Le 5 janvier 2026, le constructeur automobile britannique Jaguar Land Rover a dévoilé ses chiffres préliminaires pour le troisième trimestre de l’exercice fiscal 2026. Ces résultats confirment l’ampleur du choc provoqué par la cyberattaque de septembre 2025 : les volumes de ventes en gros ont plongé de 43,3 %, tandis que les ventes au détail ont reculé de 25,1 %. Une catastrophe industrielle et économique dont les répercussions continuent de se faire sentir plusieurs mois après l’attaque.
De l’activité suspecte à l’arrêt total de production
Tout commence le 31 août 2025. Des gestionnaires de l’usine de Halewood, au Royaume-Uni, constatent des comportements anormaux sur certains systèmes informatiques. Le lendemain, les équipes IT de Jaguar Land Rover (JLR) détectent une intrusion dans leur réseau. La compromission est suffisamment sérieuse pour que le constructeur prenne une décision radicale : couper massivement ses systèmes informatiques pour contenir la propagation.
Le 2 septembre, le groupe publie un premier communiqué officiel : “JLR a été impacté par un incident cyber. Nous avons pris des mesures immédiates pour atténuer son impact en coupant proactivement nos systèmes. À ce stade, il n’y a aucune preuve que des données clients aient été volées, mais nos activités de vente au détail et de production ont été gravement perturbées.”
Cette mesure de protection entraîne un effet immédiat : l’arrêt complet de la production dans toutes les usines du constructeur, que ce soit au Royaume-Uni, en Slovaquie, en Chine ou en Inde. En temps normal, Jaguar Land Rover produit plus de 1 000 véhicules par jour. Toutes les lignes sont désormais à l’arrêt.
Quand une semaine d’arrêt se transforme en six semaines
Dans les premiers jours, l’espoir d’une reprise rapide est encore permis. Le constructeur indique travailler “à un rythme soutenu pour redémarrer nos applications mondiales de manière contrôlée”. Mais la réalité va se révéler bien plus complexe.
Le 10 septembre, soit huit jours après la découverte de l’attaque, Jaguar Land Rover confirme que les attaquants ont également volé des données : “Suite à notre enquête en cours, nous pensons maintenant que certaines données ont été affectées et nous en informons les autorités compétentes.” L’entreprise précise que son enquête forensique se poursuit et qu’elle contactera les personnes concernées si nécessaire.
Le 16 septembre, nouvelle annonce : la production ne reprendra pas avant le 24 septembre au moins. “Nous avons pris cette décision alors que notre enquête forensique sur l’incident cyber se poursuit, et alors que nous étudions les différentes étapes du redémarrage contrôlé de nos opérations mondiales, ce qui prendra du temps”, explique le groupe. À ce stade, trois semaines et demie de production ont déjà été perdues. Des sources industrielles évoquent une perturbation possible jusqu’en novembre.
Face à l’ampleur de la crise et à son impact sur la chaîne d’approvisionnement britannique, le gouvernement britannique intervient le 28 septembre en approuvant une garantie de prêt de 1,5 milliard de livres sterling pour aider le constructeur à restaurer sa chaîne d’approvisionnement et à redémarrer la production.
La production redémarre finalement le 8 octobre 2025, selon une approche progressive et contrôlée. Mais il faudra attendre la mi-novembre pour que l’entreprise retrouve un niveau de production normal. Pendant ce temps, la distribution des véhicules déjà produits avant l’attaque a également été fortement ralentie. Bilan : plus de six semaines de production perdues.
Scattered Lapsus$ Hunters : la revendication
Peu après l’attaque, un groupe de cybercriminels s’identifiant comme “Scattered Lapsus$ Hunters” revendique l’incident sur Telegram. Ce collectif affirme être une collaboration de criminels associés aux groupes Lapsus$, Scattered Spider et ShinyHunters, trois groupes anglophones connus pour leurs tactiques d’ingénierie sociale et d’extorsion. Les attaquants publient des captures d’écran d’un système SAP interne de Jaguar Land Rover et déclarent avoir également déployé un ransomware sur les systèmes compromis. Ce même groupe est également responsable d’une vague massive d’attaques contre des instances Salesforce, ayant compromis des données de nombreuses entreprises de premier plan, dont Google, Cloudflare, Palo Alto Networks et bien d’autres
Ni Jaguar Land Rover, ni sa maison mère Tata Motors n’ont confirmé officiellement l’attribution de l’attaque à ce groupe. Aucune précision n’a été donnée sur la nature exacte du malware utilisé.
Le Royaume-Uni déjà durement touché par les attaques ransomware en 2025
L’attaque contre JLR s’inscrit dans un contexte difficile pour l’économie britannique en 2025. Le pays a déjà connu plusieurs cyberattaques majeures cette année, notamment contre Marks & Spencer (perte d’environ £300 millions après un arrêt de deux mois de ses services en ligne en avril) et Co-op, également revendiquées par Dragonforce.
196 millions de livres pour Jaguar Land Rover, 1,9 milliard pour le Royaume-Uni
Dans ses résultats financiers publiés en novembre 2025, le constructeur révèle que l’attaque a coûté 196 millions de livres sterling au cours du deuxième trimestre de son exercice fiscal. L’entreprise affiche une perte avant impôts de 485 millions de livres sterling pour le trimestre juillet-septembre 2025, contre un bénéfice de 398 millions de livres pour la même période l’année précédente.
“Cette diminution de la rentabilité est largement due à l’incident cyber, à l’impact continu des droits de douane américains, à la réduction des volumes mentionnée ci-dessus et à l’augmentation des dépenses variables de marketing”, précise le communiqué du groupe.
Les chiffres du troisième trimestre fiscal 2026, dévoilés le 5 janvier 2026, confirment la gravité de la situation. Les ventes en gros chutent à 59 200 véhicules, soit une baisse de 43,3 % sur un an. Les ventes au détail reculent à 79 600 unités, en baisse de 25,1 %. Toutes les régions sont touchées : l’Amérique du Nord enregistre une chute de 64,4 %, l’Europe de 47,6 %, la Chine de 46 %. Seul le Royaume-Uni limite la baisse à 0,9 %.
“En raison de cet incident et du temps nécessaire pour distribuer les véhicules dans le monde entier une fois produits, les volumes de gros et de détail ont diminué sur une base trimestrielle et annuelle”, explique Jaguar Land Rover. Le groupe précise que la production n’est revenue à un niveau normal qu’à la mi-novembre, et qu’il a ensuite fallu du temps supplémentaire pour acheminer les véhicules vers les marchés mondiaux.
Mais l’impact dépasse largement le périmètre du constructeur. Le Cyber Monitoring Centre (CMC), un organisme britannique de surveillance des cybermenaces, estime que l’incident a causé un impact financier de 1,9 milliard de livres sterling à l’économie britannique et a affecté plus de 5 000 entreprises au Royaume-Uni. L’incident est classé en catégorie 3, correspondant à une perte financière comprise entre 1 et 5 milliards de livres pour les opérations britanniques des organisations touchées. Il s’agit de la cyberattaque la plus coûteuse de l’histoire du Royaume-Uni.
La Banque d’Angleterre a également cité la cyberattaque de Jaguar Land Rover comme l’un des facteurs clés ayant contribué à une croissance du PIB britannique plus faible que prévu au troisième trimestre 2025. Dans son Monetary Policy Report de novembre 2025, l’institution indique que l’arrêt de production chez JLR a directement contribué à une contraction de 0,17 point de pourcentage du PIB en septembre, aidant à basculer l’économie en contraction.
Quand 5 000 entreprises paient le prix d’une attaque
L’arrêt brutal de la production chez Jaguar Land Rover a créé une onde de choc dans toute la chaîne d’approvisionnement automobile britannique. Le constructeur, qui emploie plus de 39 000 personnes et génère un chiffre d’affaires annuel de plus de 38 milliards de dollars, fabrique normalement plus de 400 000 véhicules par an.
Selon le Cyber Monitoring Centre, plus de 5 000 organisations britanniques ont été impactées par l’arrêt de production. Il s’agit notamment de fournisseurs de pièces automobiles de premier, deuxième et troisième rangs, d’entreprises de logistique, de prestataires de services et de concessionnaires. Beaucoup de ces entreprises sont des PME financièrement fragiles, qui n’ont pas les ressources pour supporter un arrêt prolongé de leurs activités.
Jason Richards, responsable régional pour les Midlands de l’Ouest au syndicat Unite, a déclaré à la BBC : “Nous constatons déjà que des employeurs ont des discussions sur d’éventuels licenciements. Les gens doivent payer leur loyer, ils doivent payer leur hypothèque, et s’ils ne reçoivent aucun salaire, que sont-ils censés faire ? Nous devons avoir une chaîne d’approvisionnement pour Jaguar Land Rover. Je ne peux pas assez insister là-dessus, car si JLR ouvre les vannes en s’attendant à ce que la chaîne d’approvisionnement soit là en attente, elle ne sera pas là.”
Le syndicat Unite a appelé à la mise en place d’un programme de chômage partiel financé par le gouvernement pour aider à payer les salaires des personnes du secteur incapables de travailler en raison de l’arrêt.
Le cas d’Evtec Group : un fournisseur durement touché
L’impact sur les fournisseurs n’est pas théorique. Evtec Group, un équipementier majeur basé à Coventry, a dû placer 900 employés en chômage partiel à 80% de salaire pendant la durée de l’arrêt. L’entreprise a estimé ses pertes à 13 millions de livres sterling. Selon son président David Roberts, sans les mesures d’urgence gouvernementales, de nombreux fournisseurs auraient fait faillite. Il a toutefois tenu à rappeler la situation réelle : “Nous ne devons pas oublier qui est à blâmer ici. Tout cela est la faute de criminels. JLR est la victime ici. Nous devrions nous rappeler qui a commencé cela, et ce n’était pas JLR.”
Selon le Cyber Monitoring Centre, un rétablissement complet ne sera atteint qu’en janvier 2026, soit plus de quatre mois après la reprise progressive de la production. Certains fournisseurs ont averti qu’ils pourraient faire face à jusqu’à six mois de difficultés de trésorerie suite à l’attaque.
Décembre 2025 : le vol de données employés confirmé
Près de quatre mois après l’attaque, Jaguar Land Rover notifie ses employés actuels et anciens que leurs données personnelles ont été compromises. Dans un email envoyé au personnel en décembre 2025, le constructeur explique que les données affectées incluent “des informations détenues dans le cadre de l’emploi et certaines informations nécessaires à l’administration de la paie, des avantages sociaux et des programmes du personnel pour les employés et les personnes à charge”.
Les données volées comprennent des coordonnées bancaires, des codes fiscaux, des numéros d’assurance nationale (équivalent britannique de la sécurité sociale), des informations sur les salaires, des adresses et d’autres informations sensibles. L’entreprise précise qu’il n’y a pas de preuve que ces données aient été utilisées de manière malveillante, mais appelle ses employés à la vigilance face aux tentatives de phishing qui pourraient exploiter ces informations.
Le groupe met en place une ligne d’assistance téléphonique et propose des services de surveillance de crédit et d’identité pour les personnes affectées. L’incident concerne les 38 000 employés du constructeur, actuels et anciens, ainsi que des sous-traitants.
Au-delà de la cyberattaque : des défis multiples
Si l’impact de la cyberattaque est indéniable, Jaguar Land Rover fait également face à d’autres défis qui ont amplifié la chute des ventes au troisième trimestre. Le constructeur a précisé que “l’arrêt progressif de la production des anciens modèles Jaguar avant le lancement de la nouvelle Jaguar” a contribué à la baisse des volumes. Le groupe poursuit sa stratégie de transformation de la marque Jaguar vers une gamme 100 % électrique prévue pour 2026.
Les droits de douane américains impactant les exportations vers les États-Unis ont également pesé sur les volumes. L’Amérique du Nord a d’ailleurs enregistré la plus forte chute des ventes en gros avec une baisse de 64,4 %.
Les enseignements de cette crise
L’attaque contre Jaguar Land Rover illustre plusieurs réalités de la cybersécurité industrielle. L’interdépendance des chaînes d’approvisionnement modernes crée des vulnérabilités systémiques : un seul incident chez un grand constructeur peut paralyser des milliers d’entreprises. Le coût réel d’une cyberattaque va bien au-delà des pertes directes de l’entreprise ciblée, avec des répercussions macroéconomiques mesurables.
Le cas démontre également qu’un redémarrage contrôlé des opérations après un incident majeur peut prendre plusieurs semaines, voire plusieurs mois. Même après la reprise de la production début octobre, il a fallu attendre mi-novembre pour retrouver un rythme normal, et encore davantage de temps pour reconstituer les stocks et livrer les clients. La notification tardive du vol de données employés, quatre mois après l’attaque, soulève par ailleurs des questions sur les délais d’enquête forensique et la communication avec les personnes affectées.
Mesures de protection essentielles
Face à ces risques, les entreprises doivent s’assurer que certains fondamentaux sont en place : segmentation du réseau pour limiter la propagation, authentification multifacteurs sur tous les accès critiques, surveillance continue avec capacité de réponse 24/7, et stratégie de sauvegarde robuste incluant des copies isolées et régulièrement testées. Les exercices de simulation permettent de vérifier que les plans de continuité d’activité fonctionnent réellement en situation de crise.
Réagir après une attaque
L’affaire Jaguar Land Rover rappelle qu’aucune entreprise n’est à l’abri d’une cyberattaque aux conséquences majeures. Si votre entreprise subit une attaque par ransomware, notre équipe d’experts en récupération de données peut intervenir rapidement pour évaluer la situation, identifier les options techniques de récupération et limiter l’impact sur votre activité.
Contactez-nous sans attendre pour une intervention d’urgence.
Sources :
- BleepingComputer : Jaguar Land Rover wholesale volumes down 43% after cyberattack
- BleepingComputer : UK govt backs JLR with £1.5 billion loan guarantee after cyberattack
- BBC News : JLR could face disruption until November after hack
- BBC News : JLR supplier reopens factory after cyber-attack
- BBC News : JLR hack is costliest cyber attack in UK history, say analysts
- The Register : JLR: Payroll data stolen in cybercrime that shook UK economy
- The Register : Bank of England says JLR’s cyberattack contributed to UK’s unexpectedly slower GDP growth
- Reuters : Jaguar Land Rover hack cost UK economy an estimated $2.5 billion, report says
- Cyber Monitoring Centre : Cyber Monitoring Centre Statement on the Jaguar Land Rover Cyber Incident – October 2025
