A quels enjeux de cybersécurité les grands noms du luxe sont-ils confrontés ?

Quelles sont les cybermenaces qui pèsent sur le Luxe ? Un panorama a été publié aujourd’hui par Citalid, une start-up qui édite une plateforme de quantification financière du risque cyber et compte des maisons comme Hermès parmi ses clients. En substance, le rapport montre que les entreprises du secteur sont de plus en plus sujettes aux cybermenaces, notamment aux rançongiciels, attaquées sur leur éthique et atteintes via leur chaîne d’approvisionnement. Explications.

De gros enjeux d’image

S'il s’est longtemps montré réfractaire à prendre le virage numérique, le secteur du luxe a été forcé de se mettre progressivement à l'e-commerce, et davantage encore depuis la crise sanitaire. Gucci, Cartier, LVMH et autres Dior explorent à présent les mille-et-unes facettes du digital y compris la blockchain, l’intelligence artificielle et même le métavers. Mais cette expansion dans le monde numérique implique un contrôle amoindri des données, d'autant plus dangereux pour des maisons qui fondent leur modèle économique sur une image de marque impeccable.

Une cybermenace de plus en plus prégnante

Sans surprise et comme c’est le cas dans tous les secteurs, les cyberattaques ciblant le luxe sont de plus en plus nombreuses et devraient continuer de l’être à l’avenir. Cybersecurity Insiders prédit une croissance de 30% des cyberattaques d'ici 2024.

"La combinaison de plusieurs facteurs, tels qu’un secteur particulièrement lucratif, une forte attention à l’image de marque, l’exploitation de données clients sensibles et un accroissement de la surface d’exposition numérique est susceptible d’attirer des cyberattaquants, motivés par la recherche d’un gain financier ou des revendications politiques", explique le rapport.

Ransomwares : le cauchemar des entreprises du luxe

Dans le détail, si les attaques de rançongiciels (ou ransomwares) constituent la principale menace de la cybercriminalité européenne et internationale, c’est aussi vrai dans le luxe. En 2022, 62% des entreprises du secteur auraient été victimes de rançongiciels selon le site d'information Luxury Daily, entraînant des pertes financières moyennes de 5 millions d'euros par incident.

Ces attaques consistent à chiffrer les systèmes d'une organisation et exiger le paiement d'une rançon pour les déverrouiller, ou à s'emparer d'informations confidentielles ou privées pour extorquer des fonds. Les ransomwares à double extorsion, qui combinent ces deux rançons, ont enregistré une hausse de 150% des cas signalés en 2022 selon Cybersecurity Ventures.

Exfiltration de données et chantage

A titre d’exemples, l’année dernière, l’italien Moncler a été touchée par une exfiltration de données. L’auteur de la cyberattaque a menacé de vendre les informations de "clients riches" à d’autres groupes cybercriminels si une rançon de 3 millions de dollars n’était pas payée.

Notons, au passage, que les données volées des entreprises du luxe sont de plus en plus mises en vente sur le Dark Web. Dark web Monitor observe une augmentation de 78% des annonces proposant des informations sensibles telles que les plans de produits à venir et les stratégies marketing confidentielles sur le web clandestin.

En septembre 2023, l’horloger japonais Seiko a quant a lui été victime d’une attaque par double extorsion avec exfiltration de 2 To de données (plans de production, infos personnelles des employés et résultats de tests en laboratoire).

Une motivation de plus en plus souvent idéologique

Les attaques par déni de service distribué (DDoS) sont elles aussi toujours récurrentes. Malgré leur relative imprévisibilité, elles font peser "un risque économique limité pour l’activité opérationnelle de la victime lorsqu’elles sont temporaires (…) mais sont susceptibles de porter atteinte à son image de marque, en particulier lorsque l’attaque est associée à des revendications politiques ou cyberactiviste", souligne Citalid.

Et le rapport note justement une augmentation de 30% des attaques à motivation idéologique (écologie, féminisme, protection des animaux, etc.) contre les entreprises du luxe l’année dernière.

Cyberespionnage

Il signale par ailleurs un risque de cyberespionnage, en particulier pour des sociétés internationales leaders de leur secteur. Un rapport de la Commission européenne et du cabinet de conseil PWC relevait en 2018 que le secteur du luxe italien était particulièrement ciblé par les opérations de cyberespionnage compte tenu de la notoriété du pays en matière de luxe. "Il est ainsi probable que les maisons françaises soient exposées de la même manière à des acteurs cyberoffensifs de cette nature", prévient le rapport.

Le luxe investit dans sa cyberdéfense

Face à ces menaces, 80% des entreprises du luxe auraient augmenté leurs investissements en cybersécurité en 2022 selon Forrester Research, allouant en moyenne 15% de leur budget informatique à la protection des données. Mais les entreprises du luxe mettent malgré tout 60 jours en moyenne pour détecter une cyberattaque, ce qui laisse à ses auteurs un laps de temps considérable pour infiltrer les systèmes et exfiltrer des données sensibles.

Vulnérabilité de la chaîne d’approvisionnement

Citalid encourage donc les grands noms du luxe à muscler leur cyberdéfense en pensant à sécuriser l’ensemble de leur chaîne de valeur : prestataires, fournisseurs, et distributeurs pour celles qui n’assurent pas elles-mêmes la commercialisation de leurs biens, les attaques de type supply-chain ayant augmenté de 67% en 2022 selon Forrester Research.

La start-up a prévenu du caractère non exhaustif de ce rapport, qui se concentre sur les scénarios de menace cyber proposés dans sa plateforme et ne peut prendre en compte que les cyberattaques exposées de manière publique, soit certainement la partie émergée de l’iceberg.

Sélectionné pour vous

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués

SentinelOne rachète Observo AI pour améliorer l'exploitation des données de sécurité

L'Otan migre ses applications critiques vers Oracle