Un exemple récent vient du Royaume-Uni, où plusieurs entreprises du secteur du retail ont subi, en l’espace de quelques semaines, des cyberincidents. Marks & Spencer a suspendu ses activités en ligne pendant plus de deux semaines, la Co-Op Group a dû prendre des mesures préventives à la suite d'une cyberattaque, et Harrods a également rapporté un incident. L’impact est loin d’être négligeable : selon ses rapports annuels, Marks & Spencer estime le coût de l’attaque à plus de 300 millions de livres sterling, soit trois fois plus que la couverture assurée.

Même si les techniques précises utilisées dans ces attaques restent sujettes à spéculation, il ne s’agirait pas d’une vulnérabilité zero-day ni d’une attaque alimentée par l’intelligence artificielle générative. L’attention se porte plutôt sur des tactiques de social engineering, de phishing et sur la compromission d’environnements virtuels critiques basés sur VMware vSphere.
 
Scattered Spider
Les similitudes entre ces incidents laissent penser à une implication du groupe connu sous le nom de Scattered Spider – un groupe cybercriminel motivé par l’argent, connu pour ses attaques de ransomware et ses techniques d’extorsion. On lui attribue notamment les attaques contre Ceasar’s Entertainment et MGM Resorts en 2023, qui auraient généré quelque 15 millions de dollars de rançon. Leur méthode ? Des campagnes de phishing utilisant des noms de domaine qui imitent des marques bien connues comme Nike ou Apple.
 
À ce jour, Scattered Spider n’aurait pas encore frappé en Belgique ou aux Pays-Bas. Mais les entreprises du retail y sont néanmoins confrontées à des menaces similaires. En novembre dernier, Ahold Delhaize a été victime d’une attaque de ransomware par le groupe russe INC Ransom. Par ailleurs, une campagne de phishing utilisant les marques Delhaize et Colruyt circule actuellement en Belgique.
 
Comment réduire les risques d’incidents cyber ?
Si aujourd’hui le retail britannique est visé, ces attaques doivent servir de signal d’alarme pour toutes les organisations – pas uniquement dans le secteur du retail. Aux yeux d’un cybercriminel, peu importe la taille d’une entreprise, tant qu’il y a de l’argent à extorquer. Quelles mesures peut-on alors prendre ?
Quatre piliers sont essentiels :
    1.    Former et sensibiliser les collaborateurs
    2.    Détecter les menaces et y répondre rapidement
    3.    Corriger les vulnérabilités connues (patching)
    4.    Disposer d’un incident response plan robuste – et le tester régulièrement 
 
Des études montrent qu’en 2024, 76 % des failles exploitées concernaient dix vulnérabilités bien identifiées. Aucune d’elles n’était de type zero-day. La majorité concernait des outils d’accès à distance ou des services exposés à l’extérieur. En d’autres termes, des failles connues, évitables via des mises à jour régulières et du patching. L’étude souligne aussi que, si les défis en matière de cybersécurité sont bien réels, ils sont surmontables à condition de mettre en œuvre un plan de réponse aux incidents bien conçu, régulièrement mis à jour, testé, et maîtrisé par toutes les parties prenantes. Ce plan doit évoluer au rythme des stratégies d’entreprise et des technologies utilisées.
 
Agir de manière proactive
Une attaque par ransomware affecte principalement l’organisation victime, mais les clients peuvent également en subir les conséquences, notamment en cas d’interruption des services. Toutefois, l’impact peut être encore plus fort lorsqu’il s’agit de campagnes de phishing qui détournent des marques connues comme Delhaize ou Colruyt. Il est donc crucial que les entreprises sécurisent leurs propres systèmes, mais aussi informent proactivement leurs clients en cas d’abus de leur nom de marque. Certaines entreprises le font déjà via leur site web, mais les fédérations sectorielles ont ici aussi un rôle à jouer.

Ces organisations sectorielles peuvent aller plus loin en facilitant le partage d’information sur les cybermenaces, en créant par exemple un ISAC (Information Sharing and Analysis Center) où les CISO du secteur peuvent échanger bonnes pratiques et alertes. Il peut être judicieux d’y inclure des experts d'autres secteurs pour renforcer la chaîne dans son ensemble. Elles peuvent également organiser des simulations de cyberattaques et aider les entreprises à adopter les bonnes mesures de cybersécurité.
 
Conclusion
Il est tout à fait plausible qu’un secteur belge ou néerlandais soit prochainement confronté à une série d’attaques coordonnées. Réduire le risque à zéro est impossible, mais on peut fortement atténuer l’impact grâce à des mesures adéquates. Un bon incident response plan et une communication proactive avec les clients en cas de phishing sont deux éléments clés. C’est ensemble que nous pouvons renforcer notre résilience face aux cybermenaces.

Par Dan Schiappa, President Technology and Services chez Arctic Wolf