{"id":298,"date":"2026-06-21T00:01:00","date_gmt":"2026-06-21T00:01:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/?p=298"},"modified":"2026-06-21T04:25:52","modified_gmt":"2026-06-21T04:25:52","slug":"scattered-spider-dragonforce-marks-spencer-coopharrods-500m-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/21\/scattered-spider-dragonforce-marks-spencer-coopharrods-500m-2026\/","title":{"rendered":"Scattered Spider & DragonForce : M\\&S, Co-op et Harrods Perdent \u00a3500M [2026]"},"content":{"rendered":"\n

En avril 2025, trois des enseignes de distribution les plus embl\u00e9matiques du Royaume-Uni ont \u00e9t\u00e9 paralys\u00e9es en quelques semaines. Marks & Spencer, Co-op et Harrods ont subi des cyberattaques coordonn\u00e9es orchestr\u00e9es par le groupe Scattered Spider, arm\u00e9 du ransomware-as-a-service DragonForce. Bilan : \u00a3500 millions de pertes cumul\u00e9es<\/strong>, 6,5 millions de membres Co-op expos\u00e9s, 46 jours de ventes en ligne suspendues pour M&S, et quatre arrestations de jeunes Britanniques \u00e2g\u00e9s de 17 \u00e0 20 ans. Un an plus tard, cette vague demeure l’\u00e9v\u00e9nement cybercriminel le plus co\u00fbteux de l’histoire du commerce de d\u00e9tail europ\u00e9en, et ses le\u00e7ons restent d’une actualit\u00e9 br\u00fblante pour toutes les entreprises du continent.<\/p>\n\n\n\n

Scattered Spider : anatomie d’un groupe criminel atypique<\/h2>\n\n\n\n

Scattered Spider, \u00e9galement r\u00e9f\u00e9renc\u00e9 sous l’alias UNC3944<\/strong> dans la taxonomie de Mandiant\/Google Threat Intelligence, est une n\u00e9buleuse cybercriminelle anglophone compos\u00e9e principalement de jeunes adultes et d’adolescents britanniques et am\u00e9ricains. Actif depuis 2022, le groupe a cibl\u00e9 plus de 100 organisations<\/strong> dans des secteurs aussi vari\u00e9s que les t\u00e9l\u00e9communications, la finance, le jeu vid\u00e9o et, plus r\u00e9cemment, la grande distribution. Sa signature : l’ing\u00e9nierie sociale port\u00e9e \u00e0 un niveau de sophistication rarement observ\u00e9, combinant SIM swapping, phishing vocal (vishing) et manipulation cibl\u00e9e des helpdesks informatiques.<\/p>\n\n\n\n

Contrairement aux groupes APT (Advanced Persistent Threat) \u00e9tatiques, Scattered Spider op\u00e8re dans un \u00e9cosyst\u00e8me hybride : ses membres recrutent des comp\u00e9tences techniques sur des forums comme Telegram et BreachForums, puis externalisent la partie ransomware \u00e0 des plateformes RaaS. En 2023, le groupe avait d\u00e9j\u00e0 paralys\u00e9 MGM Resorts International pendant dix jours, causant des pertes estim\u00e9es \u00e0 100 millions de dollars<\/strong> d\u00e9clar\u00e9es \u00e0 la SEC am\u00e9ricaine. L’attaque de 2025 contre les retailers britanniques confirme une mont\u00e9e en puissance inqui\u00e9tante.<\/p>\n\n\n\n

David Warburton, directeur de la recherche chez F5 Labs, souligne la singularit\u00e9 du groupe : \u00ab Scattered Spider casse tous les clich\u00e9s de la cybercriminalit\u00e9 organis\u00e9e. Ces jeunes gens parlent anglais nativement, ma\u00eetrisent parfaitement les cultures d’entreprise anglophones, et exploitent ce capital culturel pour tromper des agents de support sans m\u00e9fiance. Aucune barri\u00e8re linguistique, aucune h\u00e9sitation lors des appels t\u00e9l\u00e9phoniques. \u00bb<\/em><\/p>\n\n\n\n

DragonForce : le ransomware-as-a-service qui a tout d\u00e9clench\u00e9<\/h2>\n\n\n\n

DragonForce est une plateforme RaaS \u00e9mergente qui fournit \u00e0 ses affili\u00e9s l’ensemble des outils n\u00e9cessaires pour mener des attaques de double extorsion : chiffrement des syst\u00e8mes cibles, exfiltration de donn\u00e9es, site de fuite pour les victimes r\u00e9calcitrantes, et infrastructure de n\u00e9gociation de ran\u00e7on. Apparu fin 2023, DragonForce a rapidement recrut\u00e9 des affili\u00e9s parmi les groupes les plus actifs, dont Scattered Spider.<\/p>\n\n\n\n

Le mod\u00e8le \u00e9conomique est limpide : DragonForce per\u00e7oit une commission d’environ 20 \u00e0 30 % sur chaque ran\u00e7on pay\u00e9e<\/strong>, le reste allant aux affili\u00e9s. Cette structure incite les groupes \u00e0 cibler des victimes \u00e0 haute valeur ajout\u00e9e. Les retailers britanniques, avec leurs syst\u00e8mes POS et leurs bases de donn\u00e9es clients massives, repr\u00e9sentaient exactement ce profil. L’analyse technique publi\u00e9e par Vorboss en ao\u00fbt 2025 pr\u00e9cise que les attaquants ont sp\u00e9cifiquement cibl\u00e9 les serveurs VMware ESXi<\/strong> de M&S le 24 avril 2025, chiffrant les machines virtuelles h\u00e9bergeant les syst\u00e8mes d’e-commerce, de traitement des paiements et de logistique.<\/p>\n\n\n\n

DragonForce a combl\u00e9 un vide laiss\u00e9 par le d\u00e9mant\u00e8lement d’ALPHV\/BlackCat par le FBI en d\u00e9cembre 2023. En moins de dix-huit mois, la plateforme est devenue l’une des plus actives du paysage RaaS mondial, revendiquant plus de 40 victimes suppl\u00e9mentaires<\/strong> dans les six mois suivant les attaques contre les retailers britanniques, selon les donn\u00e9es publi\u00e9es par les chercheurs de Recorded Future.<\/p>\n\n\n\n

Chronologie de l’attaque contre Marks & Spencer<\/h2>\n\n\n\n

L’attaque contre M&S s’est d\u00e9roul\u00e9e en plusieurs phases distinctes, caract\u00e9ristiques de la m\u00e9thodologie Scattered Spider.<\/p>\n\n\n\n

Phase de reconnaissance (mars-avril 2025).<\/strong> Les attaquants ont d’abord cibl\u00e9 Tata Consultancy Services (TCS), le prestataire informatique qui g\u00e8re le helpdesk IT de M&S. En se faisant passer pour des employ\u00e9s internes, ils ont obtenu des r\u00e9initialisations de mots de passe et des acc\u00e8s VPN, proc\u00e9d\u00e9 classique de Scattered Spider que les chercheurs d\u00e9signent sous le terme de \u00ab helpdesk social engineering \u00bb.<\/p>\n\n\n\n

Phase d’intrusion et de d\u00e9placement lat\u00e9ral (d\u00e9but avril 2025).<\/strong> Une fois dans le r\u00e9seau de TCS, les attaquants ont pivot\u00e9 vers l’infrastructure M&S, vol\u00e9 des identifiants Active Directory et \u00e9tabli une persistance via des web shells et des connexions de commande-et-contr\u00f4le (C2).<\/p>\n\n\n\n

Phase d’exfiltration (avant le 22 avril 2025).<\/strong> Avant de d\u00e9clencher le ransomware, le groupe a extrait les donn\u00e9es clients : noms, adresses postales, adresses e-mail, num\u00e9ros de t\u00e9l\u00e9phone, dates de naissance et historiques de commandes. La tactique de double extorsion \u00e9tait en place.<\/p>\n\n\n\n

Chiffrement DragonForce (24 avril 2025).<\/strong> Les serveurs VMware ESXi h\u00e9bergeant les syst\u00e8mes critiques de M&S ont \u00e9t\u00e9 chiffr\u00e9s. Les ventes en ligne de v\u00eatements ont \u00e9t\u00e9 suspendues imm\u00e9diatement. M&S a continu\u00e9 \u00e0 vendre en magasin physique, mais des ruptures de stock progressives ont touch\u00e9 les rayons, li\u00e9es \u00e0 la paralysie des syst\u00e8mes logistiques.<\/p>\n\n\n\n

Reprise partielle (10 juin 2025).<\/strong> Apr\u00e8s 46 jours d’interruption<\/strong>, M&S a relanc\u00e9 ses ventes en ligne pour certaines gammes de v\u00eatements. La pleine restauration des syst\u00e8mes s’est prolong\u00e9e jusqu’en juillet 2025.<\/p>\n\n\n\n

Co-op et Harrods : une vague coordonn\u00e9e sur le retail britannique<\/h2>\n\n\n\n

L’attaque contre M&S n’\u00e9tait pas isol\u00e9e. Dans la m\u00eame p\u00e9riode de P\u00e2ques 2025, Scattered Spider a frapp\u00e9 deux autres enseignes britanniques de premier plan, confirmant une strat\u00e9gie de campagne coordonn\u00e9e plut\u00f4t que des opportunit\u00e9s ponctuelles.<\/p>\n\n\n\n

Le Co-op<\/strong>, coop\u00e9rative de grande distribution comptant plus de 2 500 magasins au Royaume-Uni, a subi une intrusion en avril 2025 qui a compromis les donn\u00e9es de 6,5 millions de membres<\/strong>. Contrairement \u00e0 M&S, Co-op avait r\u00e9cemment migr\u00e9 une partie de ses syst\u00e8mes vers le cloud, ce qui a limit\u00e9 l’impact op\u00e9rationnel : les stocks sont revenus \u00e0 la normale d\u00e8s fin mai 2025, et les magasins ont repris un fonctionnement habituel en juin. L’estimation de la perte de revenus atteint n\u00e9anmoins \u00a3206 millions<\/strong> selon les d\u00e9clarations officielles de la coop\u00e9rative.<\/p>\n\n\n\n

Harrods<\/strong>, le grand magasin de luxe de Knightsbridge \u00e0 Londres, a \u00e9galement \u00e9t\u00e9 cibl\u00e9 dans la m\u00eame campagne. Les d\u00e9tails de l’attaque contre Harrods sont demeur\u00e9s plus discrets, l’enseigne n’ayant pas divulgu\u00e9 de chiffres pr\u00e9cis sur l’impact financier ou le nombre de clients affect\u00e9s. L’incident a n\u00e9anmoins contraint Harrods \u00e0 isoler temporairement certains syst\u00e8mes informatiques.<\/p>\n\n\n\n

Le Cyber Monitoring Centre (CMC) britannique a qualifi\u00e9 les attaques contre M&S et Co-op de \u00ab single combined cyber event \u00bb<\/strong>, les classant comme \u00ab \u00e9v\u00e9nement syst\u00e9mique de cat\u00e9gorie 2 \u00bb<\/strong>. Cette classification, utilis\u00e9e habituellement pour des catastrophes naturelles affectant des infrastructures critiques, t\u00e9moigne de l’ampleur macro\u00e9conomique de l’incident. L’impact financier total toutes enseignes confondues est estim\u00e9 entre \u00a3270 millions et \u00a3440 millions<\/strong>, soit entre 363 et 592 millions de dollars selon les taux de change d’alors.<\/p>\n\n\n\n

Tableau comparatif : les trois attaques de 2025<\/h2>\n\n\n\n
Crit\u00e8re<\/th>Marks & Spencer<\/th>Co-op<\/th>Harrods<\/th><\/tr><\/thead>
Date de l’attaque<\/td>Avril 2025 (chiffrement : 24 avril)<\/td>Avril 2025<\/td>Avril-mai 2025<\/td><\/tr>
Vecteur d’acc\u00e8s initial<\/td>Social engineering helpdesk TCS<\/td>Social engineering<\/td>Non divulgu\u00e9<\/td><\/tr>
Ransomware d\u00e9ploy\u00e9<\/td>DragonForce (VMware ESXi)<\/td>DragonForce<\/td>Non confirm\u00e9<\/td><\/tr>
Donn\u00e9es compromises<\/td>Noms, adresses, e-mails, t\u00e9l\u00e9phones, dates de naissance, historiques commandes<\/td>6,5 millions de membres<\/td>Non divulgu\u00e9<\/td><\/tr>
Dur\u00e9e d’interruption<\/td>46 jours (ventes en ligne)<\/td>Quelques semaines<\/td>Partielle<\/td><\/tr>
Perte financi\u00e8re estim\u00e9e<\/td>\u00a3300 millions<\/td>\u00a3206 millions<\/td>Non divulgu\u00e9e<\/td><\/tr>
Arrestations li\u00e9es<\/td>Oui (4 suspects, juillet 2025)<\/td>Oui (m\u00eame affaire)<\/td>Oui (m\u00eame affaire)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Comment Scattered Spider a exploit\u00e9 TCS pour p\u00e9n\u00e9trer M&S<\/h2>\n\n\n\n

Le vecteur d’attaque initial confirme une tendance alarmante pour toutes les grandes entreprises : les sous-traitants IT constituent un maillon vuln\u00e9rable. M&S avait externalis\u00e9 la gestion de son helpdesk informatique \u00e0 Tata Consultancy Services (TCS), l’un des plus grands prestataires de services IT au monde avec plus de 600 000 employ\u00e9s. C’est par ce maillon que Scattered Spider a p\u00e9n\u00e9tr\u00e9.<\/p>\n\n\n\n

Le processus est document\u00e9 avec pr\u00e9cision. Les attaquants ont contact\u00e9 le helpdesk TCS en se faisant passer pour des employ\u00e9s M&S l\u00e9gitimes, invoquant des probl\u00e8mes d’acc\u00e8s urgents. Exploitant la pression op\u00e9rationnelle des agents de support et l’absence de v\u00e9rification d’identit\u00e9 forte sur certains comptes, ils ont obtenu des r\u00e9initialisations de mots de passe et des tokens d’acc\u00e8s VPN. Le d\u00e9placement lat\u00e9ral vers l’infrastructure centrale de M&S a suivi en quelques jours.<\/p>\n\n\n\n

Archie Norman, pr\u00e9sident du conseil d’administration de M&S, a confirm\u00e9 devant une commission parlementaire britannique en juillet 2025 : \u00ab L’attaque a \u00e9t\u00e9 men\u00e9e via une ing\u00e9nierie sociale sophistiqu\u00e9e impliquant un tiers. \u00bb<\/em> Norman a explicitement nomm\u00e9 Scattered Spider et DragonForce devant les parlementaires, une transparence rare dans le monde des entreprises cot\u00e9es, mais salu\u00e9e par la communaut\u00e9 cybers\u00e9curit\u00e9 pour avoir permis au secteur retail d’identifier clairement le vecteur de risque.<\/p>\n\n\n\n

Chester Wisniewski, chercheur principal chez Sophos, a comment\u00e9 ce vecteur d’attaque dans une analyse publi\u00e9e apr\u00e8s l’incident : \u00ab Le helpdesk social engineering est syst\u00e9mique dans les attaques de Scattered Spider. La pression sur les agents de support pour r\u00e9soudre rapidement les tickets cr\u00e9e une fen\u00eatre d’exploitation que ces attaquants utilisent avec une efficacit\u00e9 redoutable. Les entreprises doivent traiter leur helpdesk comme un p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 \u00e0 part enti\u00e8re. \u00bb<\/em><\/p>\n\n\n\n

Les donn\u00e9es vol\u00e9es : ce que les clients de M&S doivent savoir<\/h2>\n\n\n\n

M&S a confirm\u00e9 que les donn\u00e9es personnelles des clients ont \u00e9t\u00e9 exfiltr\u00e9es avant le d\u00e9clenchement du ransomware. Les informations compromises comprennent : noms et pr\u00e9noms, adresses postales, adresses e-mail, num\u00e9ros de t\u00e9l\u00e9phone, dates de naissance et historiques de commandes en ligne. M&S a pr\u00e9cis\u00e9 que les donn\u00e9es bancaires et les mots de passe en clair n’ont pas \u00e9t\u00e9 compromis<\/strong>, les mots de passe \u00e9tant stock\u00e9s sous forme hach\u00e9e.<\/p>\n\n\n\n

N\u00e9anmoins, la combinaison de donn\u00e9es personnelles identifiables (PII) exfiltr\u00e9es repr\u00e9sente un risque concret de phishing cibl\u00e9 et d’usurpation d’identit\u00e9 pour les clients concern\u00e9s. Les adresses e-mail coupl\u00e9es aux historiques de commandes permettent \u00e0 des acteurs malveillants de construire des e-mails de phishing hautement personnalis\u00e9s, imitant par exemple une notification de retour de commande M&S.<\/p>\n\n\n\n

Co-op a de son c\u00f4t\u00e9 confirm\u00e9 que les donn\u00e9es de ses 6,5 millions de membres<\/strong> ont \u00e9t\u00e9 compromises, sans pr\u00e9ciser l’\u00e9tendue exacte des informations exfiltr\u00e9es. Dans les deux cas, DragonForce a appliqu\u00e9 une tactique de double extorsion classique : chiffrement des syst\u00e8mes ET menace de publication des donn\u00e9es vol\u00e9es. Ni M&S ni Co-op n’ont divulgu\u00e9 si une ran\u00e7on avait \u00e9t\u00e9 pay\u00e9e.<\/p>\n\n\n\n

Impact financier : \u00a3500M de pertes, un record historique<\/h2>\n\n\n\n

L’impact financier de cette campagne n’a pas de pr\u00e9c\u00e9dent dans l’histoire du commerce de d\u00e9tail britannique. En combinant les pertes d\u00e9clar\u00e9es de M&S (\u00a3300 millions en perte de b\u00e9n\u00e9fice op\u00e9rationnel) et de Co-op (\u00a3206 millions de perte de revenus), le total d\u00e9passe \u00a3506 millions<\/strong> pour les deux seules enseignes ayant divulgu\u00e9 des chiffres pr\u00e9cis.<\/p>\n\n\n\n

Indicateur financier<\/th>Marks & Spencer<\/th>Co-op<\/th>Total (2 enseignes)<\/th><\/tr><\/thead>
Perte financi\u00e8re d\u00e9clar\u00e9e<\/td>\u00a3300M (b\u00e9n\u00e9fice op\u00e9rationnel)<\/td>\u00a3206M (revenus)<\/td>\u00a3506M<\/td><\/tr>
Estimation CMC (fourchette)<\/td>\u00a3270M – \u00a3440M (M&S + Co-op combin\u00e9s)<\/td>\u00a3270M-\u00a3440M<\/td><\/tr>
Dur\u00e9e interruption e-commerce<\/td>46 jours<\/td>Quelques semaines<\/td>N\/A<\/td><\/tr>
Clients \/ membres affect\u00e9s<\/td>Non divulgu\u00e9 (PII exfiltr\u00e9es)<\/td>6,5 millions de membres<\/td>6,5M+<\/td><\/tr>
Perte MGM Resorts 2023 (comparatif)<\/td>100 millions USD (attaque similaire par Scattered Spider)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Pour M&S sp\u00e9cifiquement, l’interruption de 46 jours des ventes en ligne de v\u00eatements a priv\u00e9 l’entreprise d’un canal repr\u00e9sentant une part croissante de son chiffre d’affaires total. La perte de \u00a3300 millions communiqu\u00e9e aux investisseurs dans le cadre des r\u00e9sultats annuels 2024-2025 constitue une r\u00e9duction substantielle d’un b\u00e9n\u00e9fice op\u00e9rationnel qui se situait aux alentours de \u00a3875 millions l’ann\u00e9e pr\u00e9c\u00e9dente.<\/p>\n\n\n\n

La r\u00e9ponse des autorit\u00e9s : NCA, NCSC et arrestations<\/h2>\n\n\n\n

La r\u00e9action des autorit\u00e9s britanniques a \u00e9t\u00e9 inhabituellement rapide. Le National Cyber Security Centre (NCSC) et la National Crime Agency (NCA) ont imm\u00e9diatement ouvert des enqu\u00eates parall\u00e8les, collaborant avec des partenaires comme l’ICO (Information Commissioner’s Office) et des agences \u00e9trang\u00e8res.<\/p>\n\n\n\n

Le 9 et 10 juillet 2025, la NCA a proc\u00e9d\u00e9 \u00e0 quatre arrestations<\/strong> dans le cadre de l’enqu\u00eate sur les attaques contre M&S, Co-op et Harrods. Les profils des suspects sont r\u00e9v\u00e9lateurs de la sociologie de Scattered Spider : une femme de 20 ans originaire du Staffordshire<\/strong>, deux hommes de 19 ans<\/strong> (l’un Britannique de Londres, l’autre de nationalit\u00e9 lettone du West Midlands), et un jeune homme de 17 ans<\/strong> originaire du West Midlands. Tous ont \u00e9t\u00e9 arr\u00eat\u00e9s \u00e0 leurs domiciles respectifs. Les chefs d’inculpation comprennent chantage, blanchiment d’argent, violation du Computer Misuse Act et appartenance \u00e0 une organisation criminelle.<\/p>\n\n\n\n

Un porte-parole de la NCA a d\u00e9clar\u00e9 suite aux interpellations : \u00ab Ces arrestations t\u00e9moignent de notre d\u00e9termination \u00e0 poursuivre ceux qui utilisent les cyberattaques pour cibler des entreprises britanniques et voler des donn\u00e9es appartenant \u00e0 des millions de citoyens. Nous continuons \u00e0 d\u00e9manteler les r\u00e9seaux criminels responsables de ces attaques. \u00bb<\/em><\/p>\n\n\n\n

La NCA a \u00e9galement collabor\u00e9 avec le FBI am\u00e9ricain, qui menait ses propres investigations sur des membres pr\u00e9sum\u00e9s de Scattered Spider li\u00e9s \u00e0 des attaques ant\u00e9rieures contre des cibles am\u00e9ricaines. Cette coop\u00e9ration transatlantique est coordonn\u00e9e par Europol dans le cadre du Joint Cybercrime Action Taskforce (J-CAT). Malgr\u00e9 ces quatre arrestations, Scattered Spider n’a pas cess\u00e9 ses activit\u00e9s, le groupe op\u00e9rant sur un mod\u00e8le d\u00e9centralis\u00e9 sans leadership unique identifiable.<\/p>\n\n\n\n

Parall\u00e8le avec MGM Resorts 2023 : le m\u00eame groupe, une mont\u00e9e en puissance<\/h2>\n\n\n\n

L’attaque de MGM Resorts International en septembre 2023 constitue le pr\u00e9c\u00e9dent le plus direct. Scattered Spider avait utilis\u00e9 la m\u00eame technique de helpdesk social engineering pour infiltrer les syst\u00e8mes de MGM, en d\u00e9ployant ensuite le ransomware ALPHV\/BlackCat. L’h\u00f4telier am\u00e9ricain avait subi 10 jours d’interruption<\/strong> de ses syst\u00e8mes dans plusieurs propri\u00e9t\u00e9s \u00e0 Las Vegas, avec des pertes estim\u00e9es \u00e0 100 millions de dollars<\/strong> d\u00e9clar\u00e9es \u00e0 la SEC.<\/p>\n\n\n\n

La progression entre 2023 et 2025 est frappante : en deux ans, Scattered Spider est pass\u00e9 de cibles am\u00e9ricaines uniques \u00e0 des campagnes multi-victimes coordonn\u00e9es au Royaume-Uni, multipliant l’impact financier par cinq. Le groupe a \u00e9galement chang\u00e9 de partenaire RaaS, passant d’ALPHV\/BlackCat \u00e0 DragonForce apr\u00e8s la disruption d’ALPHV par le FBI en d\u00e9cembre 2023.<\/p>\n\n\n\n

Kimberly Goody, responsable de la threat intelligence chez Google Mandiant, a not\u00e9 cette \u00e9volution dans un rapport de juin 2025 : \u00ab UNC3944 d\u00e9montre une capacit\u00e9 d’adaptation remarquable. Apr\u00e8s la perturbation d’ALPHV, le groupe a rapidement pivot\u00e9 vers DragonForce, maintenant son niveau op\u00e9rationnel sans interruption significative. Ce comportement de r\u00e9silience est caract\u00e9ristique des groupes cybercriminels les plus sophistiqu\u00e9s du moment. \u00bb<\/em><\/p>\n\n\n\n

R\u00e9ponse r\u00e9glementaire : ICO, UK GDPR et sanctions en perspective<\/h2>\n\n\n\n

L’Information Commissioner’s Office (ICO) britannique a ouvert une enqu\u00eate sur la violation de donn\u00e9es M&S. Sous le UK GDPR, l’ICO peut infliger une amende allant jusqu’\u00e0 4 % du chiffre d’affaires mondial annuel<\/strong> en cas de manquements av\u00e9r\u00e9s \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es. Pour M&S, dont le chiffre d’affaires 2024 d\u00e9passait \u00a313 milliards, cette exposition maximale th\u00e9orique d\u00e9passe les \u00a3500 millions.<\/p>\n\n\n\n

En pratique, les amendes pour violations li\u00e9es \u00e0 des cyberattaques sont g\u00e9n\u00e9ralement inf\u00e9rieures au plafond l\u00e9gal, les autorit\u00e9s tenant compte des mesures de coop\u00e9ration et de rem\u00e9diation. \u00c0 titre de comparaison, l’ICO a inflig\u00e9 des amendes de \u00a3963 900 \u00e0 deux entreprises<\/strong> pour une cyberattaque affectant 633 000 personnes au Royaume-Uni en 2026, selon le rapport de suivi Gibson Dunn.<\/p>\n\n\n\n

En France et en Europe, la CNIL et ses homologues observent attentivement cette affaire. Les obligations de notification sous le RGPD (72 heures apr\u00e8s la d\u00e9couverte d’une violation) et les exigences de la directive NIS2 pour les entit\u00e9s essentielles et importantes concernent aussi les grands retailers op\u00e9rant dans l’UE. Ces attaques alimentent les discussions au sein du Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (CEPD) sur le renforcement des exigences de s\u00e9curit\u00e9 applicables au commerce de d\u00e9tail. Pour mieux comprendre les implications r\u00e9glementaires, consultez notre analyse du Cyber Resilience Act 2026<\/a>.<\/p>\n\n\n\n

Le\u00e7ons pour les entreprises europ\u00e9ennes : cinq failles syst\u00e9miques expos\u00e9es<\/h2>\n\n\n\n

L’attaque contre les retailers britanniques expose des vuln\u00e9rabilit\u00e9s structurelles qui concernent directement les entreprises fran\u00e7aises, allemandes, espagnoles et plus largement europ\u00e9ennes.<\/p>\n\n\n\n

1. Le risque de la cha\u00eene d’approvisionnement IT.<\/strong> TCS n’a pas \u00e9t\u00e9 compromis directement, mais utilis\u00e9 comme vecteur via ses agents de support. Toute entreprise qui externalise son helpdesk sans imposer des protocoles de v\u00e9rification d’identit\u00e9 robustes (MFA r\u00e9sistant au phishing de type FIDO2, callbacks de v\u00e9rification, proc\u00e9dures d’escalade) expose son r\u00e9seau principal. En France, de nombreuses grandes entreprises des secteurs retail, h\u00f4tellerie et services financiers utilisent des prestataires IT mutualis\u00e9s, cr\u00e9ant des risques identiques.<\/p>\n\n\n\n

2. La protection des serveurs de virtualisation VMware ESXi.<\/strong> Le ciblage des hyperviseurs VMware illustre une tendance lourde : les ransomwares modernes ciblent les environnements de virtualisation pour chiffrer des dizaines de machines virtuelles en une seule op\u00e9ration, maximisant les d\u00e9g\u00e2ts. Les entreprises utilisant VMware ESXi doivent segmenter ces environnements, activer le secure boot, limiter l’acc\u00e8s administrateur et maintenir leurs versions \u00e0 jour.<\/p>\n\n\n\n

3. La migration cloud comme bouclier partiel.<\/strong> Co-op a r\u00e9sist\u00e9 plus rapidement que M&S en partie gr\u00e2ce \u00e0 sa migration cloud r\u00e9cente, qui a permis une restauration acc\u00e9l\u00e9r\u00e9e des syst\u00e8mes critiques. Les syst\u00e8mes on-premise VMware ESXi non sauvegard\u00e9s de mani\u00e8re immuable repr\u00e9sentent un risque disproportionn\u00e9 face aux ransomwares modernes.<\/p>\n\n\n\n

4. L’absence de MFA r\u00e9sistant au phishing sur les comptes administrateurs.<\/strong> Scattered Spider exploite syst\u00e9matiquement les syst\u00e8mes d’authentification faibles. L’impl\u00e9mentation de cl\u00e9s FIDO2 ou de passkeys pour tous les acc\u00e8s administrateurs aurait rendu l’attaque initiale contre TCS nettement plus difficile.<\/p>\n\n\n\n

5. Les plans de continuit\u00e9 d’activit\u00e9 insuffisamment test\u00e9s.<\/strong> Le contraste entre M&S (46 jours d’interruption) et Co-op (quelques semaines) illustre l’importance critique d’un plan de continuit\u00e9 d’activit\u00e9 (PCA) r\u00e9ellement test\u00e9, incluant des proc\u00e9dures de restauration \u00e0 froid et des sauvegardes immuables hors ligne. Cette probl\u00e9matique est \u00e9galement au coeur des nouvelles obligations du cadre NIS2 pour les op\u00e9rateurs en Europe<\/a>.<\/p>\n\n\n\n

5 pr\u00e9dictions pour la menace Scattered Spider en 2026-2027<\/h2>\n\n\n\n
  1. Extension aux retailers europ\u00e9ens continentaux.<\/strong> Apr\u00e8s le Royaume-Uni, les grandes enseignes de distribution fran\u00e7aise, allemande et espagnole repr\u00e9sentent les prochaines cibles logiques. La densit\u00e9 de syst\u00e8mes IT externalis\u00e9s dans la distribution europ\u00e9enne reproduit exactement le vecteur TCS\/M&S.<\/li>
  2. Int\u00e9gration de l’IA g\u00e9n\u00e9rative dans les attaques de social engineering.<\/strong> Scattered Spider va int\u00e9grer des voix synth\u00e9tiques (voice cloning) et des deepfakes vid\u00e9o pour rendre ses attaques de vishing encore plus convaincantes. Des cas impliquant des deepfakes vocaux imitant des DSI ou RSSI sont d\u00e9j\u00e0 document\u00e9s dans d’autres campagnes cybercriminelles en 2026.<\/li>
  3. Pression l\u00e9gislative accrue sur les prestataires IT.<\/strong> Suite \u00e0 l’affaire TCS\/M&S, les r\u00e9gulateurs britanniques et europ\u00e9ens vont renforcer les obligations de s\u00e9curit\u00e9 applicables aux MSP (Managed Service Providers). La directive NIS2 et le Cyber Resilience Act cr\u00e9eront de nouvelles responsabilit\u00e9s contractuelles pour les sous-traitants IT op\u00e9rant en Europe.<\/li>
  4. Davantage d’arrestations, mais renouvellement criminel constant.<\/strong> La NCA et le FBI vont poursuivre leurs op\u00e9rations. Mais le mod\u00e8le de recrutement d\u00e9centralis\u00e9 de Scattered Spider, via des forums accessibles \u00e0 des milliers de jeunes, garantit un renouvellement continu des membres actifs.<\/li>
  5. DragonForce comme concurrent direct de LockBit dans le paysage RaaS.<\/strong> Apr\u00e8s la disruption de LockBit par Europol et le FBI en 2024, DragonForce se positionne pour occuper le segment haut de gamme du RaaS, attirant des affili\u00e9s issus de groupes d\u00e9mantel\u00e9s. L’incident M&S a d\u00e9montr\u00e9 sa capacit\u00e9 op\u00e9rationnelle \u00e0 large \u00e9chelle.<\/li><\/ol>\n\n\n\n

    Couverture connexe<\/h2>\n\n\n\n

    \u00c0 lire aussi sur shattered.io<\/h3>\n\n\n\n