Le 31 août 2025, des responsables de l’usine de
Halewood (Royaume-Uni) remarquent des comportements anormaux sur leurs
systèmes. Le lendemain matin, les équipes IT de Jaguar Land Rover (JLR) —
filiale de Tata Motors — détectent une intrusion suffisamment grave
pour prendre une décision radicale : couper massivement tous les systèmes informatiques afin de contenir la propagation. Les chaînes de production s’arrêtent sur quatre continents : Solihull, Halewood, Wolverhampton (Royaume-Uni), Slovaquie, Brésil, Chine et Inde.
Ce qui semblait être un incident temporaire devient une crise industrielle nationale.
JLR, qui produisait environ 1 000 véhicules par jour, ne sort plus
aucun Range Rover, Discovery ou Defender de ses chaînes pendant plus de
six semaines. Ses 33 000 employés britanniques sont
invités à rester chez eux. Des fournisseurs leur conseillent de
s’inscrire aux allocations chômage (Universal Credit). La reprise
progressive ne commence que le 8 octobre 2025.
dans l’environnement SAP NetWeaver de JLR, donnant le contrôle des
systèmes de production critiques. Les mêmes acteurs publient des
captures d’écran du système SAP interne de JLR et affirment avoir
également touché Google, Cloudflare et Palo Alto Networks via des
instances Salesforce compromises.
- Fév. 2025 Intrusion silencieuse — Scattered Spider vole le NTDS.dit via vishing sur le helpdesk
- 19–21 avr. Premières pannes visibles — Paiements sans contact et Click & Collect défaillants
- 25 avr. Arrêt e-commerce — Site, app et commandes suspendus, début de la crise publique
- 13 mai Confirmation fuite de données — Noms, adresses, dates de naissance, historiques d’achats
- 21 mai Bilan financier — 300 M£ de pertes annoncées; site remis en lecture seule
- 10 juin Reprise partielle — Premières commandes vêtements acceptées après 46 jours d’arrêt
L’ampleur de la catastrophe oblige le gouvernement britannique à des mesures exceptionnelles inédites : une garantie de prêt de 1,5 milliard de livres sterling
via UK Export Finance est accordée en urgence — une première dans le
contexte d’une cyberattaque. La Banque d’Angleterre reconnaît que
l’incident a contribué au ralentissement inattendu de la croissance du PIB britannique.
Le cabinet Howden estime que l’absence de couverture cyber adéquate
chez JLR a forcé l’intervention de l’État — soulignant que l’assurance
cyber n’est plus une option mais une nécessité stratégique pour les
grands groupes industriels.
Enseignement principal : L’attaque n’a pas
reposé sur une faille zero-day sophistiquée, mais sur des lacunes
organisationnelles classiques : identifiants volés chez un prestataire
via ingénierie sociale, absence d’isolation réseau entre les partenaires
et les systèmes de production critiques, détection tardive. La
conformité formelle (audits, certifications) ne remplace pas la sécurité
opérationnelle.