s’est rétabli significativement plus vite malgré avoir été frappé par le même groupe.
L’ingénierie sociale a contourné le périmètre technique. La brèche initiale n’a pas exploité une vulnérabilité logicielle — elle a exploité un processus humain. Le personnel du helpdesk a réinitialisé des identifiants privilégiés suite à un appel de vishing convaincant. Aucun pare-feu, EDR ou SIEM ne détecte cela. Au moment où le malware a été déployé, les attaquants contrôlaient déjà l’identité.
Active Directory était le véritable interrupteur principal. Une fois à l’intérieur, Scattered Spider a ciblé les bases de données des contrôleurs de domaine — les clés maîtresses d’un réseau d’entreprise. Traiter la sécurité AD comme une routine plutôt que comme une infrastructure critique a permis à un seul compte compromis de débloquer un déplacement latéral à grande échelle.
La dette technique a amplifié le rayon de souffle. Les systèmes legacy enchevêtrés avec l’infrastructure moderne ont empêché M&S d’isoler rapidement les segments compromis. Le PDG de l’enseigne a reconnu la nécessité d’« accélérer les plans de mise à niveau de l’infrastructure et de la connectivité réseau, des technologies en magasin et collaborateur, et des systèmes de chaîne d’approvisionnement » — un langage qui confirme implicitement des années de modernisation différée.
Le risque tiers est apparu comme vecteur d’entrée. L’attaque est entrée par un prestataire tiers, pas un employé direct de M&S. La forensique est cohérente avec un schéma observé dans les campagnes précédentes de Scattered Spider : les fournisseurs à accès privilégié et à maturité sécurité moindre sont les points d’entrée les plus faciles.
La vitesse de reprise, pas seulement la prévention, a déterminé les résultats. La reprise plus rapide de Co-op — portée par des décisions de confinement plus précoces et une infrastructure plus modulaire — démontre que l’architecture de réponse aux incidents est aussi importante que les contrôles préventifs. Les commandes en ligne de M&S ont été suspendues sept semaines ; la disruption équivalente chez Co-op a duré une fraction de ce temps.
Publicité
Ce que les Responsables Sécurité et IT Doivent Faire Différemment
La quantification à 300 M£+ donne enfin aux RSSI et aux DAF un langage commun. Utilisez-le.
1. Durcir le Helpdesk Avant la Prochaine Vague de Vishing
La brèche M&S a commencé à un service desk, pas sur un serveur. Toute réinitialisation d’identifiant privilégié — surtout hors horaires ou pour des comptes seniors — doit exiger un second canal de vérification (confirmation du manager, token matériel, identification vidéo en direct). Les cyber-attaques retail ont augmenté de 34 % en glissement annuel suite à l’incident M&S, et 80 % des exercices red team ultérieurs incluent désormais des simulations de vishing contre le helpdesk spécifiquement à cause de ce cas. Les organisations qui n’ont pas mené d’exercice de vishing contre leur propre service desk au cours des 12 derniers mois opèrent à l’aveugle.
2. Traiter Active Directory comme une Infrastructure de Joyaux de la Couronne
Les contrôleurs de domaine nécessitent la même posture de protection que les environnements de données de cartes de paiement. Cela signifie des postes de travail à accès privilégié (PAW) pour toute l’administration AD, l’application d’un modèle d’administration à niveaux, des journaux d’audit AD réguliers envoyés hors boîte vers un SIEM que les comptes de domaine compromis ne peuvent pas modifier, et un runbook de reprise AD testé. Si votre AD tombe, votre activité tombe — le cas M&S prouve que ce n’est pas théorique.
3. Construire et Tester une Architecture de Reprise Modulaire
Co-op s’est rétabli plus vite que M&S non pas parce qu’il avait de meilleures défenses périmètriques — il faisait face au même attaquant — mais parce que ses systèmes pouvaient être isolés et restaurés en segments indépendants. Revoyez votre segmentation réseau : pouvez-vous restaurer l’e-commerce pendant que les systèmes de chaîne d’approvisionnement sont hors ligne ? Pouvez-vous exploiter les magasins manuellement pendant que le canal en ligne est inopérant ? Documenter et pratiquer ces procédures d’exploitation en mode dégradé fait la différence entre sept semaines de commandes en ligne suspendues et deux semaines.
4. Étendre les Exigences de Sécurité Fournisseurs aux Prestataires de Rang 2
Les évaluations de risque tiers couvrent généralement les fournisseurs de Rang 1. La brèche M&S est entrée par un prestataire de services dont le helpdesk était la surface vulnérable. Étendez votre questionnaire fournisseur pour inclure : Ce fournisseur exige-t-il la MFA pour les réinitialisations d’identifiants ? Son accès à votre environnement expire-t-il automatiquement ? Son accès peut-il être révoqué en moins de 15 minutes ? Faites de ces points des exigences contractuelles, pas des bonnes pratiques volontaires.
5. Intégrer un Chiffre de ROI Cyber Résilience dans Chaque Rapport au Conseil
Avant les résultats M&S, les RSSI peinaient souvent à quantifier les investissements cyber en termes acceptables pour les dirigeants. Désormais, ils n’ont plus besoin d’estimer : 324 M£ de ventes perdues, une chute de 55 % des bénéfices, un écart d’assurance de 100 M£. Ce sont des chiffres publics audités d’une entreprise comparable en taille à des milliers d’entreprises mondiales. La conversation au conseil devient : « Combien nous coûte l’absence de protection AD par niveaux ? Combien une architecture de reprise modulaire nous économise-t-elle par rapport à sept semaines de commandes en ligne suspendues ? » Cadrez chaque investissement sécurité comme une fraction du contrefactuel M&S.
Où Atterrit le Paysage Réglementaire
La classification CMC a des implications assurantielles qui se propagent au-delà de M&S. Les événements Catégorie 2 génèrent par définition des « répercussions sur les fournisseurs tiers, franchisés et services associés » — un signal aux assureurs que la cyber-assurance retail doit désormais prendre en compte le risque systémique corrélé, et non plus seulement les incidents isolés. Les primes dans le secteur retail britannique sont déjà en hausse.
Au Royaume-Uni, le National Cyber Security Centre (NCSC) a depuis publié des orientations actualisées référençant spécifiquement les attaques d’ingénierie sociale contre les service desks comme vecteur d’accès initial primaire. La directive NIS2 de l’UE, en vigueur depuis octobre 2024, impose aux organisations classées « entités importantes » — ce qui inclut les grands distributeurs — de mettre en œuvre des procédures de réponse aux incidents, des contrôles de sécurité de la chaîne d’approvisionnement et des plans de continuité d’activité. La brèche M&S est désormais citée dans de multiples briefings de conformité NIS2 comme le cas exemplaire justifiant ces exigences.
Pour Singapour — un benchmark utile compte tenu de son profil de petit pays à haute numérisation — les Technology Risk Management Guidelines de la Monetary Authority of Singapore exigent déjà des institutions financières qu’elles testent la résistance du helpdesk à l’ingénierie sociale. Les entreprises non financières observent le cas M&S comme la preuve que des mandats similaires pourraient arriver dans leur secteur.
La Leçon Structurelle
Les attaques M&S et Co-op se lisent le plus utilement non pas comme une histoire du retail, mais comme un test de résistance des hypothèses de sécurité enterprise qui ont persisté dans toutes les industries depuis une décennie. L’hypothèse que les défenses périmètriques interceptent la plupart des menaces. L’hypothèse que les helpdesks sont des fonctions internes à faible risque. L’hypothèse qu’Active Directory n’est « que de l’IT ». L’hypothèse que la dette technique peut être gérée indéfiniment.
Les 324 M£ de ventes perdues sont la sanction pour ces hypothèses restées non remises en question. La chute de 55 % des bénéfices est la conséquence au niveau du conseil d’administration d’avoir traité la cyber-résilience comme un coût IT plutôt que comme un investissement de continuité d’activité. Et l’écart d’assurance de 100 M£ — la différence entre ce qui était assuré et ce qui a été perdu — est le signal le plus clair que la cyber-assurance est un supplément, pas un substitut, à l’architecture de résilience.
Un an plus tard, M&S indique que la reprise est « presque complète ». Les entreprises qui intérioriseront le plus rapidement ces leçons ne seront pas celles qui ont évité le résultat M&S par chance — elles seront celles qui auront construit l’architecture pour se rétablir en deux semaines plutôt qu’en sept.
Foire Aux Questions
Q : Qui a mené les attaques contre M&S et Co-op ?
Les attaques sont attribuées à Scattered Spider, un collectif de hackers à motivation financière connu pour l’ingénierie sociale et le vishing de helpdesk. Ils ont déployé le ransomware DragonForce contre l’infrastructure M&S.
Q : Quel a été le coût total de la cyber-attaque M&S ?
M&S a perdu 324 millions de livres de chiffre d’affaires, avec un impact net sur le bénéfice d’environ 136 millions de livres pour l’exercice financier, après un remboursement d’assurance de 100 millions de livres et la reprise du second semestre.
Q : Qu’est-ce que la classification Catégorie 2 du UK Cyber Monitoring Centre ?
La Catégorie 2 sur l’échelle ouragan cyber du CMC désigne un « impact financier substantiel avec des répercussions économiques sur les fournisseurs tiers, franchisés et services associés ». Le coût combiné M&S et Co-op est estimé entre 270 et 440 millions de livres.
Sources et Lectures Complémentaires
- M&S Avertit que la Cyber-attaque d’Avril Amputera 400 M$ des Bénéfices — Cybersecurity Dive
- M&S se Prépare à 300 Millions de Livres de Coûts de Cyber-attaque — Infosecurity Magazine
- Les Attaques M&S et Co-op, un « Ouragan Cyber Catégorie 2 », Disent les Experts UK — Computer Weekly
- Un An Après la Cyber-attaque M&S : Qu’Avons-nous Appris ? — Computer Weekly
- Les Retombées de la Cyber-attaque Frappent Durement M&S : Bénéfices en Chute de 55 % — CyberNews
- Les 300 Millions de Livres de Séquelles : L’Effondrement des Bénéfices M&S Révèle le Vrai Coût de la Cyber-résilience — Breached.Company
- Mise à Jour Cyber — Marks & Spencer Corporate
🔗 Intelligence Connexe
SBOM : De Case à Cocher de Conformité à Outil de Sécurité Actif en 2026
La nouvelle normalité des ransomwares : 49 % de groupes en plus, 2 122 victimes au T1 — et maintenant ?
L’économie du phishing-as-a-service : comment 50 $ suffisent pour lancer une cyberattaque
L’Open Source sous Attaque : 1,2 Million de Packages Malveillants et le Guide Défensif des Entreprises
