Cyberattaque en Grande-Bretagne chez Jaguar Land Rover : un rappel nécessaire de l’importance vitale de la cybersécurité au sein des entreprises, y compris industrielles

03 octobre 2025
Corinne Thiérache

Fin août 2025, Jaguar Land Rover a été la cible d’une cyberattaque de grande ampleur, vraisemblablement menée à l’aide d’un rançongiciel. Malgré une coopération active avec le National Cyber Security Centre (NCSC), les répercussions se font encore sentir plus d’un mois après l’incident. Les conséquences économiques sont considérables : les pertes s’élèveraient à près de 50 millions de livres sterling par semaine, fragilisant l’ensemble de l’écosystème industriel de l’entreprise. Certains fournisseurs sont désormais menacés de disparition, mettant en jeu jusqu’à 200 000 emplois. Cet événement met en lumière la vulnérabilité persistante des entreprises face aux cybermenaces, et souligne l’urgence de renforcer leur préparation, non seulement par la prévention mais également à travers des dispositifs de continuité et de reprise d’activité.

Le rançongiciel – ou ransomware – est un logiciel malveillant qui chiffre les données d’une organisation et les rend inaccessibles tant qu’une rançon n’est pas versée. Toutefois, céder à ce chantage ne garantit ni la récupération des données, ni la sécurité face à de futures attaques. En cas d’attaque, il est recommandé d’adopter sans délai une série de mesures de réaction, parmi lesquelles :

  • Eteindre les machines potentiellement compromises,
  • Alerter les équipes techniques,
  • Constituer une cellule de crise dédiée à la gestion de l’incident,
  • Conserver les preuves pour permettre une analyse ultérieure,
  • Notifier la faille de sécurité à la CNIL dans un délai de 72 heures,
  • Préparer un plan de communication en interne et à l’attention des clients et fournisseurs en sus du grand public, en prévision d’éventuelles sollicitations médiatiques,
  • Déclarer l’incident auprès de son assureur (en cas de souscription à une assurance cyber) dans les 72 heures de la connaissance du sinistre,
  • Déposer plainte avant toute tentative de restauration du système.

Ces attaques exploitent souvent un enchaînement de vulnérabilités, à savoir un cloisonnement insuffisant des réseaux, l’absence de détection automatisée du chiffrement massif, ou encore le manque de sauvegardes réellement sécurisées.

Pour limiter ces risques, l’article 32 du Règlement général sur la protection des données (RGPD) impose aux responsables de traitement et à leurs sous-traitants de mettre en œuvre des mesures techniques et organisationnelles appropriées. Si cette exigence peut paraître générale, elle a précisément pour but d’assurer une adaptation continue aux évolutions technologiques et aux menaces émergentes. Le point 1, b) du même article précise que ces mesures doivent garantir la confidentialité, l’intégrité et la disponibilité des données, ainsi que la « résilience constante des systèmes et des services de traitement ». En ce sens, le RGPD rend la gestion de la continuité des activités incontournable en cas d’incident.

Le plan de continuité d’activité (PCA) est défini par la norme ISO 22301:2012 comme un « processus de management holistique » visant à identifier les menaces potentielles et à en limiter les impacts sur les activités critiques de l’organisation. Il constitue un cadre structuré pour bâtir la résilience, assurer une réponse efficace et préserver les intérêts vitaux de l’organisation : parties prenantes, réputation, marque, et valeur créée.

Concrètement, l’élaboration d’un PCA repose sur plusieurs étapes : analyser le contexte de l’organisation, définir ses objectifs et identifier ses activités essentielles, puis recenser les risques susceptibles d’interrompre ces activités. Il convient ensuite d’évaluer leurs impacts, de sélectionner des scénarios de crise réalistes, et de déterminer les besoins de continuité (ressources humaines, systèmes d’information, sites, fournisseurs…). À partir de cette base, il est possible de concevoir une stratégie adaptée, précisant les niveaux de service à maintenir, les délais d’interruption acceptables, ainsi que les procédures à suivre. Le plan doit être formalisé, régulièrement testé (par des exercices, tests d’intrusion ou simulations), et mis à jour pour rester pertinent face à l’évolution des menaces.

Un tel plan doit être complété par un Plan de Reprise d’Activité (PRA)qui, quant à lui, a pour objectif derestaurer rapidement le système informatiqued’une entreprise en cas de sinistre. Il vise à minimiser le temps d’interruption des activités tout en garantissant l’accès aux infrastructures informatiques et aux applications critiques.

Malheureusement, les actualités en la matière démontrent que les entreprises ne sont pas toutes suffisamment préparées pour affronter une cyberattaque et en limiter l’impact préjudiciable. Les avocats d’ALERION sont à vos côtés pour sensibiliser et documenter de manière claire et pédagogique toute une stratégie de résilience numérique.

Résumé de la politique de confidentialité

Version mise en ligne Janvier 2020

Alerion, en tant que responsable de traitement, attache une importance toute particulière à la protection de vos données personnelles (ci-après « Données Personnelles » ou « Données »), telles que définies par le Règlement (UE) 2016/679 relatif à la protection des Données Personnelles et par la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés » (ci-après dénommés ensemble la « Règlementation »).

La présente Politique de confidentialité a vocation à détailler de manière transparente la manière dont Alerion recueille, stocke, utilise et divulgue vos Données Personnelles lorsque vous consultez le site Internet, accessible notamment à l’adresse https://www.alerionavocats.com/ (le « Site ») et/ou que vous souhaitez obtenir des services ou informations proposés sur le Site (les « Services »).

La présente Politique est complétée, le cas échéant, par nos Conditions Générales de Services qui sont annexées aux Conventions d’honoraires d’Alerion, ainsi que par les mentions informatives indiquées dans nos formulaires de collecte de Données.

En utilisant le Site vous acceptez la Politique de confidentialité.

Plus d'informations ici