{"id":129,"date":"2026-06-14T04:24:13","date_gmt":"2026-06-14T04:24:13","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/14\/scattered-spider-mands-300m-2026\/"},"modified":"2026-06-14T04:25:40","modified_gmt":"2026-06-14T04:25:40","slug":"scattered-spider-mands-300m-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/14\/scattered-spider-mands-300m-2026\/","title":{"rendered":"Scattered Spider : 300 M\u00a3 de pertes chez M&S [2026]"},"content":{"rendered":"\n

Un an apr\u00e8s la vague de cyberattaques qui a paralys\u00e9 Marks & Spencer, Co-op et Harrods au printemps 2025, l’addition est tomb\u00e9e. Le distributeur britannique chiffre d\u00e9sormais le pr\u00e9judice \u00e0 environ 300 millions de livres sterling de b\u00e9n\u00e9fice op\u00e9rationnel perdu, l’attaque la plus co\u00fbteuse jamais subie par une enseigne europ\u00e9enne. Derri\u00e8re ces trois noms, un seul collectif criminel : Scattered Spider<\/strong>, un groupe de jeunes anglophones qui a fait de la manipulation des services d’assistance informatique son arme principale. En juin 2026, alors que l’Union europ\u00e9enne mobilise 5 000 experts pour un exercice de crise et que la Commission durcit sa r\u00e9glementation, ce dossier sert d’avertissement \u00e0 toutes les directions de la s\u00e9curit\u00e9 du continent.<\/p>\n\n\n\n

Cet article d\u00e9cortique l’affaire chiffre par chiffre : le mode op\u00e9ratoire de Scattered Spider<\/strong>, le co\u00fbt r\u00e9el pour les victimes, les arrestations men\u00e9es par la police britannique, l’historique du groupe et les le\u00e7ons que les entreprises fran\u00e7aises doivent en tirer. Spoiler : aucune faille logicielle n’a \u00e9t\u00e9 exploit\u00e9e. La porte d’entr\u00e9e, c’\u00e9tait un coup de t\u00e9l\u00e9phone.<\/p>\n\n\n\n

Scattered Spider : qui est le groupe derri\u00e8re l’attaque de M&S<\/h2>\n\n\n\n

Scattered Spider n’est pas une organisation criminelle classique. Suivi sous les noms de code UNC3944<\/strong> (Mandiant\/Google), Octo Tempest<\/strong> (Microsoft) et Muddled Libra<\/strong> (Palo Alto Networks), le collectif est actif depuis au moins 2022. Sa particularit\u00e9 tient \u00e0 son profil humain : ses membres sont en majorit\u00e9 des adolescents et de jeunes adultes anglophones, \u00e2g\u00e9s de 19 \u00e0 22 ans au moment des attaques de 2023, bas\u00e9s aux \u00c9tats-Unis et au Royaume-Uni. Cette ma\u00eetrise native de l’anglais change tout. L\u00e0 o\u00f9 les ran\u00e7ongiciels d’Europe de l’Est trahissent souvent leur origine par des courriels d’hame\u00e7onnage truff\u00e9s de fautes, Scattered Spider d\u00e9croche le t\u00e9l\u00e9phone et se fait passer, sans accent suspect, pour un employ\u00e9 ou un technicien interne.<\/p>\n\n\n\n

Le groupe gravite autour de The Com<\/strong>, une n\u00e9buleuse cybercriminelle anglophone o\u00f9 se croisent escrocs au SIM swapping, harceleurs et apprentis pirates. Cette communaut\u00e9 fonctionne comme un vivier : les comp\u00e9tences se transmettent, les cibles se partagent, et les jeunes recrues montent en grade en r\u00e9ussissant des coups d’\u00e9clat. Initialement, Scattered Spider visait surtout les secteurs de la gestion de la relation client, des centres d’appels externalis\u00e9s, des t\u00e9l\u00e9communications et de la technologie. Le collectif a ensuite \u00e9largi son terrain de chasse aux casinos, \u00e0 l’h\u00f4tellerie, puis \u00e0 la distribution, comme l’a montr\u00e9 la s\u00e9rie d’attaques de 2025.<\/p>\n\n\n\n

\u00ab Scattered Spider compte parmi les acteurs les plus agressifs et les plus difficiles \u00e0 contrer que nous suivions \u00bb, r\u00e9sume Charles Carmakal, directeur technique de Mandiant chez Google Cloud. \u00ab Ils ne cassent pas une serrure num\u00e9rique, ils convainquent quelqu’un de leur ouvrir la porte. \u00bb Cette bascule, du code vers l’humain, explique pourquoi des entreprises pourtant bien dot\u00e9es en outils de s\u00e9curit\u00e9 se sont fait pi\u00e9ger en quelques heures.<\/p>\n\n\n\n

La chronologie de l’attaque contre Marks & Spencer<\/h2>\n\n\n\n

L’attaque contre Marks & Spencer \u00e9clate au grand jour pendant le week-end de P\u00e2ques 2025, autour du 21 avril. D\u00e8s le 25 avril, l’enseigne suspend ses commandes en ligne pour contenir l’intrusion. Le distributeur, qui r\u00e9alise une part importante de son chiffre d’affaires v\u00eatements et maison sur internet, va rester priv\u00e9 de ventes en ligne pendant pr\u00e8s de six semaines. Les rayons alimentaires connaissent aussi des ruptures, faute de syst\u00e8mes logistiques op\u00e9rationnels. M&S pr\u00e9vient alors que la perturbation se prolongera jusqu’en juin, voire juillet.<\/p>\n\n\n\n

Le mode op\u00e9ratoire est d\u00e9sormais document\u00e9. Les attaquants ont obtenu un acc\u00e8s initial par ing\u00e9nierie sociale visant le service d’assistance informatique : en se faisant passer pour des collaborateurs internes, ils ont obtenu des r\u00e9initialisations de mots de passe et des acc\u00e8s \u00e0 privil\u00e8ges. Une fois dans le r\u00e9seau, le collectif a d\u00e9ploy\u00e9 le ran\u00e7ongiciel DragonForce<\/strong> pour chiffrer une partie de l’infrastructure. Les donn\u00e9es personnelles de clients ont \u00e9t\u00e9 d\u00e9rob\u00e9es : coordonn\u00e9es, dates de naissance, historique des commandes. M&S a toutefois insist\u00e9 sur un point : aucune donn\u00e9e de carte bancaire exploitable ni aucun mot de passe n’ont \u00e9t\u00e9 compromis, et rien n’indiquait que les donn\u00e9es vol\u00e9es aient \u00e9t\u00e9 diffus\u00e9es.<\/p>\n\n\n\n

Archie Norman, pr\u00e9sident de Marks & Spencer, a d\u00e9crit l’origine de la br\u00e8che en des termes rest\u00e9s c\u00e9l\u00e8bres : il s’agissait de \u00ab ce que les gens appellent aujourd’hui de l’ing\u00e9nierie sociale, un euph\u00e9misme pour d\u00e9signer l’usurpation d’identit\u00e9 \u00bb. La phrase r\u00e9sume le paradoxe de l’affaire : une entreprise centenaire, \u00e9quip\u00e9e de pare-feu et d’antivirus, mise \u00e0 terre par un simple appel t\u00e9l\u00e9phonique convaincant. Pour les RSSI europ\u00e9ens, c’est la d\u00e9monstration que le maillon faible n’est plus le logiciel, mais l’humain au bout du fil.<\/p>\n\n\n\n

300 millions de livres : le co\u00fbt r\u00e9el de la cyberattaque<\/h2>\n\n\n\n

Le chiffre qui a marqu\u00e9 les esprits est celui de l’impact sur le b\u00e9n\u00e9fice : Marks & Spencer a quantifi\u00e9 le pr\u00e9judice \u00e0 environ 300 millions de livres sterling<\/strong> de b\u00e9n\u00e9fice op\u00e9rationnel annuel. Pour mesurer l’ampleur, une analyse estime les pertes de ventes en ligne \u00e0 26 millions de livres par semaine pendant l’interruption. En Bourse, le choc a \u00e9t\u00e9 imm\u00e9diat : selon les sources, l’attaque a effac\u00e9 plus de 1,2 milliard de livres de capitalisation boursi\u00e8re dans les jours suivant la r\u00e9v\u00e9lation.<\/p>\n\n\n\n

Les comptes interm\u00e9diaires apportent un \u00e9clairage plus pr\u00e9cis sur les co\u00fbts directs. M&S a comptabilis\u00e9 101,6 millions de livres de frais li\u00e9s \u00e0 l’incident sur son premier semestre, dont 82,7 millions pour la r\u00e9ponse \u00e0 incident et la rem\u00e9diation, et 18,9 millions de co\u00fbts li\u00e9s \u00e0 des tiers. Face \u00e0 cette facture, l’enseigne a per\u00e7u 100 millions de livres au titre de son assurance cyber, une somme qui couvre une partie des d\u00e9penses imm\u00e9diates mais reste loin du pr\u00e9judice global lorsqu’on y ajoute les ventes perdues et la d\u00e9fiance des clients.<\/p>\n\n\n\n

Indicateur financier (M&S)<\/th>Montant<\/th>D\u00e9tail<\/th><\/tr><\/thead>
Impact sur le b\u00e9n\u00e9fice op\u00e9rationnel<\/td>~300 M\u00a3<\/td>Sur l’exercice annuel<\/td><\/tr>
Pertes de ventes en ligne<\/td>~26 M\u00a3 \/ semaine<\/td>Pendant ~6 semaines<\/td><\/tr>
Capitalisation boursi\u00e8re effac\u00e9e<\/td>> 1,2 Md\u00a3<\/td>Jours suivant la r\u00e9v\u00e9lation<\/td><\/tr>
Co\u00fbts de l’incident (S1)<\/td>101,6 M\u00a3<\/td>Dont 82,7 M\u00a3 de rem\u00e9diation<\/td><\/tr>
Co\u00fbts li\u00e9s aux tiers<\/td>18,9 M\u00a3<\/td>Inclus dans les 101,6 M\u00a3<\/td><\/tr>
Indemnisation assurance cyber<\/td>100 M\u00a3<\/td>Versement per\u00e7u<\/td><\/tr><\/tbody><\/table>
Bilan financier de la cyberattaque Marks & Spencer (2025-2026). Sources : communications financi\u00e8res M&S, analyses de presse.<\/figcaption><\/figure>\n\n\n\n

Au-del\u00e0 des chiffres, l’\u00e9pisode illustre une r\u00e9alit\u00e9 que la vague de ran\u00e7ongiciels en Europe<\/a> confirme depuis deux ans : le co\u00fbt d’une attaque ne se r\u00e9sume jamais \u00e0 la ran\u00e7on. L’interruption d’activit\u00e9, la remise en \u00e9tat des syst\u00e8mes, les honoraires d’experts et la perte de confiance p\u00e8sent souvent dix fois plus lourd. Pour une enseigne dont le mod\u00e8le repose sur la fr\u00e9quentation et la fid\u00e9lit\u00e9, six semaines sans ventes en ligne laissent une cicatrice durable.<\/p>\n\n\n\n

Co-op et Harrods : l’effet domino sur la distribution britannique<\/h2>\n\n\n\n

Marks & Spencer n’a pas \u00e9t\u00e9 la seule cible. Au cours de la m\u00eame campagne d’avril 2025, le groupe coop\u00e9ratif Co-op<\/strong> a subi une attaque dont l’ampleur s’est r\u00e9v\u00e9l\u00e9e massive : environ 6,5 millions de membres ont \u00e9t\u00e9 touch\u00e9s selon les \u00e9l\u00e9ments rendus publics par la suite. Les syst\u00e8mes de commande et de logistique ont \u00e9t\u00e9 compromis, provoquant des rayons vides et des ruptures d’approvisionnement, particuli\u00e8rement s\u00e9v\u00e8res dans les zones rurales o\u00f9 Co-op exploite de nombreux magasins de proximit\u00e9. Pour des villages d\u00e9pendant d’une seule enseigne, la p\u00e9nurie a eu des cons\u00e9quences concr\u00e8tes sur l’acc\u00e8s \u00e0 l’alimentation.<\/p>\n\n\n\n

Le grand magasin de luxe Harrods<\/strong> a lui aussi \u00e9t\u00e9 vis\u00e9 dans le m\u00eame mouvement. L’enseigne londonienne affirme avoir identifi\u00e9 et endigu\u00e9 l’attaque rapidement, limitant la casse \u00e0 des restrictions de pr\u00e9caution, comme la r\u00e9duction de l’acc\u00e8s \u00e0 internet dans ses points de vente. La diff\u00e9rence de gravit\u00e9 entre les trois victimes tient largement \u00e0 la vitesse de d\u00e9tection : l\u00e0 o\u00f9 M&S a mis des jours \u00e0 mesurer l’\u00e9tendue de l’intrusion, Harrods a r\u00e9agi en quelques heures, illustrant l’importance cruciale du temps de r\u00e9action face \u00e0 un adversaire qui se d\u00e9place vite.<\/p>\n\n\n\n

Cette concentration d’attaques sur le commerce britannique en quelques semaines n’a rien d’un hasard. Scattered Spider proc\u00e8de souvent par grappes sectorielles : apr\u00e8s les casinos en 2023, le collectif s’est attaqu\u00e9 \u00e0 la distribution en 2025, exploitant des points communs entre ces entreprises, des services d’assistance externalis\u00e9s, des effectifs nombreux et une d\u00e9pendance critique aux syst\u00e8mes en ligne. Pour les distributeurs fran\u00e7ais, dont beaucoup partagent ces caract\u00e9ristiques, le signal d’alarme est limpide.<\/p>\n\n\n\n

DragonForce et l’ing\u00e9nierie sociale : le mode op\u00e9ratoire d\u00e9crypt\u00e9<\/h2>\n\n\n\n

La force de Scattered Spider tient \u00e0 un arsenal de techniques centr\u00e9es sur l’humain plut\u00f4t que sur l’exploitation de failles logicielles. La premi\u00e8re est l’ing\u00e9nierie sociale du service d’assistance<\/strong> : un attaquant appelle le help desk, se fait passer pour un salari\u00e9 ayant perdu l’acc\u00e8s \u00e0 son compte, et obtient une r\u00e9initialisation de mot de passe ou un nouveau facteur d’authentification. Comme l’op\u00e9rateur veut rendre service rapidement, il devient le complice involontaire de l’intrusion.<\/p>\n\n\n\n

S’y ajoutent le SIM swapping<\/strong> (d\u00e9tournement du num\u00e9ro de t\u00e9l\u00e9phone de la victime pour intercepter les codes SMS), la fatigue de l’authentification multifacteur<\/strong> (envoi r\u00e9p\u00e9t\u00e9 de notifications push jusqu’\u00e0 ce que la cible valide par lassitude) et le vishing<\/strong> (hame\u00e7onnage vocal). Ces m\u00e9thodes contournent les protections techniques classiques. Un mot de passe robuste ne sert \u00e0 rien si le service d’assistance le r\u00e9initialise pour un imposteur ; un second facteur par SMS tombe avec le SIM swapping. C’est tout l’enjeu de la transition vers des applications d’authentification r\u00e9sistantes \u00e0 l’hame\u00e7onnage<\/a>.<\/p>\n\n\n\n

Une fois l’acc\u00e8s obtenu, Scattered Spider s’appuie sur des partenaires pour la phase de chiffrement. Le collectif a successivement collabor\u00e9 avec les ran\u00e7ongiciels-services ALPHV\/BlackCat<\/strong>, RansomHub<\/strong> puis DragonForce<\/strong>, ce dernier ayant \u00e9t\u00e9 utilis\u00e9 contre M&S. Ce mod\u00e8le de l’affiliation, o\u00f9 des intrusions sp\u00e9cialis\u00e9es rencontrent des plateformes de ran\u00e7ongiciel cl\u00e9s en main, d\u00e9multiplie la menace. Adam Meyers, vice-pr\u00e9sident senior charg\u00e9 du renseignement chez CrowdStrike, le formule ainsi : \u00ab Nous n’avons pas affaire \u00e0 des outils, mais \u00e0 des op\u00e9rateurs. Ils s’adaptent en temps r\u00e9el, changent de tactique pendant l’attaque et connaissent vos proc\u00e9dures internes mieux que certains de vos employ\u00e9s. \u00bb<\/p>\n\n\n\n

Les arrestations de la NCA : quatre suspects interpell\u00e9s<\/h2>\n\n\n\n

L’enqu\u00eate britannique a connu un tournant le 10 juillet 2025<\/strong>, lorsque la National Crime Agency (NCA) a annonc\u00e9 l’arrestation de quatre suspects en lien avec les attaques contre M&S, Co-op et Harrods. Le profil des interpell\u00e9s confirme la jeunesse caract\u00e9ristique du collectif : deux hommes de 19 ans, un adolescent de 17 ans et une femme de 20 ans. Les arrestations ont eu lieu \u00e0 leur domicile, \u00e0 Londres et dans les West Midlands.<\/p>\n\n\n\n

Les chefs d’accusation sont lourds : infractions au Computer Misuse Act (loi britannique sur la fraude informatique), chantage, blanchiment d’argent et participation aux activit\u00e9s d’un groupe criminel organis\u00e9. Au moment de la d\u00e9claration de la NCA, les quatre suspects \u00e9taient maintenus en garde \u00e0 vue pour interrogatoire. L’agence a pr\u00e9cis\u00e9 que les interpellations concernaient \u00ab les trois attaques, survenues en avril de cette ann\u00e9e \u00bb, confirmant l’unit\u00e9 de la campagne.<\/p>\n\n\n\n

Ces arrestations s’inscrivent dans une offensive plus large des forces de l’ordre contre l’\u00e9cosyst\u00e8me Scattered Spider et The Com. Selon le Forum \u00e9conomique mondial, un effort coordonn\u00e9 men\u00e9 par le Royaume-Uni contre les ran\u00e7ongiciels et la fraude au courriel professionnel a abouti \u00e0 1 209 arrestations et \u00e0 la r\u00e9cup\u00e9ration de 97,4 millions de dollars. Le d\u00e9mant\u00e8lement reste n\u00e9anmoins difficile : la structure d\u00e9centralis\u00e9e du collectif, son recrutement permanent et la jeunesse de ses membres compliquent toute neutralisation durable.<\/p>\n\n\n\n

MGM, Caesars, Snowflake : l’historique d’un collectif redoutable<\/h2>\n\n\n\n

Pour comprendre la menace, il faut remonter \u00e0 septembre 2023, lorsque Scattered Spider a frapp\u00e9 deux g\u00e9ants du jeu \u00e0 Las Vegas. L’attaque contre MGM Resorts<\/strong> a paralys\u00e9 les op\u00e9rations h\u00f4teli\u00e8res pendant plusieurs jours : acc\u00e8s aux chambres, ascenseurs, machines \u00e0 sous et distributeurs automatiques tomb\u00e9s en panne. Le co\u00fbt pour MGM a d\u00e9pass\u00e9 100 millions de dollars. Au m\u00eame moment, Caesars Entertainment<\/strong> a \u00e9galement \u00e9t\u00e9 vis\u00e9 ; plusieurs m\u00e9dias ont rapport\u00e9 le paiement d’une ran\u00e7on d’environ 15 millions de dollars, montant qui n’a jamais \u00e9t\u00e9 officiellement confirm\u00e9 par l’entreprise.<\/p>\n\n\n\n

En 2024, le collectif a \u00e9t\u00e9 associ\u00e9 \u00e0 la compromission de plusieurs clients de la plateforme de donn\u00e9es Snowflake<\/strong>, une s\u00e9rie de fuites qui a touch\u00e9 de nombreuses entreprises ayant n\u00e9glig\u00e9 l’authentification multifacteur sur leurs comptes cloud. Ce sch\u00e9ma r\u00e9v\u00e8le la constante du groupe : il ne cherche pas la prouesse technique, il exploite les maillons humains et organisationnels les plus faibles, qu’il s’agisse d’un op\u00e9rateur de help desk ou d’un compte cloud mal prot\u00e9g\u00e9.<\/p>\n\n\n\n

Cible<\/th>Date<\/th>Impact estim\u00e9<\/th>Ran\u00e7ongiciel<\/th><\/tr><\/thead>
MGM Resorts<\/td>Sept. 2023<\/td>> 100 M$<\/td>ALPHV\/BlackCat<\/td><\/tr>
Caesars Entertainment<\/td>Sept. 2023<\/td>~15 M$ (ran\u00e7on rapport\u00e9e)<\/td>ALPHV\/BlackCat<\/td><\/tr>
Clients Snowflake<\/td>2024<\/td>Fuites multiples<\/td>Vol de donn\u00e9es<\/td><\/tr>
Marks & Spencer<\/td>Avril 2025<\/td>~300 M\u00a3<\/td>DragonForce<\/td><\/tr>
Co-op<\/td>Avril 2025<\/td>6,5 M membres<\/td>DragonForce<\/td><\/tr>
Harrods<\/td>Avril 2025<\/td>Endigu\u00e9 rapidement<\/td>Tentative<\/td><\/tr><\/tbody><\/table>
Principales attaques attribu\u00e9es \u00e0 Scattered Spider (2023-2025). Sources : Mandiant, CrowdStrike, rapports de presse.<\/figcaption><\/figure>\n\n\n\n

C\u00f4t\u00e9 justice, plusieurs membres pr\u00e9sum\u00e9s ont d\u00e9j\u00e0 \u00e9t\u00e9 identifi\u00e9s. Aux \u00c9tats-Unis, Noah Urban a \u00e9t\u00e9 poursuivi pour le vol d’identifiants via des campagnes d’hame\u00e7onnage par SMS li\u00e9es au collectif. En Europe, Tyler Buchanan, un suspect \u00e9cossais, a \u00e9t\u00e9 arr\u00eat\u00e9 en Espagne en juin 2024 et reli\u00e9 aux activit\u00e9s de Scattered Spider. Ces dossiers montrent que l’anonymat des jeunes pirates n’est pas absolu, m\u00eame si l’enqu\u00eate reste un travail de longue haleine.<\/p>\n\n\n\n

Pourquoi le service d’assistance est devenu la cible num\u00e9ro un<\/h2>\n\n\n\n

Le point commun de toutes ces attaques est saisissant : le service d’assistance informatique. Ce maillon, con\u00e7u pour d\u00e9panner rapidement les employ\u00e9s, est devenu la principale porte d’entr\u00e9e des cybercriminels. La raison est structurelle. Un op\u00e9rateur de help desk est \u00e9valu\u00e9 sur sa rapidit\u00e9 et sa capacit\u00e9 \u00e0 d\u00e9bloquer les utilisateurs. Face \u00e0 un interlocuteur press\u00e9 qui invoque une r\u00e9union imminente avec la direction, la tentation de r\u00e9initialiser un mot de passe sans v\u00e9rification approfondie est forte.<\/p>\n\n\n\n

Allison Nixon, directrice de la recherche chez Unit 221B, suit cette communaut\u00e9 depuis des ann\u00e9es. \u00ab Ces jeunes connaissent les scripts des centres d’appels mieux que les salari\u00e9s eux-m\u00eames \u00bb, observe-t-elle. \u00ab Ils savent exactement quelles informations donner pour franchir chaque \u00e9tape de v\u00e9rification, parce qu’ils s’entra\u00eenent et partagent leurs m\u00e9thodes en ligne. \u00bb La barri\u00e8re n’est donc pas technologique mais proc\u00e9durale : tant que la v\u00e9rification d’identit\u00e9 repose sur des \u00e9l\u00e9ments connaissables (nom du manager, matricule, date de naissance), elle restera contournable.<\/p>\n\n\n\n

Les parades existent. Elles passent par une v\u00e9rification d’identit\u00e9 renforc\u00e9e pour toute r\u00e9initialisation sensible : rappel sur un num\u00e9ro enregistr\u00e9, validation par le sup\u00e9rieur hi\u00e9rarchique, ou utilisation de cl\u00e9s de s\u00e9curit\u00e9 physiques r\u00e9sistantes \u00e0 l’hame\u00e7onnage. La g\u00e9n\u00e9ralisation des bonnes pratiques d’authentification<\/a> et la formation des op\u00e9rateurs aux sc\u00e9narios d’usurpation deviennent des priorit\u00e9s absolues. Car comme le rappelle le dossier M&S, un seul appel suffit.<\/p>\n\n\n\n

L’Europe sous pression : exercice de crise et nouvelle r\u00e9glementation<\/h2>\n\n\n\n

La vague d’attaques contre la distribution britannique survient alors que l’Union europ\u00e9enne acc\u00e9l\u00e8re sa r\u00e9ponse collective. Les 10 et 11 juin 2026, un exercice de cybers\u00e9curit\u00e9 \u00e0 l’\u00e9chelle de l’UE a mobilis\u00e9 environ 5 000 experts pour tester la r\u00e9ponse \u00e0 des attaques visant les r\u00e9seaux ferroviaires et maritimes. L’objectif : \u00e9prouver la coordination transfrontali\u00e8re face \u00e0 des incidents capables de paralyser des infrastructures critiques, exactement le type de sc\u00e9nario que Scattered Spider rend cr\u00e9dible.<\/p>\n\n\n\n

Sur le plan r\u00e9glementaire, la Commission europ\u00e9enne a pr\u00e9sent\u00e9 le 20 janvier 2026 un nouveau paquet de cybers\u00e9curit\u00e9 visant \u00e0 renforcer la r\u00e9silience du bloc et \u00e0 simplifier la notification des incidents, avec une collecte de donn\u00e9es sur les ran\u00e7ongiciels et un r\u00f4le de coordination accru pour l’ENISA<\/a>. Cette dynamique s’ajoute \u00e0 l’application de la directive NIS2 et du Cyber Resilience Act, qui imposent d\u00e9sormais des obligations strictes de s\u00e9curit\u00e9 et de signalement aux entreprises essentielles.<\/p>\n\n\n\n

Pour la France, le message est clair : la menace ne conna\u00eet pas les fronti\u00e8res. Si Scattered Spider a frapp\u00e9 au Royaume-Uni, rien n’emp\u00eache un collectif comparable de viser un distributeur, une banque ou un op\u00e9rateur fran\u00e7ais. L’ANSSI<\/a> recense d’ailleurs une intensification continue des attaques par ing\u00e9nierie sociale. La conformit\u00e9 r\u00e9glementaire ne suffit pas ; elle doit s’accompagner d’une refonte des proc\u00e9dures humaines les plus expos\u00e9es.<\/p>\n\n\n\n

Impact pour les entreprises fran\u00e7aises : quelles le\u00e7ons retenir<\/h2>\n\n\n\n

Le dossier Scattered Spider envoie un signal sans ambigu\u00eft\u00e9 aux directions fran\u00e7aises de la s\u00e9curit\u00e9. Premi\u00e8re le\u00e7on : la s\u00e9curit\u00e9 p\u00e9rim\u00e9trique ne suffit plus. Investir des millions dans des pare-feu et des antivirus ne sert \u00e0 rien si un op\u00e9rateur de help desk peut \u00eatre manipul\u00e9 en trois minutes. La s\u00e9curit\u00e9 doit se d\u00e9placer vers l’identit\u00e9 et les processus, avec une v\u00e9rification renforc\u00e9e pour toute op\u00e9ration sensible.<\/p>\n\n\n\n

Deuxi\u00e8me le\u00e7on : le temps de d\u00e9tection fait la diff\u00e9rence entre un incident ma\u00eetris\u00e9 et une catastrophe. Harrods s’en est sorti en r\u00e9agissant en quelques heures ; M&S a pay\u00e9 son retard tr\u00e8s cher. Cela suppose une supervision continue, des plans de r\u00e9ponse \u00e0 incident test\u00e9s r\u00e9guli\u00e8rement, et la capacit\u00e9 d’isoler rapidement les syst\u00e8mes compromis. La cybermenace recens\u00e9e par l’ANSSI<\/a> confirme que la rapidit\u00e9 est devenue le crit\u00e8re d\u00e9cisif.<\/p>\n\n\n\n

Troisi\u00e8me le\u00e7on : l’assurance cyber n’est pas un filet de s\u00e9curit\u00e9 suffisant. Les 100 millions de livres vers\u00e9s \u00e0 M&S couvrent \u00e0 peine un tiers du pr\u00e9judice global. Les entreprises fran\u00e7aises doivent consid\u00e9rer la pr\u00e9vention comme un investissement, pas comme un co\u00fbt. Former les \u00e9quipes, durcir les proc\u00e9dures du service d’assistance, d\u00e9ployer des cl\u00e9s de s\u00e9curit\u00e9 physiques et pr\u00e9parer la gestion de crise co\u00fbtent infiniment moins cher qu’une interruption d’activit\u00e9 de six semaines.<\/p>\n\n\n\n

Cinq pr\u00e9visions pour la menace Scattered Spider en 2026-2027<\/h2>\n\n\n\n

1. La distribution et la logistique resteront des cibles privil\u00e9gi\u00e9es.<\/strong> Le mod\u00e8le \u00e9conomique de ces secteurs, fait de services externalis\u00e9s et de d\u00e9pendance aux syst\u00e8mes en ligne, en fait des proies id\u00e9ales. D’autres enseignes europ\u00e9ennes seront vis\u00e9es dans les douze prochains mois.<\/p>\n\n\n\n

2. Les arrestations ne stopperont pas le ph\u00e9nom\u00e8ne.<\/strong> Malgr\u00e9 les interpellations de 2024 et 2025, la structure d\u00e9centralis\u00e9e de The Com et son recrutement continu garantissent une rel\u00e8ve. Le collectif se reconfigurera sous de nouveaux noms, comme l’illustre l’\u00e9mergence de l’appellation Scattered Lapsus$ Hunters.<\/p>\n\n\n\n

3. L’intelligence artificielle dopera le vishing.<\/strong> Le clonage vocal et les agents conversationnels rendront les appels frauduleux encore plus cr\u00e9dibles, effa\u00e7ant les derniers indices permettant de d\u00e9tecter une usurpation au t\u00e9l\u00e9phone.<\/p>\n\n\n\n

4. Les cl\u00e9s de s\u00e9curit\u00e9 physiques deviendront un standard.<\/strong> Face \u00e0 l’inefficacit\u00e9 des SMS et des notifications push, les grandes entreprises g\u00e9n\u00e9raliseront les cl\u00e9s FIDO2 r\u00e9sistantes \u00e0 l’hame\u00e7onnage pour les comptes \u00e0 privil\u00e8ges et les acc\u00e8s du help desk.<\/p>\n\n\n\n

5. La r\u00e9glementation europ\u00e9enne se durcira encore.<\/strong> Les co\u00fbts records de l’affaire M&S acc\u00e9l\u00e9reront l’adoption d’obligations sur la s\u00e9curit\u00e9 des services d’assistance et la gestion des identit\u00e9s, au-del\u00e0 de NIS2.<\/p>\n\n\n\n

Foire aux questions sur Scattered Spider<\/h2>\n\n\n\n

Qu’est-ce que Scattered Spider ?<\/h3>\n\n\n\n

Scattered Spider est un collectif cybercriminel financi\u00e8rement motiv\u00e9, actif depuis au moins 2022, suivi sous les noms UNC3944, Octo Tempest et Muddled Libra. Compos\u00e9 majoritairement de jeunes anglophones, il se sp\u00e9cialise dans l’ing\u00e9nierie sociale plut\u00f4t que dans l’exploitation de failles logicielles.<\/p>\n\n\n\n

Comment Scattered Spider a-t-il pirat\u00e9 Marks & Spencer ?<\/h3>\n\n\n\n

Les attaquants ont obtenu un acc\u00e8s initial en se faisant passer pour des employ\u00e9s aupr\u00e8s du service d’assistance informatique, afin d’obtenir des r\u00e9initialisations de mots de passe. Ils ont ensuite d\u00e9ploy\u00e9 le ran\u00e7ongiciel DragonForce. Aucune faille logicielle n’a \u00e9t\u00e9 exploit\u00e9e.<\/p>\n\n\n\n

Combien la cyberattaque a-t-elle co\u00fbt\u00e9 \u00e0 M&S ?<\/h3>\n\n\n\n

Marks & Spencer a chiffr\u00e9 l’impact \u00e0 environ 300 millions de livres sterling de b\u00e9n\u00e9fice op\u00e9rationnel, avec des pertes de ventes en ligne estim\u00e9es \u00e0 26 millions de livres par semaine et plus de 1,2 milliard de livres de capitalisation boursi\u00e8re effac\u00e9s. L’assurance cyber a couvert 100 millions de livres.<\/p>\n\n\n\n

Des suspects ont-ils \u00e9t\u00e9 arr\u00eat\u00e9s ?<\/h3>\n\n\n\n

Oui. Le 10 juillet 2025, la National Crime Agency britannique a arr\u00eat\u00e9 quatre suspects (deux hommes de 19 ans, un adolescent de 17 ans et une femme de 20 ans) \u00e0 Londres et dans les West Midlands, pour infractions informatiques, chantage, blanchiment et participation \u00e0 un groupe criminel organis\u00e9.<\/p>\n\n\n\n

Co-op et Harrods ont-ils aussi \u00e9t\u00e9 touch\u00e9s ?<\/h3>\n\n\n\n

Oui, dans la m\u00eame campagne d’avril 2025. Co-op a vu environ 6,5 millions de membres affect\u00e9s, avec des rayons vides dans les zones rurales. Harrods a \u00e9t\u00e9 vis\u00e9 mais a endigu\u00e9 l’attaque rapidement, limitant les d\u00e9g\u00e2ts \u00e0 des restrictions de pr\u00e9caution.<\/p>\n\n\n\n

Comment une entreprise fran\u00e7aise peut-elle se prot\u00e9ger ?<\/h3>\n\n\n\n

En renfor\u00e7ant la v\u00e9rification d’identit\u00e9 au service d’assistance, en d\u00e9ployant des cl\u00e9s de s\u00e9curit\u00e9 physiques FIDO2 pour les comptes sensibles, en formant les op\u00e9rateurs aux sc\u00e9narios d’usurpation, et en testant r\u00e9guli\u00e8rement ses plans de r\u00e9ponse \u00e0 incident. La rapidit\u00e9 de d\u00e9tection est le facteur d\u00e9cisif.<\/p>\n\n\n\n

Related Coverage<\/h3>\n\n\n\n