Les récentes cyberattaques contre de grands détaillants britanniques comme Marks & Spencer et Co-op ne sont pas seulement des histoires qui font les gros titres, elles offrent un avertissement sur l’évolution du paysage des menaces auxquelles est confronté le commerce de détail moderne à l’échelle mondiale ; Pour les détaillants africains qui accélèrent leur transformation numérique, ces incidents servent d’étude de cas cruciale sur ce qui peut mal tourner lorsque le temps de fonctionnement (et pas seulement les données) est attaqué.
En avril, deux des plus grands détaillants britanniques ont été victimes d’une cyberattaque massive du groupe notoire Scattered Spider, entraînant des pertes financières substantielles, des perturbations opérationnelles et des données clients compromises. M&S a subi des pertes de 300 millions de livres sterling en raison de l’attaque, avec des chaînes d’approvisionnement affectées pendant des semaines. En plus des pertes directes, plus d’un milliard de livres sterling ont été retirés de la valeur marchande de l’organisation. De même, Co-op a subi des violations de données affectant les informations personnelles des clients, tandis que Harrods a signalé des tentatives de cyberattaques, mais a réussi à maintenir ses opérations en ligne.
« Ces attaques ne concernent pas seulement les données volées », déclare Anna Collard, SVP du Contenu Stratégie & Évangéliste chez KnowBe4 Afrique. « Elles ont mis hors ligne des systèmes entiers. »
« Dans le commerce de détail, les temps d’arrêt sont une menace critique – ils attirent les ventes, la confiance des clients et la fidélité à la marque, instantanément. »
Un nouveau type d’acteur de la menace
Contrairement aux gangs de rançongiciels traditionnels, Scattered Spider est décentralisé, anglophone natif et très adaptable. « Scattered Spider n’est pas de simples hackers opportunistes », explique Collard. « Ils opèrent davantage comme des syndicats du crime bien financés et bien organisés. »
Certains membres, âgés d’à peine 19 ans, coordonnent leurs activités sur des plateformes comme Discord et Telegram. « Ils sont agiles, patients et accordés doués pour se fondre dans la masse », dit-elle. À cela s’ajoute leur grande expertise en psychologie humaine, comme en témoignent leurs attaques contre les casinos de Las Vegas en 2023.
Leurs armes principales ne sont donc pas seulement numériques – elles sont humaines. « Ils ont maîtrisé l’ingénierie sociale », déclare Collard. « Ils se spécialisent dans l’exploitation de la confiance humaine. Du vishing (hameçonnage vocal) à l’usurpation d’identité de personnel interne et au déclenchement de ce qu’on appelle la « fatigue MFA » ; ce sont des manipulateurs habiles qui comprennent à la fois les systèmes et les personnes. »
La fatigue MFA est l’une des tactiques croissantes pour lesquelles ils sont connus, impliquant le déclenchement d’invitations répétées d’authentification multifacteur (MFA), espérant que les employés bombardés finissent par cliquer sur « approuver » juste pour que les interruptions cessent.
Une autre tactique préférée que Scattered Spider a utilisée dans ses dernières attaques impliquait d’appeler les services d’assistance informatique pour réinitialiser les identifiants, d’obtenir l’accès à l’infrastructure de leur cible et de déployer par la suite un outil de rançongiciel en tant que service. Le résultat ? Des systèmes chiffrés, des opérations bloquées et un long chemin vers la reprise.
Pourquoi l’Afrique devrait prêter une attention particulière
Les détaillants à travers l’Afrique – en particulier en Afrique du Sud, au Nigeria et au Kenya – subissent une transformation numérique rapide. Les systèmes de point de vente basés sur le cloud, les plateformes d’inventaire centralisées et les programmes de fidélité basés sur les données sont désormais la norme. Mais ces avancées numériques élargissent également les surfaces d’attaque.
Un roulement élevé du personnel, des effectifs à distance et des services d’assistance sous-financés peut aggraver l’exposition. Et bien que l’anglais des affaires soit courant en Afrique du Sud, cet avantage linguistique rend également les équipes locales plus sensibles à l’ingénierie sociale par des attaquants anglophones fluides.
« Nos dirigeants locaux ne sont pas naïfs », note Collard. « Beaucoup sont parfaitement conscients des risques. Ce qui est nécessaire maintenant, c’est de la clarté sur ce qui compte vraiment – et de faire le tri dans le bruit. »
Duncan Rae, RSSI de Pepkor IT, a donné une conférence éclairante lors du sommet ITWeb Security en mai, où il a averti que les équipes de cybersécurité sont souvent débordées – non seulement par les menaces, mais par trop de priorités concurrentes. Les équipes sont bombardées de nouveaux outils brillants et de rapports de menaces semant la peur, l’incertitude et le doute (FUD), ce qui fait parfois perdre de vue les fondamentaux des organisations, at-il averti.
« Ces fondamentaux incluent la gestion du risque humain, la gestion de l’exposition des tiers et le renforcement des vulnérabilités », selon Rae.
Qu’est-ce qui doit changer ?
Collard souligne les lacunes dans les contrôles d’accès, la gestion des risques tiers et la sécurité du cloud comme des faiblesses courantes – non seulement au Royaume-Uni, mais aussi à l’échelle mondiale. « Les systèmes hérités, l’informatique parallèle et les politiques mal appliquées créent des points d’entrée », avertit-elle. « Les attaquants n’ont pas besoin de s’introduire s’ils peuvent simplement se connecter . »
Pour les dirigeants du commerce de détail africain, c’est un appel à fortifier la couche humaine.
« Formez vos équipes de première ligne, en particulier au service d’assistance et au support client. Apprenez-leur à détecter la manipulation. Faites du comportement sécurisé la norme – et non l’exception. »
Tout aussi important, dit-elle, est d’intégrer la cybersécurité dans les conversations de leadership. « La cybersécurité n’est pas seulement une fonction informatique. C’est un risque commercial au niveau du conseil d’administration. »
« Les dirigeants doivent poser des questions difficiles sur la préparation, la réponse aux incidents et la responsabilité. »
De la sensibilisation à l’action
Trop souvent, la formation à la sécurité est traitée comme une simple formalité. Collard préconise une approche plus réfléchie : « La formation doit faire écho. Elle doit être contextuelle, culturellement pertinente et délivrée dans les langues locales, le cas échéant. »
Elle a rencontré les dirigeants d’entreprise au défi avec ce qui suit :
- Un attaquant pourrait-il tromper votre service d’assistance pour réinitialiser un mot de passe ?
- Votre personnel reconnaîtrait-il une tentative d’ingénierie sociale ?
- Testez-vous régulièrement ces scénarios ?
- « Si la réponse est « non » à l’une de ces questions, votre organisation est vulnérable », déclare Collard. « Mais la bonne nouvelle, c’est que le changement est possible – et rapide – lorsque vous commencez à investir dans l’élément humain. »
« La cyber-résilience est une responsabilité collective », conclut-elle. « Et dans un monde interconnecté, apprendre des crises des uns et des autres est l’une des défenses les plus intelligentes que nous avons. »
Source : Communiqué
