Stratégie

Après sa cyberattaque, Marks & Spencer accélère son plan de transformation numérique

Un magasin Marks & Spencer. Le groupe a annoncé que la cyberattaque va amputer ses bénéfices de 360 M€, soit plus de la moitié du résultat net de sa précédente année fiscale. (Photo : M&S)

Alors que les pertes liées à la cyberattaque atteignent 360 M€, le commerçant réagit en affirmant sa volonté de comprimer en six mois le programme de mise à niveau de ses SI, qui devait à l'origine durer deux ans.

PublicitéQuelques semaines après avoir subi l'une des cyberattaques les plus perturbatrices de l'histoire du Royaume-Uni, la chaîne de magasins Marks & Spencer (M&S) a expliqué que sa réaction consisterait à accélérer la refonte de son IT, un programme à l'origine prévu sur deux ans, afin de l'achever en six mois seulement.

Étant donné que l'entreprise s'attend à ce que les séquelles de l'attaque, notamment l'arrêt des achats en ligne, se poursuivent jusqu'en juillet, le fait de comprimer les nouvelles dépenses en matière d'informatique et d'infrastructure numérique en quelques mois pourrait sembler ambitieux aux investisseurs. Mais cela permet à M&S de donner une tournure positive à la dernière communication financière de la société, qui a été obligée de reconnaître que la cyberattaque, qui a frappé la société à partir du 19 avril, amputera ses bénéfices de 300 millions de livres sterling (360 M€ environ) pour l'année à venir. La chaine de retail a réalisé un chiffre d'affaires de 16,5 Md€ lors de son dernier exercice fiscal, pour un bénéfice avant impôts de 609 M€.

Rassurer les actionnaires

« Nous cherchons à tirer le meilleur parti de l'opportunité d'accélérer le rythme de notre transformation technologique et avons trouvé de nouvelles méthodes de travail innovantes », a assuré le PDG de M&S, Stuart Machin, sans toutefois détailler plus avant ni les attendus de cette transformation, ni la nature de ces nouvelles méthodes de travail. « Nous nous concentrons sur le rétablissement, la restauration de nos systèmes, de nos opérations et de notre offre à la clientèle pendant le reste du premier semestre, dans le but de sortir de cette période avec une entreprise beaucoup plus forte », a ajouté le dirigeant.

Malgré l'impact stupéfiant de l'attaque sur les bénéfices, de loin la somme la plus importante jamais admise publiquement par une entreprise britannique à la suite de ce type d'événement, les actionnaires seront rassurés par le fait que Stuart Machin pense que le coût final de l'incident « sera réduit grâce à la gestion des coûts, à l'assurance et à d'autres actions commerciales ». Il a ajouté que ces coûts seront « présentés séparément en tant qu'élément d'ajustement ».

Bien entendu, ces déclarations du PDG de Marks & Spencer ne tiennent pas compte des coûts liés à une éventuelle action en justice concernant la violation des données des clients que l'entreprise a admis avoir subie lors de l'attaque.

Fermeture applicative quasi complète

Dans les jours qui ont suivi l'attaque qui s'est déroulée lors du week-end de Pâques, l'entreprise a fermé l'ensemble de ses applications internes et en ligne, à l'exception des terminaux de point de vente en magasins.

PublicitéCe shutdown a notamment touché son système de commande en ligne (web et app), son système « click-and-collect », des applications utilisées en interne par le personnel et celles exploitées par les approvisionnements et la logistique. Ce dernier point a conduit, dans certains magasins, à quelques étagères vides.

L'attaque était un ransomware classique, de type « big game » (ciblant donc de grandes organisations), dont certains pensent qu'il est lié au groupe « Scattered Spider », qui utilise la plateforme DragonForce de ransomware-as-a-service (RaaS). Rien de tout cela n'a toutefois été confirmé et on ne sait pas si M&S a versé une rançon.

Attaque par ingénierie sociale sur un prestataire

La récente communication de la chaine britannique a révélé un détail important : les attaquants ont compromis M&S après une attaque d'ingénierie sociale sur les employés d'un fournisseur tiers, dont le nom n'a pas été précisé. Selon Stuart Machin, l'attaque trouverait son origine dans une « erreur humaine », ce qui pourrait donner une idée de l'orientation des futurs investissements.

Sur la base d'une source unique, Reuters a suggéré que ce fournisseur pourrait être l'ESN indienne Tata Consulting Services (TCS), qui est également le prestataire d'un autre retailer britannique, le Co-operative Group. Or, la Co-op a été touchée par une attaque de ransomware similaire, quoique moins grave, au cours de la même semaine. Là encore, l'information n'a pas été confirmée.

Au début du mois de mai, le National Cyber Security Centre (NCSC) britannique a averti les commerçants que les attaquants exploitaient de nouveaux moyens de compromission de leurs cibles, notamment par l'intermédiaire des équipes d'assistance et des appels à ces services.

Investir, mais dans quoi ?

M&S semble avoir décidé de profiter de cette crise pour mener à bien sa stratégie de transformation plus rapidement que prévu. Le PDG Stuart Machin n'a pas donné de détails sur ces plans, mais au cours des dernières années, M&S a annoncé une série d'initiatives, y compris une utilisation accrue des systèmes cloud et, évidemment, de l'IA.

Du point de vue de l'efficacité, cette stratégie est logique. Cependant, ce que les PDG entendent généralement par transformation numérique se traduit par une expansion des technologies conçues pour engager les clients. L'inconvénient ? Cela risque d'augmenter la surface d'attaque d'une organisation et sa vulnérabilité aux perturbations futures.

Cette stratégie - d'aucuns diraient cette pirouette - est-elle donc pertinente ? Pour Jordan Avnaim, RSSI du fournisseur de solutions de sécurité Entrust, « si l'expansion numérique peut élargir la surface d'attaque, elle offre également l'occasion de moderniser les systèmes existants, de mettre en oeuvre le Zero Trust et de faire de la cybersécurité une priorité du conseil d'administration ».