Marks & Sencer demande que les ransomwares soient obligatoirement signalés

Incident traumatique

À propos de l'impact de la cyberattaque, Archie Norman a déclaré : « il est juste de dire que tout le monde chez M&S en a fait l'expérience. Nos collègues des magasins [travaillaient] comme ils ne l'avaient pas fait depuis 30 ans, faisant des heures supplémentaires juste pour essayer de maintenir l'activité. Sans parler de nos collègues techniciens : pendant une semaine, probablement, l'équipe cyber n'a pas dormi... Il n'est pas exagéré de qualifier la situation de traumatisante ».

M&S est toujours en train de reconstruire ses activités et s'attend à le faire pendant un certain temps encore. Reconnaissant que son parc informatique global est un méli-mélo de systèmes anciens, Archie Norman a déclaré que l'organisation était en train d'avancer dans les différentes phases d'un rafraîchissement technologique en cours, à la suite de l'attaque.

Commentant les remarques faites à la Chambre des communes par le député David Davis, selon lesquelles une entreprise britannique anonyme avait récemment payé une rançon importante, Archie Norman a refusé de dire si M&S était ou non l'organisation à laquelle David Davis faisait référence, et n'a pas voulu divulguer directement si le détaillant avait ou non reçu une demande de rançongiciel.

Il a indiqué que M&S avait très tôt pris la décision de ne pas communiquer directement avec ses attaquants, laissant cette tâche aux cyber-professionnels.

Archie Norman a ajouté que pendant un certain temps, M&S n'a pas su qui l'avait attaqué : « ils ne vous envoient jamais une lettre signée Scattered Spider - cela n'arrive pas », a-t-il déclaré. « Nous n'avons même pas entendu parler de l'acteur malveillant pendant environ une semaine après qu'il ait pénétré dans nos systèmes. Vous vous fiez entièrement à vos conseillers en sécurité pour savoir ce qu'ils pensent qu'il se passe, et ils ont reconnu l'acteur de la menace par le vecteur d'attaque ».

Ce n'est pas tout : « ils communiquent également par l'intermédiaire des médias et, dans ce cas, ils ont choisi la BBC comme principal moyen de communication. Il était parfois inhabituel de se brosser les dents le matin lorsque quelqu'un arrivait sur la BBC avec une communication des personnes qui attaquaient prétendument votre entreprise ».

Ingénierie sociale

Répondant à d'autres questions du panel, Archie Norman s'est efforcé de démentir explicitement les rapports des médias qui suggéraient que M&S avait « laissé la porte de derrière ouverte », affirmant que l'attaque s'était produite par ingénierie sociale via un tiers non divulgué, comme cela a été largement spéculé au cours des dernières semaines.

« L'attaque contre M&S a été qualifiée d'usurpation d'identité sophistiquée, ce qui, dans ce cas, fait probablement référence à l'utilisation de tactiques d'ingénierie sociale avancées, comprenant potentiellement des fichiers audio ou vidéo falsifiés, pour se faire passer de manière convaincante pour des cadres ou des personnes de confiance », a déclaré Richard LaTulip, responsable de la sécurité de l'information chez Recorded Future, spécialiste de la veille sur les menaces.

« La protection contre les attaques sophistiquées d'usurpation d'identité nécessite une approche à plusieurs niveaux », a-t-il ajouté. « Si les défenses techniques, telles que l'authentification à facteurs multiples et les outils de vérification de l'identité, sont essentielles, la couche humaine reste la plus vulnérable. C'est pourquoi la formation continue et la sensibilisation des cadres sont essentielles. Les employés, en particulier ceux qui occupent des postes à haut risque, doivent apprendre à reconnaître les tactiques d'ingénierie sociale, y compris les imitations profondes générées par l'IA ou les messages urgents se faisant passer pour des dirigeants ».