Un an après la vague de cyberattaques qui a paralysé Marks & Spencer, Co-op et Harrods au printemps 2025, l’addition est tombée. Le distributeur britannique chiffre désormais le préjudice à environ 300 millions de livres sterling de bénéfice opérationnel perdu, l’attaque la plus coûteuse jamais subie par une enseigne européenne. Derrière ces trois noms, un seul collectif criminel : Scattered Spider, un groupe de jeunes anglophones qui a fait de la manipulation des services d’assistance informatique son arme principale. En juin 2026, alors que l’Union européenne mobilise 5 000 experts pour un exercice de crise et que la Commission durcit sa réglementation, ce dossier sert d’avertissement à toutes les directions de la sécurité du continent.
Cet article décortique l’affaire chiffre par chiffre : le mode opératoire de Scattered Spider, le coût réel pour les victimes, les arrestations menées par la police britannique, l’historique du groupe et les leçons que les entreprises françaises doivent en tirer. Spoiler : aucune faille logicielle n’a été exploitée. La porte d’entrée, c’était un coup de téléphone.
Scattered Spider : qui est le groupe derrière l’attaque de M&S
Scattered Spider n’est pas une organisation criminelle classique. Suivi sous les noms de code UNC3944 (Mandiant/Google), Octo Tempest (Microsoft) et Muddled Libra (Palo Alto Networks), le collectif est actif depuis au moins 2022. Sa particularité tient à son profil humain : ses membres sont en majorité des adolescents et de jeunes adultes anglophones, âgés de 19 à 22 ans au moment des attaques de 2023, basés aux États-Unis et au Royaume-Uni. Cette maîtrise native de l’anglais change tout. Là où les rançongiciels d’Europe de l’Est trahissent souvent leur origine par des courriels d’hameçonnage truffés de fautes, Scattered Spider décroche le téléphone et se fait passer, sans accent suspect, pour un employé ou un technicien interne.
Le groupe gravite autour de The Com, une nébuleuse cybercriminelle anglophone où se croisent escrocs au SIM swapping, harceleurs et apprentis pirates. Cette communauté fonctionne comme un vivier : les compétences se transmettent, les cibles se partagent, et les jeunes recrues montent en grade en réussissant des coups d’éclat. Initialement, Scattered Spider visait surtout les secteurs de la gestion de la relation client, des centres d’appels externalisés, des télécommunications et de la technologie. Le collectif a ensuite élargi son terrain de chasse aux casinos, à l’hôtellerie, puis à la distribution, comme l’a montré la série d’attaques de 2025.
« Scattered Spider compte parmi les acteurs les plus agressifs et les plus difficiles à contrer que nous suivions », résume Charles Carmakal, directeur technique de Mandiant chez Google Cloud. « Ils ne cassent pas une serrure numérique, ils convainquent quelqu’un de leur ouvrir la porte. » Cette bascule, du code vers l’humain, explique pourquoi des entreprises pourtant bien dotées en outils de sécurité se sont fait piéger en quelques heures.
La chronologie de l’attaque contre Marks & Spencer
L’attaque contre Marks & Spencer éclate au grand jour pendant le week-end de Pâques 2025, autour du 21 avril. Dès le 25 avril, l’enseigne suspend ses commandes en ligne pour contenir l’intrusion. Le distributeur, qui réalise une part importante de son chiffre d’affaires vêtements et maison sur internet, va rester privé de ventes en ligne pendant près de six semaines. Les rayons alimentaires connaissent aussi des ruptures, faute de systèmes logistiques opérationnels. M&S prévient alors que la perturbation se prolongera jusqu’en juin, voire juillet.
Le mode opératoire est désormais documenté. Les attaquants ont obtenu un accès initial par ingénierie sociale visant le service d’assistance informatique : en se faisant passer pour des collaborateurs internes, ils ont obtenu des réinitialisations de mots de passe et des accès à privilèges. Une fois dans le réseau, le collectif a déployé le rançongiciel DragonForce pour chiffrer une partie de l’infrastructure. Les données personnelles de clients ont été dérobées : coordonnées, dates de naissance, historique des commandes. M&S a toutefois insisté sur un point : aucune donnée de carte bancaire exploitable ni aucun mot de passe n’ont été compromis, et rien n’indiquait que les données volées aient été diffusées.
Archie Norman, président de Marks & Spencer, a décrit l’origine de la brèche en des termes restés célèbres : il s’agissait de « ce que les gens appellent aujourd’hui de l’ingénierie sociale, un euphémisme pour désigner l’usurpation d’identité ». La phrase résume le paradoxe de l’affaire : une entreprise centenaire, équipée de pare-feu et d’antivirus, mise à terre par un simple appel téléphonique convaincant. Pour les RSSI européens, c’est la démonstration que le maillon faible n’est plus le logiciel, mais l’humain au bout du fil.
300 millions de livres : le coût réel de la cyberattaque
Le chiffre qui a marqué les esprits est celui de l’impact sur le bénéfice : Marks & Spencer a quantifié le préjudice à environ 300 millions de livres sterling de bénéfice opérationnel annuel. Pour mesurer l’ampleur, une analyse estime les pertes de ventes en ligne à 26 millions de livres par semaine pendant l’interruption. En Bourse, le choc a été immédiat : selon les sources, l’attaque a effacé plus de 1,2 milliard de livres de capitalisation boursière dans les jours suivant la révélation.
Les comptes intermédiaires apportent un éclairage plus précis sur les coûts directs. M&S a comptabilisé 101,6 millions de livres de frais liés à l’incident sur son premier semestre, dont 82,7 millions pour la réponse à incident et la remédiation, et 18,9 millions de coûts liés à des tiers. Face à cette facture, l’enseigne a perçu 100 millions de livres au titre de son assurance cyber, une somme qui couvre une partie des dépenses immédiates mais reste loin du préjudice global lorsqu’on y ajoute les ventes perdues et la défiance des clients.
| Indicateur financier (M&S) | Montant | Détail |
|---|---|---|
| Impact sur le bénéfice opérationnel | ~300 M£ | Sur l’exercice annuel |
| Pertes de ventes en ligne | ~26 M£ / semaine | Pendant ~6 semaines |
| Capitalisation boursière effacée | > 1,2 Md£ | Jours suivant la révélation |
| Coûts de l’incident (S1) | 101,6 M£ | Dont 82,7 M£ de remédiation |
| Coûts liés aux tiers | 18,9 M£ | Inclus dans les 101,6 M£ |
| Indemnisation assurance cyber | 100 M£ | Versement perçu |
Au-delà des chiffres, l’épisode illustre une réalité que la vague de rançongiciels en Europe confirme depuis deux ans : le coût d’une attaque ne se résume jamais à la rançon. L’interruption d’activité, la remise en état des systèmes, les honoraires d’experts et la perte de confiance pèsent souvent dix fois plus lourd. Pour une enseigne dont le modèle repose sur la fréquentation et la fidélité, six semaines sans ventes en ligne laissent une cicatrice durable.
Co-op et Harrods : l’effet domino sur la distribution britannique
Marks & Spencer n’a pas été la seule cible. Au cours de la même campagne d’avril 2025, le groupe coopératif Co-op a subi une attaque dont l’ampleur s’est révélée massive : environ 6,5 millions de membres ont été touchés selon les éléments rendus publics par la suite. Les systèmes de commande et de logistique ont été compromis, provoquant des rayons vides et des ruptures d’approvisionnement, particulièrement sévères dans les zones rurales où Co-op exploite de nombreux magasins de proximité. Pour des villages dépendant d’une seule enseigne, la pénurie a eu des conséquences concrètes sur l’accès à l’alimentation.
Le grand magasin de luxe Harrods a lui aussi été visé dans le même mouvement. L’enseigne londonienne affirme avoir identifié et endigué l’attaque rapidement, limitant la casse à des restrictions de précaution, comme la réduction de l’accès à internet dans ses points de vente. La différence de gravité entre les trois victimes tient largement à la vitesse de détection : là où M&S a mis des jours à mesurer l’étendue de l’intrusion, Harrods a réagi en quelques heures, illustrant l’importance cruciale du temps de réaction face à un adversaire qui se déplace vite.
Cette concentration d’attaques sur le commerce britannique en quelques semaines n’a rien d’un hasard. Scattered Spider procède souvent par grappes sectorielles : après les casinos en 2023, le collectif s’est attaqué à la distribution en 2025, exploitant des points communs entre ces entreprises, des services d’assistance externalisés, des effectifs nombreux et une dépendance critique aux systèmes en ligne. Pour les distributeurs français, dont beaucoup partagent ces caractéristiques, le signal d’alarme est limpide.
DragonForce et l’ingénierie sociale : le mode opératoire décrypté
La force de Scattered Spider tient à un arsenal de techniques centrées sur l’humain plutôt que sur l’exploitation de failles logicielles. La première est l’ingénierie sociale du service d’assistance : un attaquant appelle le help desk, se fait passer pour un salarié ayant perdu l’accès à son compte, et obtient une réinitialisation de mot de passe ou un nouveau facteur d’authentification. Comme l’opérateur veut rendre service rapidement, il devient le complice involontaire de l’intrusion.
S’y ajoutent le SIM swapping (détournement du numéro de téléphone de la victime pour intercepter les codes SMS), la fatigue de l’authentification multifacteur (envoi répété de notifications push jusqu’à ce que la cible valide par lassitude) et le vishing (hameçonnage vocal). Ces méthodes contournent les protections techniques classiques. Un mot de passe robuste ne sert à rien si le service d’assistance le réinitialise pour un imposteur ; un second facteur par SMS tombe avec le SIM swapping. C’est tout l’enjeu de la transition vers des applications d’authentification résistantes à l’hameçonnage.
Une fois l’accès obtenu, Scattered Spider s’appuie sur des partenaires pour la phase de chiffrement. Le collectif a successivement collaboré avec les rançongiciels-services ALPHV/BlackCat, RansomHub puis DragonForce, ce dernier ayant été utilisé contre M&S. Ce modèle de l’affiliation, où des intrusions spécialisées rencontrent des plateformes de rançongiciel clés en main, démultiplie la menace. Adam Meyers, vice-président senior chargé du renseignement chez CrowdStrike, le formule ainsi : « Nous n’avons pas affaire à des outils, mais à des opérateurs. Ils s’adaptent en temps réel, changent de tactique pendant l’attaque et connaissent vos procédures internes mieux que certains de vos employés. »
Les arrestations de la NCA : quatre suspects interpellés
L’enquête britannique a connu un tournant le 10 juillet 2025, lorsque la National Crime Agency (NCA) a annoncé l’arrestation de quatre suspects en lien avec les attaques contre M&S, Co-op et Harrods. Le profil des interpellés confirme la jeunesse caractéristique du collectif : deux hommes de 19 ans, un adolescent de 17 ans et une femme de 20 ans. Les arrestations ont eu lieu à leur domicile, à Londres et dans les West Midlands.
Les chefs d’accusation sont lourds : infractions au Computer Misuse Act (loi britannique sur la fraude informatique), chantage, blanchiment d’argent et participation aux activités d’un groupe criminel organisé. Au moment de la déclaration de la NCA, les quatre suspects étaient maintenus en garde à vue pour interrogatoire. L’agence a précisé que les interpellations concernaient « les trois attaques, survenues en avril de cette année », confirmant l’unité de la campagne.
Ces arrestations s’inscrivent dans une offensive plus large des forces de l’ordre contre l’écosystème Scattered Spider et The Com. Selon le Forum économique mondial, un effort coordonné mené par le Royaume-Uni contre les rançongiciels et la fraude au courriel professionnel a abouti à 1 209 arrestations et à la récupération de 97,4 millions de dollars. Le démantèlement reste néanmoins difficile : la structure décentralisée du collectif, son recrutement permanent et la jeunesse de ses membres compliquent toute neutralisation durable.
MGM, Caesars, Snowflake : l’historique d’un collectif redoutable
Pour comprendre la menace, il faut remonter à septembre 2023, lorsque Scattered Spider a frappé deux géants du jeu à Las Vegas. L’attaque contre MGM Resorts a paralysé les opérations hôtelières pendant plusieurs jours : accès aux chambres, ascenseurs, machines à sous et distributeurs automatiques tombés en panne. Le coût pour MGM a dépassé 100 millions de dollars. Au même moment, Caesars Entertainment a également été visé ; plusieurs médias ont rapporté le paiement d’une rançon d’environ 15 millions de dollars, montant qui n’a jamais été officiellement confirmé par l’entreprise.
En 2024, le collectif a été associé à la compromission de plusieurs clients de la plateforme de données Snowflake, une série de fuites qui a touché de nombreuses entreprises ayant négligé l’authentification multifacteur sur leurs comptes cloud. Ce schéma révèle la constante du groupe : il ne cherche pas la prouesse technique, il exploite les maillons humains et organisationnels les plus faibles, qu’il s’agisse d’un opérateur de help desk ou d’un compte cloud mal protégé.
| Cible | Date | Impact estimé | Rançongiciel |
|---|---|---|---|
| MGM Resorts | Sept. 2023 | > 100 M$ | ALPHV/BlackCat |
| Caesars Entertainment | Sept. 2023 | ~15 M$ (rançon rapportée) | ALPHV/BlackCat |
| Clients Snowflake | 2024 | Fuites multiples | Vol de données |
| Marks & Spencer | Avril 2025 | ~300 M£ | DragonForce |
| Co-op | Avril 2025 | 6,5 M membres | DragonForce |
| Harrods | Avril 2025 | Endigué rapidement | Tentative |
Côté justice, plusieurs membres présumés ont déjà été identifiés. Aux États-Unis, Noah Urban a été poursuivi pour le vol d’identifiants via des campagnes d’hameçonnage par SMS liées au collectif. En Europe, Tyler Buchanan, un suspect écossais, a été arrêté en Espagne en juin 2024 et relié aux activités de Scattered Spider. Ces dossiers montrent que l’anonymat des jeunes pirates n’est pas absolu, même si l’enquête reste un travail de longue haleine.
Pourquoi le service d’assistance est devenu la cible numéro un
Le point commun de toutes ces attaques est saisissant : le service d’assistance informatique. Ce maillon, conçu pour dépanner rapidement les employés, est devenu la principale porte d’entrée des cybercriminels. La raison est structurelle. Un opérateur de help desk est évalué sur sa rapidité et sa capacité à débloquer les utilisateurs. Face à un interlocuteur pressé qui invoque une réunion imminente avec la direction, la tentation de réinitialiser un mot de passe sans vérification approfondie est forte.
Allison Nixon, directrice de la recherche chez Unit 221B, suit cette communauté depuis des années. « Ces jeunes connaissent les scripts des centres d’appels mieux que les salariés eux-mêmes », observe-t-elle. « Ils savent exactement quelles informations donner pour franchir chaque étape de vérification, parce qu’ils s’entraînent et partagent leurs méthodes en ligne. » La barrière n’est donc pas technologique mais procédurale : tant que la vérification d’identité repose sur des éléments connaissables (nom du manager, matricule, date de naissance), elle restera contournable.
Les parades existent. Elles passent par une vérification d’identité renforcée pour toute réinitialisation sensible : rappel sur un numéro enregistré, validation par le supérieur hiérarchique, ou utilisation de clés de sécurité physiques résistantes à l’hameçonnage. La généralisation des bonnes pratiques d’authentification et la formation des opérateurs aux scénarios d’usurpation deviennent des priorités absolues. Car comme le rappelle le dossier M&S, un seul appel suffit.
L’Europe sous pression : exercice de crise et nouvelle réglementation
La vague d’attaques contre la distribution britannique survient alors que l’Union européenne accélère sa réponse collective. Les 10 et 11 juin 2026, un exercice de cybersécurité à l’échelle de l’UE a mobilisé environ 5 000 experts pour tester la réponse à des attaques visant les réseaux ferroviaires et maritimes. L’objectif : éprouver la coordination transfrontalière face à des incidents capables de paralyser des infrastructures critiques, exactement le type de scénario que Scattered Spider rend crédible.
Sur le plan réglementaire, la Commission européenne a présenté le 20 janvier 2026 un nouveau paquet de cybersécurité visant à renforcer la résilience du bloc et à simplifier la notification des incidents, avec une collecte de données sur les rançongiciels et un rôle de coordination accru pour l’ENISA. Cette dynamique s’ajoute à l’application de la directive NIS2 et du Cyber Resilience Act, qui imposent désormais des obligations strictes de sécurité et de signalement aux entreprises essentielles.
Pour la France, le message est clair : la menace ne connaît pas les frontières. Si Scattered Spider a frappé au Royaume-Uni, rien n’empêche un collectif comparable de viser un distributeur, une banque ou un opérateur français. L’ANSSI recense d’ailleurs une intensification continue des attaques par ingénierie sociale. La conformité réglementaire ne suffit pas ; elle doit s’accompagner d’une refonte des procédures humaines les plus exposées.
Impact pour les entreprises françaises : quelles leçons retenir
Le dossier Scattered Spider envoie un signal sans ambiguïté aux directions françaises de la sécurité. Première leçon : la sécurité périmétrique ne suffit plus. Investir des millions dans des pare-feu et des antivirus ne sert à rien si un opérateur de help desk peut être manipulé en trois minutes. La sécurité doit se déplacer vers l’identité et les processus, avec une vérification renforcée pour toute opération sensible.
Deuxième leçon : le temps de détection fait la différence entre un incident maîtrisé et une catastrophe. Harrods s’en est sorti en réagissant en quelques heures ; M&S a payé son retard très cher. Cela suppose une supervision continue, des plans de réponse à incident testés régulièrement, et la capacité d’isoler rapidement les systèmes compromis. La cybermenace recensée par l’ANSSI confirme que la rapidité est devenue le critère décisif.
Troisième leçon : l’assurance cyber n’est pas un filet de sécurité suffisant. Les 100 millions de livres versés à M&S couvrent à peine un tiers du préjudice global. Les entreprises françaises doivent considérer la prévention comme un investissement, pas comme un coût. Former les équipes, durcir les procédures du service d’assistance, déployer des clés de sécurité physiques et préparer la gestion de crise coûtent infiniment moins cher qu’une interruption d’activité de six semaines.
Cinq prévisions pour la menace Scattered Spider en 2026-2027
1. La distribution et la logistique resteront des cibles privilégiées. Le modèle économique de ces secteurs, fait de services externalisés et de dépendance aux systèmes en ligne, en fait des proies idéales. D’autres enseignes européennes seront visées dans les douze prochains mois.
2. Les arrestations ne stopperont pas le phénomène. Malgré les interpellations de 2024 et 2025, la structure décentralisée de The Com et son recrutement continu garantissent une relève. Le collectif se reconfigurera sous de nouveaux noms, comme l’illustre l’émergence de l’appellation Scattered Lapsus$ Hunters.
3. L’intelligence artificielle dopera le vishing. Le clonage vocal et les agents conversationnels rendront les appels frauduleux encore plus crédibles, effaçant les derniers indices permettant de détecter une usurpation au téléphone.
4. Les clés de sécurité physiques deviendront un standard. Face à l’inefficacité des SMS et des notifications push, les grandes entreprises généraliseront les clés FIDO2 résistantes à l’hameçonnage pour les comptes à privilèges et les accès du help desk.
5. La réglementation européenne se durcira encore. Les coûts records de l’affaire M&S accéléreront l’adoption d’obligations sur la sécurité des services d’assistance et la gestion des identités, au-delà de NIS2.
Foire aux questions sur Scattered Spider
Qu’est-ce que Scattered Spider ?
Scattered Spider est un collectif cybercriminel financièrement motivé, actif depuis au moins 2022, suivi sous les noms UNC3944, Octo Tempest et Muddled Libra. Composé majoritairement de jeunes anglophones, il se spécialise dans l’ingénierie sociale plutôt que dans l’exploitation de failles logicielles.
Comment Scattered Spider a-t-il piraté Marks & Spencer ?
Les attaquants ont obtenu un accès initial en se faisant passer pour des employés auprès du service d’assistance informatique, afin d’obtenir des réinitialisations de mots de passe. Ils ont ensuite déployé le rançongiciel DragonForce. Aucune faille logicielle n’a été exploitée.
Combien la cyberattaque a-t-elle coûté à M&S ?
Marks & Spencer a chiffré l’impact à environ 300 millions de livres sterling de bénéfice opérationnel, avec des pertes de ventes en ligne estimées à 26 millions de livres par semaine et plus de 1,2 milliard de livres de capitalisation boursière effacés. L’assurance cyber a couvert 100 millions de livres.
Des suspects ont-ils été arrêtés ?
Oui. Le 10 juillet 2025, la National Crime Agency britannique a arrêté quatre suspects (deux hommes de 19 ans, un adolescent de 17 ans et une femme de 20 ans) à Londres et dans les West Midlands, pour infractions informatiques, chantage, blanchiment et participation à un groupe criminel organisé.
Co-op et Harrods ont-ils aussi été touchés ?
Oui, dans la même campagne d’avril 2025. Co-op a vu environ 6,5 millions de membres affectés, avec des rayons vides dans les zones rurales. Harrods a été visé mais a endigué l’attaque rapidement, limitant les dégâts à des restrictions de précaution.
Comment une entreprise française peut-elle se protéger ?
En renforçant la vérification d’identité au service d’assistance, en déployant des clés de sécurité physiques FIDO2 pour les comptes sensibles, en formant les opérateurs aux scénarios d’usurpation, et en testant régulièrement ses plans de réponse à incident. La rapidité de détection est le facteur décisif.
Related Coverage
- Ransomware en Europe : +44,5 % de victimes [2026]
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents [2026]
- Fuites de données : comment elles surviennent et s’en protéger
- Applis 2FA : 7 testées, Ente Auth en tête [2026]
- Hameçonnage : reconnaître la tromperie et réagir
- Sécurité en ligne : protéger ses données et ses comptes
Sources externes : Google Threat Intelligence (Mandiant), CrowdStrike, NCSC (Royaume-Uni), Europol, Marks & Spencer Corporate.
