Alors que le bénéfice a atteint l’incident atteint 400 millions de dollars, la société a déclaré qu’elle comprimera un projet de mise à niveau de deux ans en six mois.
Quelques semaines après avoir subi l’une des cyberattaques les plus perturbatrices de l’histoire du Royaume-Uni, le détaillant britannique Marks & Spencer (M&S) a déclaré qu’il répondrait en accélérant une refonte prévue de ses opérations numériques de deux ans pour l’achèvement en seulement six mois.
Étant donné que l’entreprise s’attend à ce que les séquelles de l’attaque, y compris l’arrêt des achats en ligne, se poursuivent jusqu’en juillet, comprimer les nouvelles dépenses d’infrastructure informatique et numérique en quelques mois pourrait frapper les investisseurs comme ambitieux. Cependant, il permet à M&S de faire une tournure positive sur la révélation de la dernière mise à jour financière de la société selon laquelle l’attaque, qui a frappé l’entreprise le 19 avril, fera tomber 300 millions de livres sterling (400 millions de dollars) sur ses bénéfices pour l’année prochaine.
« Nous cherchons à profiter de la possibilité d’accélérer le rythme d’amélioration de notre transformation technologique et avons trouvé de nouvelles façons de travailler », a déclaré le PDG de M&S, Stuart Machin, sans entrer dans les détails de ce que la transformation impliquerait.
« Nous nous concentrons sur la récupération, la restauration de nos systèmes, opérations et proposition des clients au cours du reste de la première moitié, dans le but de quitter cette période une entreprise beaucoup plus forte », a-t-il ajouté.
Malgré l’impact stupéfiant sur les bénéfices, à une certaine distance, la plus grande somme jamais publiquement admise par une entreprise britannique à la suite d’une cyberattaque, les actionnaires prendront un certain réconfort que Machin estime que le coût final de l’incident «sera réduit grâce à la gestion des coûts, de l’assurance et d’autres actions commerciales». Il a dit que ces coûts seront «présentés séparément comme un élément d’ajustement».
Ceci, bien sûr, ne tient pas compte de tout coût résultant d’une action en justice concernant la violation des données client qu’il a admis avoir souffert pendant l’attaque.
Arrêt complet
Quelques jours après l’attaque du week-end de Pâques, la société a fermé son empreinte interne et en ligne, à l’exception des terminaux de point de vente du magasin.
Cela comprenait son système de commande en ligne, application et clic-et-collecte, applications utilisées en interne par le personnel et les systèmes de chaîne d’approvisionnement et de logistique. Ce dernier a conduit, dans certains magasins, à quelques étagères nus.
L’attaque était un ransomware classique de « grand gibier », que certains ont spéculé sont connectés au groupe «Spattered Spider», qui utilise la plate-forme DragonForce Ransomware-as-a-Service (RAAS). Rien de tout cela n’a été confirmé et on ne sait pas si une rançon a été payée.
La mise à jour a révélé un détail important: les attaquants avaient compromis M&S après une attaque d’ingénierie sociale contre les employés d’un fournisseur tiers sans nom. Cela a été caractérisé par Machin comme une «erreur humaine», qui pourrait offrir un indice sur l’endroit où l’investissement futur sera dirigé.
Sur la base d’une seule source, Reuters a suggéré que le fournisseur est Tata Consulting Services (TCS), qui est également utilisé par un autre détaillant britannique, le groupe coopératif. Peut-être pas par coïncidence, la coopérative a été frappée par une attaque de ransomware similaire, mais moins sévère, la même semaine. Encore une fois, cela n’a pas été confirmé.
Début mai, le National Cyber Security Center (NCSC) britannique a averti les détaillants que les attaquants trouvaient de nouvelles façons de pénétrer dans des cibles, notamment par le biais d’équipes et d’appels d’assistance.
Accélérer ou tourner?
M&S semble avoir décidé de ne pas perdre de crise et de terminer sa stratégie de transformation plus rapidement que prévu. Le PDG Machin n’a offert aucun détail sur ces plans, mais au cours des dernières années, M&S a annoncé un flux d’initiatives, y compris une utilisation élargie des systèmes cloud et, prévisible, AI.
D’un point de vue d’efficacité, cette stratégie est logique. Vous êtes déjà en cours de perturbation, donc l’ajout à cela entraîne moins de bouleversements à long terme.
Cependant, ce que les PDG signifient généralement par transformation numérique est une expansion des technologies conçues pour engager les clients. L’inconvénient est que cela risque d’augmenter la surface d’attaque d’une organisation et de vulnérabilité aux perturbations futures.
Alors, cette stratégie – certains diraient un spin – additionner? Compte tenu du nombre de cyberattaques au cours des 20 dernières années, il devrait y avoir un livre de jeu d’entreprise fiable pour de tels incidents.
Facteur humain
La réponse aux incidents de M&S comprendra deux éléments: les systèmes de récupération et de durcissement pour éviter une attaque répétée et, presque aussi stressante pour les gestionnaires et les avocats impliqués, déterminer où se trouve la responsabilité de l’entreprise.
Le premier d’entre eux – un investissement supplémentaire dans l’informatique – est ce que la plupart des entreprises font de toute façon dans les coulisses après une attaque, a convenu que Jordan Avnaim, CISO pour le vendeur de sécurité, conteste.
«Bien que l’expansion numérique puisse élargir la surface d’attaque, elle présente également l’occasion de moderniser les systèmes hérités, de mettre en œuvre zéro confiance et de traiter la cybersécurité comme une priorité commerciale au niveau du conseil», a déclaré Avnaim.
La différence dans le cas de M&S est principalement l’échelle sur laquelle cela se produirait.
«Les organisations qui utilisent des crises pour stimuler la résilience à long terme seront bien mieux équipées pour le paysage des menaces en évolution», a-t-il déclaré.
Cependant, le simple fait de lancer de l’argent sur des équipements de sécurité plus et de mieux ne suffit pas à lui seul. Les attaques d’ingénierie sociale, apparemment la cause profonde de l’attaque M&S, ont montré que les processus et le comportement humains de base étaient également importants.
La défense contre cela prend une rupture approfondie de ces processus, ce qui, dans la plupart des organisations, n’est pas examiné.
«La violation de M&S est une étude de cas dans le mélange transparent de l’ingénierie sociale, de la maltraitance des privilèges et de l’outillage standard», a déclaré Nicholas Dicola, vice-présidente des clients pour zéro réseaux.
«Cela renforce ce que beaucoup dans l’industrie savent déjà: les défenses du périmètre ne suffisent plus.
