Cyberattaque de Marks & Spencer : plus de 350 millions d'euros de pertes

Une cyberattaque qui dure, qui dure… et qui coûte. Le géant britannique de la distribution alimentaire et de vêtements Marks & Spencer, victime d'une attaque par ransomware le mois dernier, a annoncé le 21 mai qu'il subirait suite à cet incident des pertes de 300 millions de livres sterling (355 millions d'euros) sur son résultat d'exploitation. Dans un document déposé auprès de la bourse de Londres, l'enseigne évoque des pertes liées à la fois aux perturbations sur les ventes, mais aussi au temps d'arrêt des systèmes et aux dépenses engagées pour leur récupération.

Les ventes en ligne génèrent en moyenne 4,5 millions d'euros par jour

Tout a commencé pendant le week-end de Pâques, lorsque certains clients se sont retrouvés dans l'incapacité de retirer des commandes en click & collect et ont observé d'importants retards. Plusieurs terminaux de paiement étaient alors hors-service, et le retour d'articles était impossible. Une situation délicate qui a contraint Marks & Spencer à suspendre les commandes en ligne, notamment pour la mode et les articles de maison. A l'heure où nous écrivons ces lignes, le site d'e-commerce n'a toujours pas été rétabli.

Un manque à gagner considérable pour l'enseigne, dont les ventes en ligne représentaient en mars 34% du total des ventes et généraient en moyenne 4,5 millions d'euros par jour. Si les opérations d'achat en magasin sont revenues à la normale, Marks & Spencer a précisé que des perturbations pourraient se poursuivre jusqu'en juin voire en juillet. "Cela entraînera également une augmentation des coûts de gestion des stocks au deuxième trimestre", prévient le groupe. Il estime que 85% des références de vêtements et d'articles de maison seront à nouveau disponibles "dans les prochaines semaines".

Le groupe Scattered Spider à la manœuvre

L'attaque par ransomware a été attribuée au groupe de hackers Scattered Spider, également connu sous le nom d'UNC3944. Formé en 2022, ce gang s'est fait connaître l'année suivante pour son implication dans la cyberattaque contre les hôtels et casinos du groupe américain de divertissement MGM. Pour s'infiltrer dans les systèmes de Marks & Spencer, les acteurs malveillants auraient utilisé des techniques d'ingénierie sociale en utilisant les identifiants de salariés de Tata Consultancy Services (TCS), qui gère les services d'assistance du groupe. Scattered Spider aurait ensuite chiffré des machines virtuelles sur des hôtes VMware ESXi.

Le rétablissement annoncé des systèmes de M&S ne résoudra pas tous les problèmes engendrés par cette cyberattaque. Le 13 mai, soit plus de vingt jours après l'incident, la chaîne de magasins a confirmé que des données personnelles de clients avaient été dérobées. Ceci inclut les noms et prénoms, adresses e-mail et postales de certains d'entre eux, mais aussi leurs numéros de téléphones, dates de naissance, situations matrimoniales et historiques de commandes. "Elles n'incluent pas de détails de carte ou de paiement utilisables, ni de mots de passe de compte", a tenté de rassurer la chaîne. Un cabinet d'avocat écossais a d'ores et déjà déposé plainte dans le cadre d'une action collective, accusant l'entreprise de n'avoir pas fait assez pour protéger ses clients.

Le secteur britannique de la vente au détail pris pour cible

La cyberattaque survient au mauvais moment pour Marks & Spencer : après plusieurs années difficiles liées au Brexit et à la pandémie de Covid-19, la santé financière de la chaîne s'était améliorée. En 2023, son chiffre d'affaires s'établissait à 13 milliards de livres sterling (15,4 milliards d'euros), en hausse de 10% sur un an. Les ventes alimentaires ont augmenté de 9% sur un an, suivant l'exercice clôturé fin mars, pour atteindre 9 milliards de livres.

Ces dernières semaines, le secteur britannique de la vente au détail a été particulièrement visé par des cyberattaques. Quelques jours après l'incident contre Marks & Spencer, Co-op a annoncé avoir été victime d'une attaque similaire ayant provoqué l'exfiltration de données clients. Les magasins de luxe Harrods ont également révélé avoir restreint l'accès à leur réseau après une cyberattaque. Ces deux événements ont été attribués à Scattered Spider.