Le 28 août 2025, le constructeur automobile britannique, filiale du conglomérat indien Tata Motors, voit ses systèmes informatiques plongés dans le chaos. À Halewood, dans le nord-ouest de l’Angleterre, les employés reçoivent un ordre inhabituel : ne pas se présenter au travail. Les systèmes ERP SAP, les contrôleurs SCADA, les automates programmables robotiques, les outils CRM et même les portails de concessionnaires sont à l’arrêt. L’entreprise reconnaît rapidement une attaque à large spectre affectant ses environnements industriels et bureautiques.

Les chaînes d’assemblage de Jaguar-Land Rover (JLR) ont été ralenties, puis stoppées à la suite d’un incident informatique majeur. Les premières investigations du Cyber Monitoring Centre (CMC) britannique et du National Cyber Security Centre (NCSC) révèlent une cyberattaque à effet domino. C’est l’une de ces offensives où la faille ne vient pas de l’intérieur, mais d’un prestataire, d’un fournisseur ou d’un maillon négligé de la chaîne numérique, ce pour quelques raisons que ce soit.

Un séisme industriel et systémique

D’après The Hindu Business Line, les serveurs compromis ont eu un effet domino. Cet effet s’est fait ressentir dans plusieurs usines à travers le monde. Ce qui provoque une suspension de la production. En Slovaquie, Eberspächer Gruppe GmbH & Co., fournisseur de systèmes d’échappement, a dû stopper l’activité de sa manufacture de Nitra. Le Britannique Autins Group, l’un des sous-traitants majeurs, a pour sa part informé ses actionnaires d’un « impact significatif » sur ses opérations locales. « JLR a été impacté par un cyberincident. Nous avons pris des mesures immédiates pour atténuer son impact en arrêtant de manière proactive nos systèmes. […] À ce stade, il n’y a aucune preuve que des données sur les clients ont été volées, mais nos activités de vente au détail et de production ont été gravement perturbées », a déclaré un porte-parole de JLR après l’incident du samedi 30 août 2025.

« Le modèle de CMC estime que l’événement a causé un impact financier britannique de 1,9 milliard de £ et a affecté plus de 5 000 organisations britanniques. » Les bouleversements touchent tout autant les sites d’exploitation que les transporteurs, les prestataires logistiques ainsi que les concessions automobiles. Dans son rapport, le comité technique du CMC, présidé par Ciaran Martin (ancien directeur du NCSC), prévient que « cet incident répond aux critères de la catégorie 3 en raison d’une perte financière comprise entre 1 et 5 milliards de livres sterling pour les organisations concernées et d’un impact significatif sur plus de 2 700 entités britanniques. »

Pour les experts du CMC, la dépendance des entreprises aux systèmes IT [Information technology] et OT [operationel technology] interconnectés constitue le véritable maillon faible. Les points de convergences entre l’IT [SQL, Cloud, CRM, ERP, RDP, HTTPS, Internet access] et l’OT [Machinery, Assembly Lines, RTUs, HMIs, SCADA, PLCs, Modbus] seraient le talon d’Achille. Les chaînes logistiques multi-niveaux, la sous-traitance massive et la concentration de données critiques dans des environnements cloud accentuent donc leurs expositions.

ShinyHunters
une signature familière

Vingt-quatre heures après l’attaque, une organisation bien connue de la scène cyber, en réclame la paternité : ShinyHunters. Sur leur chaîne Telegram, « le groupe dit des Shiny Hunters [et en particulier Rey, qui a officié un temps sous la bannière de Hellcat] », explique LeMagIT.

Derrière ce trouve un collectif ayant déjà revendiqué des attaques contre des détaillants britanniques et des entreprises comme Google, Air France-KLM, Allianz for Life, Cisco ou Pandora, via des intrusions dans leurs instances Salesforce. [Crédits : Bradley De Melo/Pexels]

Le mode opératoire correspond à celui de l’organisation Scattered Spider : des campagnes de phishing, de vishing, et l’exploitation de comptes d’accès à privilèges. Une approche redoutable, car elle contourne les défenses techniques en s’appuyant sur la psychologie et la routine des utilisateurs.

Un précédent aux allures de crise nationale

Le gouvernement britannique a dû réagir. Selon le rapport du CMC, l’État s’est porté garant à hauteur de 1,5 milliard de livres sterling pour maintenir les liquidités de Jaguar-Land Rover. Le but limiter et éviter une onde de choc sur l’économie du pays.

Le CMC appelle à une révision des cadres et à un renforcement des couvertures assurantielles face aux menaces cyber. « Les perturbations opérationnelles posent aujourd’hui le plus grand risque pour la plupart des entreprises », conclut-il.

À peine vingt-quatre heures après la révélation de l’incident chez Jaguar-Land Rover, Bridgestone annonce à son tour l’interruption de son usine de Joliette, au Canada, en raison d’une possible cyberattaque. La troisième depuis 2022. « L’usine demeure à l’arrêt jusqu’à vendredi 19 h. Selon les progrès réalisés par l’équipe informatique, nous prévoyons vous partager le plan de redémarrage des activités en cours de journée le vendredi 5 septembre », précise la société. Les droits de chômage partiel ne sont pas les mêmes qu’en France. « On n’est pas payé. Il faut être sept jours à l’arrêt pour faire une demande de chômage. » Elle met à disposition des 1400 employés 200 $ par jour, car l’usine est le poumon économique de la région lanaudoise.

Bridgestone
victime collatérale

Ces attaques, menées par des organisations à motivation financière, traduisent aussi une géo-politisation du cyberespace. Les services européens de renseignement évoquent depuis 2024 une multiplication des offensives à visée de cyberespionnage industriel, souvent attribuées à des groupes affiliés à la Russie ou à la Chine.

Au-delà du Royaume-Uni, cet épisode résonne comme un signal d’alarme pour l’industrie européenne. À l’heure où entre en vigueur la directive NIS2, censée renforcer la cybersécurité des opérateurs essentiels, le cas JLR illustre les limites du dispositif : la conformité ne garantit pas la résilience. L’ensemble des acteurs doivent composer avec la réalité : la cybersécurité industrielle est un enjeu de souveraineté économique. [Crédits : Pixabay/Pexels]

« La digitalisation de l’industrie, si elle n’est pas accompagnée d’une culture de sécurité, revient à installer des portes automatiques sans serrure », ironise un expert du NCSC. Cette cyberattaque a mis en lumière la vulnérabilité d’un modèle entier : celui d’une industrie mondialisée, hyperconnectée et dépendante de prestataires interopérables. Jaguar-Land Rover n’est peut-être que le premier domino d’une série que l’Europe industrielle n’a plus le luxe ni le temps d’ignorer.