Marks & Spencer : un ransomware qui paralyse le e-commerce

Au week-end de Pâques 2025, Marks & Spencer a subi une attaque par ransomware qui a bloqué ses commandes en ligne, ses retraits click & collect et plusieurs terminaux de paiement (BBC, Usine Digitale). Le groupe estime ses pertes à 355 M€, dues à l’arrêt des ventes (4,5 M€/jour en ligne) et aux frais de remédiation.

Les enquêteurs attribuent l’attaque au gang Scattered Spider, qui aurait exploité des identifiants volés chez un prestataire pour pénétrer le réseau, puis chiffré des serveurs VMware ESXi. Trois semaines plus tard, M&S révélait une fuite de données clients (noms, adresses, historiques de commandes), provoquant des actions collectives. L’affaire illustre combien la dépendance aux partenaires et la criticité du e-commerce accroissent l’exposition des distributeurs.

Jaguar Land Rover : la production figée

Le 31 août 2025, Jaguar Land Rover a été frappé par une cyberattaque d’ampleur, gelant ses opérations industrielles (Autojournal). Les lignes d’assemblage ont été stoppées, tandis que 40 000 véhicules déjà produits devenaient introuvables dans les bases de données. Les analystes estiment les pertes quotidiennes entre 5 et 10 M£, soit plusieurs centaines de millions si l’arrêt se prolonge.

Au-delà des usines, toute la chaîne a été perturbée : fournisseurs, stocks de pièces, livraisons de véhicules neufs et d’occasion. L’incident souligne combien la cybersécurité industrielle doit inclure non seulement les systèmes de production (OT), mais aussi la logistique et les ERP qui coordonnent la fabrication et la distribution.

Orange : des fuites de données en France et en Belgique

Fin juillet 2025, Orange a été la cible de deux incidents distincts qui ont exposé des données sensibles (Usine Digitale).
En France, un gang nommé Warlock a publié environ 4 Go d’informations sur le dark web après avoir exploité un accès limité à ses systèmes. Les données concernaient des informations personnelles obsolètes ou peu critiques, mais l’impact réputationnel a été significatif.

En Belgique, la filiale Orange Belgium a détecté un accès non autorisé aux comptes de 850 000 clients : noms, numéros de téléphone, codes PUK et numéros de carte SIM ont été compromis. Bien qu’aucune donnée bancaire n’ait été touchée, l’opérateur a dû alerter ses abonnés et renforcer ses contrôles d’authentification. Ces deux incidents illustrent combien les opérateurs télécom, en raison de la masse d’informations qu’ils stockent, demeurent des cibles privilégiées pour les groupes cybercriminels.

Bouygues Telecom : 6,4 millions de comptes clients exposés

Le 6 août 2025, Bouygues Telecom a annoncé qu’une cyberattaque avait conduit au vol des données de 6,4 millions de comptes (Le Monde). Les informations compromises incluaient coordonnées, IBAN et données contractuelles, mais ni les mots de passe ni les numéros de cartes bancaires n’étaient affectés.

L’opérateur a prévenu que les victimes pourraient être ciblées par des arnaques : appels frauduleux, faux emails ou demandes de données bancaires. Il a déposé plainte et notifié la CNIL, tout en renforçant son dispositif de détection. Cet épisode rappelle que la protection des bases clients exige des politiques de segmentation, de chiffrement et de surveillance continue pour limiter les risques d’exfiltration massive.

Air France-KLM : vulnérabilité chez un prestataire CRM

Début août 2025, Air France-KLM a confirmé une fuite issue d’un outil CRM tiers, utilisé pour gérer ses relations clients (Le Monde). Des informations basiques – noms, coordonnées, objet de demandes – ont été exposées, sans données de paiement ni mots de passe.

Les investigations pointent des techniques d’ingénierie sociale : des pirates auraient usurpé l’identité d’équipes support pour obtenir les identifiants d’employés de l’éditeur, possiblement Salesforce, puis exfiltrer les bases de données. Ce cas illustre l’importance de la gestion des accès fournisseurs et du cloisonnement des environnements quand des plateformes SaaS hébergent des données critiques.

Naval Group : une attaque réputationnelle

À l’été 2025, Naval Group a été confronté à une supposée fuite d’1 To de documents techniques, revendiquée par un individu se faisant appeler Neferpitou (Le Point). Les fichiers concernaient des frégates FREMM et FDI ainsi que des sous-marins nucléaires, mais ne portaient aucun marquage secret-défense.

Les analystes évoquent une opération davantage informationnelle que technique : le pirate a diffusé ses trouvailles sur un forum public pour fragiliser l’image du groupe pendant des appels d’offres stratégiques. Cette affaire démontre que la cybersécurité englobe aussi la protection de la réputation : la manipulation d’informations, même peu sensibles, peut viser à miner la confiance dans une organisation.

France Travail : 340 000 demandeurs d’emploi concernés

Le 23 juillet 2025, France Travail a révélé qu’un accès frauduleux avait exposé les données personnelles de 340 000 inscrits (Le Monde). L’incident a été déclenché via un compte d’organisme de formation compromis par un malware « infostealer », permettant de consulter noms, adresses, identifiants et numéros de téléphone.

Même sans fuite de données bancaires, l’organisme a dû activer son plan de crise, avertir les personnes concernées et saisir la CNIL. Cet épisode met en évidence la nécessité d’une vigilance accrue sur la sécurité des tiers connectés et des environnements partagés.

Enseignements clés et rôle des partenaires spécialisés

L’analyse de ces attaques — de Marks & Spencer jusqu’à France Travail — montre combien les cybermenaces ont gagné en ampleur, en diversité et en impact financier. Ransomwares paralysant des chaînes logistiques, vols massifs de données clients, attaques informationnelles visant la réputation : chaque scénario illustre l’importance d’une cybersécurité proactive et intégrée.

Trois leçons majeures ressortent :

1. La résilience opérationnelle est stratégique
   Les organisations doivent pouvoir absorber un incident sans interrompre durablement leurs activités : redondance des systèmes, segmentation réseau, procédures de reprise testées régulièrement deviennent incontournables.

2. La gestion des tiers est un maillon critique
   Les attaques contre Jaguar Land Rover ou Air France-KLM rappellent que les prestataires — infogérants, éditeurs SaaS, sous-traitants — sont souvent la porte d’entrée. Des audits réguliers, des clauses contractuelles claires et un suivi permanent des accès limitent le risque.

3. La réputation est aussi en jeu
   L’épisode de Naval Group ou les fuites chez Orange démontrent que l’impact médiatique d’une faille peut peser autant que le préjudice technique. La communication de crise et la gouvernance sont des composantes à part entière de la cybersécurité.
   
   

Dans ce paysage complexe, le recours à un partenaire expérimenté constitue un avantage décisif. Des ESN spécialisées comme Systelium accompagnent entreprises et institutions dans la mise en place de stratégies de sécurité adaptées : audits, plans de résilience, gouvernance CISO externalisée, sensibilisation des équipes, conformité réglementaire… Grâce à une approche pragmatique et à des experts capables d’intervenir aussi bien en prévention qu’en réponse à incident, ces prestataires permettent d’anticiper les menaces et de limiter les pertes en cas d’attaque.

Dans un contexte où chaque minute compte lors d’un incident, disposer d’un dispositif clair, testé et piloté par des professionnels aguerris n’est plus un luxe : c’est une condition de survie et un atout concurrentiel pour toute organisation.

Veuillez nous contacter pour tout projet de cybersécurité (sourcing de talents, mise en place d'un SOC, d'un CISO Office…) ou réservez une visioconférence avec notre Resp. Cybersécurité.