Prêt-à-porter : cyberattaque confirmée pour Jules et BZB

[Mise à jour, le 3 octobre 2022 @ 17h30] Dans un échange téléphonique avec la rédaction, un porte-parole de FashionCube confirme que les enseignes Jules et BZB sont confrontées à une cyberattaque. Il souligne que les données de paiement des clients ne sont pas affectées. Justement, le paiement par carte bancaire est à nouveau possible dans les magasins. FashionCube espère pouvoir relancer sa logistique dans le courant de la semaine. Son service après-vente est joignable pour répondre aux questions des clients.

La famille du maliciel impliqué ne nous a pas encore été précisée. FashionCube indique n’avoir reçu aucune demande de rançon, ce qui ne permet toutefois pas d’écarter l’implication d’un ransomware : les attaquants ne communiquent généralement leurs exigences qu’après établissement d’un premier contact avec leur victime.  

[Mise à jour, le 1er octobre 2022 @ 11h55] Dans un échange téléphonique avec la rédaction, un porte-parole de FashionCube réfute ce dont nous nous étions fait l’écho hier, 30 septembre, et assure que les systèmes informatiques de Jules et BZB n’ont été arrêtés que « par mesure de précaution », en raison d’une « suspicion de cyberattaque ». « Ce sont les termes qu’emploie la direction », souligne le porte-parole. 

L’impact sur l’activité est toutefois déjà là, même si des ventes peuvent être réalisées, avec paiement en espèces. Nos confrères de La Voix du Nord, précisent ainsi que « ne pouvant travailler, le personnel du siège et de la logistique a été appelé à prendre des jours de congé ou des récupérations jusqu’à lundi, le temps de mesurer la gravité de la situation et les parades qui ont pu lui être apportées ».

[Article original, le 30 septembre 2022 @ 13h24] « Notre site se refait une beauté », indique celui de BZB. Celui de Jules, autre marque de prêt-à-porter du groupe FashionCube (ou Fashion3), évoque des opérations de maintenance visant à « améliorer la qualité de nos services ».

Des coups de téléphone à quelques boutiques des deux enseignes laissent apparaître une autre réalité : les deux marques sont victimes d’une cyberattaque. Selon l’une des boutiques jointes par la rédaction, les systèmes métiers sont tombés dans la nuit du 28 au 29 septembre. Impossible dès lors de passer des commandes ou de réapprovisionner les magasins : seuls les produits en stock sont accessibles. Certaines boutiques acceptent de mettre de côté pendant 24h à 48h des produits précis pour les clients sachant exactement ce qu’ils cherchent.

Nous ne sommes pas encore parvenus à obtenir des précisions sur la cyberattaque. Nous ne manquerons pas de mettre à jour cet article lorsque nous en disposerons.

FashionCube est issu de la fusion, fin 2020, de Happychic et Oosterdam Group. Le groupe fait partie de l’Association familiale Mulliez (AFM) et réunit les marques Jules (qui a absorbé Brice en 2019), BSB (ex-Bizzbee), Pimkie, Rouge Gorge, Orsay et Grain de Malice.

FashionCube ne gère pas son informatique lui-même. Début 2021, CGI a annoncé la signature d’un contrat d’externalisation de 10 ans avec le groupe, expliquant que, dans le cadre de celui-ci, « CGI opérera l’ensemble des activités IT de FashionCube avec l’objectif de maximiser les synergies et d’accélérer la transformation des enseignes adhérentes ».

Ironie du calendrier, l’enseigne Jules a été créée au milieu des années 1990 par Camaïeu, pour son offre de prêt-à-porter masculin. Camaïeu vient tout juste d’être placé en liquidation judiciaire. L’enseigne avait demandé son placement en redressement judiciaire deux mois plus tôt. Une cyberattaque survenue début juin 2021 avait significativement ajouté à des difficultés financières préexistantes.

Plus récemment, un autre spécialiste français du prêt-à-porter a été frappé par une cyberattaque, Damart. Là, c’est le ransomware Hive qui a été utilisé pour demander une rançon de deux millions d’euros.