Une cyberattaque contre Jaguar Land Rover provoque une catastrophe dans la chaîne d'approvisionnement

Depuis près de trois semaines, les chaînes de production du géant automobile mondial Jaguar Land Rover sont à l'arrêt. Habituellement occupés à produire environ 1 000 véhicules par jour, les employés de plusieurs usines JLR en Grande-Bretagne ont reçu l'ordre de rester chez eux, le constructeur automobile devant faire face à une cyberattaque dévastatrice. Mais alors que la reprise s'étend sur plusieurs semaines, les répercussions se font sentir sur les centaines d'entreprises qui fournissent JLR en pièces et matériaux, et l'attaque risque de dégénérer en crise majeure.

Vendredi, le gouvernement britannique a admis que la cyberattaque contre JLR avait un « impact significatif » sur l'entreprise et sur la « chaîne d'approvisionnement automobile au sens large ». Cette concession intervient alors que les syndicats et les autorités multiplient les mises en garde contre la perte de milliers d'emplois dans la chaîne d'approvisionnement tentaculaire de JLR et la faillite de certaines petites entreprises. Selon certaines informations, JLR pourrait perdre jusqu'à 50 millions de livres sterling (67 millions de dollars) par semaine en raison de la fermeture. Certaines entreprises auraient déjà licencié du personnel, le syndicat Unite affirmant que les travailleurs de la chaîne d'approvisionnement de JLR « sont licenciés avec des salaires réduits, voire nuls ». Certains ont été invités à « s'inscrire » aux prestations sociales, affirme le syndicat.

« Il semble inédit au Royaume-Uni de connaître une telle ampleur de perturbations suite à une cyberattaque ou à un rançongiciel », déclare Jamie MacColl , chercheur principal au sein du groupe de recherche sur la cybersécurité et les technologies du RUSI, un groupe de réflexion sur la sécurité et la défense. Le fait que des milliers d'emplois puissent être menacés, temporairement ou définitivement, est d'une ampleur sans précédent par rapport aux incidents précédents, ajoute M. MacColl.

JLR, propriété du groupe indien Tata Motors, est l'un des plus gros employeurs du Royaume-Uni, avec environ 32 800 employés directs dans le pays. Les statistiques publiées sur le site web de l'entreprise indiquent également qu'elle soutient 104 000 emplois supplémentaires grâce à sa chaîne d'approvisionnement britannique et 62 900 emplois supplémentaires grâce aux dépenses salariales. De nombreux autres fournisseurs sont également basés hors du Royaume-Uni, ainsi que certaines usines à l'étranger.

Début septembre, JLR a confirmé avoir été « impactée » par une cyberattaque et avoir pris des « mesures immédiates » en « fermant proactivement ses systèmes », paralysant ainsi ses usines et ses processus de production. Après avoir enquêté sur l'attaque, l'entreprise a révélé que « certaines données » avaient été « affectées », sans toutefois préciser lesquelles.

Malgré les efforts déployés pour rétablir les systèmes, l'entreprise a confirmé mercredi que sa pause de production était prolongée jusqu'au mercredi 24 septembre. « Nous avons pris cette décision alors que notre enquête sur le cyberincident se poursuit et que nous envisageons les différentes étapes du redémarrage contrôlé de nos opérations mondiales, qui prendra du temps », a déclaré JLR dans un communiqué mercredi. « Nous sommes sincèrement désolés des perturbations continues causées par cet incident et nous vous tiendrons informés de l'avancement de l'enquête. »

JLR n'a pas répondu aux questions de WIRED sur les systèmes perturbés, le coût financier de la cyberattaque pour les fournisseurs, ni les mesures envisagées par l'entreprise pour soutenir les entreprises.

Presque immédiatement après la cyberattaque, un groupe sur Telegram appelé Scattered Lapsus$ Hunters a revendiqué le piratage. Le nom du groupe suggère une collaboration potentielle entre trois collectifs de hackers informels – Scattered Spider , Lapsus$ et Shiny Hunters – à l'origine de certaines des cyberattaques les plus médiatisées de ces dernières années. Ils sont souvent composés de jeunes cybercriminels anglophones qui ciblent de grandes entreprises .

La fabrication de véhicules est un processus extrêmement complexe. Des centaines d'entreprises fournissent des pièces, des matériaux, des composants électroniques et bien plus encore aux constructeurs automobiles, et ces vastes réseaux de chaînes d'approvisionnement reposent souvent sur une production « juste à temps ». Cela signifie qu'ils commandent des pièces et des services pour qu'ils soient livrés dans les quantités spécifiques nécessaires et au moment précis où ils en ont besoin ; il est donc peu probable que les constructeurs automobiles disposent de stocks importants de pièces.

« Les réseaux de fournisseurs qui approvisionnent ces usines sont tous conçus pour être efficaces, tant sur le plan économique que logistique », explique Siraj Ahmed Shaikh , professeur en sécurité des systèmes à l'Université de Swansea. « La chaîne d'approvisionnement est très soigneusement orchestrée », ajoute M. Shaikh, parlant de la construction automobile en général. « Il existe une dépendance critique pour les fournisseurs qui approvisionnent ce type d'activité. Dès qu'une perturbation survient dans ce type d'installation, tous les fournisseurs sont impactés. »

Selon un article du Telegraph , une entreprise fabriquant des toits ouvrants en verre a commencé à licencier du personnel. Par ailleurs, une autre entreprise a indiqué à la BBC avoir licencié une quarantaine de personnes à ce jour. Le constructeur automobile français OPmobility , qui emploie 38 000 personnes sur 150 sites, a indiqué à WIRED qu'il procédait à des changements et suivait la situation de près. « OPmobility reconfigure sa production sur certains sites suite à l'arrêt de sa production par l'un de ses clients basé au Royaume-Uni et en fonction de l'évolution de la situation », a déclaré un porte-parole de l'entreprise.

Bien qu'il soit difficile de déterminer précisément quels systèmes JLR ont été touchés par les pirates et quels systèmes JLR a mis hors ligne de manière proactive, nombre d'entre eux ont probablement été mis hors ligne pour empêcher l'attaque de s'aggraver. « Il est très difficile d'assurer le confinement tant que des connexions entre différents systèmes sont encore disponibles », explique Orla Cox , responsable de la communication cybersécurité EMEA chez FTI Consulting, qui intervient en cas de cyberattaques et mène des enquêtes. « Il arrive aussi souvent qu'il y ait des dépendances entre différents systèmes : la mise hors service d'un système a des répercussions sur un autre. »

Dès qu'un piratage survient dans une chaîne d'approvisionnement, qu'il s'agisse d'un fabricant au sommet de la pyramide ou d'une entreprise plus en aval, les connexions numériques entre les entreprises peuvent être coupées afin d'empêcher les attaquants de se propager d'un réseau à l'autre. Les connexions via VPN ou API peuvent être interrompues, explique Cox. « Certaines entreprises peuvent même prendre des mesures plus strictes, comme le blocage de domaines et d'adresses IP. Les échanges de messagerie, par exemple, entre les deux organisations, deviennent alors impossibles. »

La complexité des chaînes d'approvisionnement numériques et physiques, qui s'étendent à des dizaines d'entreprises et à des systèmes de production à flux tendu, signifie que la remise en service et le retour à un fonctionnement optimal prendront probablement du temps. MacColl, chercheur au RUSI, affirme que les questions de cybersécurité sont souvent négligées au plus haut niveau de la politique britannique, mais ajoute que cette fois-ci, la situation pourrait être différente en raison de l'ampleur de la perturbation. « Cet incident pourrait avoir des répercussions importantes en raison des pertes d'emplois et du fait que les députés des circonscriptions concernées recevront des appels », affirme-t-il. Cette avancée est déjà en cours.

« Cette cyberattaque n'est pas une simple lueur d'espoir, elle se transforme rapidement en une cyberonde de choc qui ravage nos centres industriels », a déclaré Liam Byrne, député et président de la commission des affaires et du commerce de la Chambre des communes, sur X. « Si le gouvernement reste passif, cette onde de choc va détruire des emplois, des entreprises et des salaires dans toute la Grande-Bretagne. » D'autres législateurs ont également exprimé leurs inquiétudes après avoir discuté avec les fournisseurs de JLR concernés, et le syndicat Unite a déclaré que le gouvernement britannique devrait intervenir en mettant en place un dispositif de chômage partiel pour soutenir les travailleurs .

« Le récent incident informatique a un impact significatif sur Jaguar Land Rover et sur l'ensemble de la chaîne d'approvisionnement automobile », a déclaré le ministère britannique du Commerce et de l'Industrie dans un communiqué publié vendredi, à l'issue d'une réunion avec des représentants de l'industrie automobile. « Le gouvernement, y compris ses experts en cybersécurité, est en contact avec l'entreprise pour l'aider à rétablir ses activités de production et travaille en étroite collaboration avec JLR afin d'analyser les impacts éventuels sur la chaîne d'approvisionnement. »

Cette attaque est probablement un nouvel incident qui illustre la fragilité des chaînes d'approvisionnement lorsqu'elles sont confrontées à des perturbations. « Nous devons absolument adopter une chaîne d'approvisionnement et des opérations plus résilientes, notamment dans le secteur manufacturier », déclare Shaikh, de l'Université de Swansea.

Parallèlement, MacColl affirme qu'alors que les tensions mondiales sont vives – et que de nombreux pays prennent des mesures pour se préparer à une guerre – cette attaque illustre comment la production peut être contrainte à l'arrêt. « Si tel est l'effet que les criminels peuvent avoir sur nos chaînes d'approvisionnement, il est très inquiétant de penser à notre manque de préparation face, par exemple, à une attaque plus coordonnée et plus soutenue d'un État ennemi potentiel », conclut MacColl.