Synthèse de l'incident
Début mars 2026, le groupe d'extorsion Lapsus$ a publié Lacoste SA sur son site de revendication, déclarant avoir exfiltré des données internes de l'enseigne française de prêt-à-porter. La nature et le volume exacts des données compromises sont encore en cours d'investigation, mais l'incident place Lacoste parmi les dernières victimes d'un groupe devenu l'une des menaces les plus actives de 2026.
Lapsus$ ne chiffre rien. Pas de ransomware, pas de verrouillage. Ils volent et menacent de publier. C'est de l'extorsion pure — et c'est souvent plus efficace que le chiffrement.
Qui est Lapsus$ ?
Lapsus$ n'est pas un groupe de ransomware classique. Contrairement aux groupes qui chiffrent les données et demandent une rançon pour la clé de déchiffrement, Lapsus$ pratique l'extorsion par exfiltration : ils volent les données confidentielles et menacent de les publier si la victime ne paie pas.
Un modèle opératoire distinctif
- Pas de chiffrement : aucun fichier n'est verrouillé, les systèmes restent fonctionnels
- Exfiltration ciblée : code source, données clients, propriété intellectuelle, documents internes
- Pression publique : publication progressive des données sur leur site de leak pour forcer la négociation
- Accès initial : achat de credentials sur le dark web, social engineering, exploitation de VPN ou d'accès distants non sécurisés
Le groupe est lié à l'écosystème Scattered Spider / ShinyHunters, un réseau informel d'acteurs jeunes (souvent mineurs ou jeunes adultes) qui partagent techniques d'intrusion et accès compromis. En février 2026, ce réseau élargi a revendiqué des attaques contre CarGurus (1,7 million de records) et Wynn Resorts (800 000 records).
Ce que l'on sait de l'attaque contre Lacoste
À ce stade, les informations confirmées sont limitées :
- Date de découverte : 1er mars 2026
- Revendication : publication sur le site de leak Lapsus$
- Secteur : Consumer Services / Retail
- Données compromises : nature et volume en cours d'investigation
Lacoste n'a pas encore communiqué publiquement sur l'incident. L'absence de communication n'est pas inhabituelle dans les premières semaines suivant une revendication — les entreprises privilégient souvent la vérification interne avant toute déclaration.
Pourquoi le modèle Lapsus$ est redoutable
Indétectable par les outils classiques
Les solutions anti-ransomware traditionnelles détectent le chiffrement massif de fichiers. Lapsus$ ne chiffre rien. L'exfiltration de données via des canaux légitimes (HTTPS, cloud storage, outils de transfert) est beaucoup plus difficile à détecter sans surveillance du trafic sortant.
Impact réputationnel maximal
La publication progressive de données internes — emails, documents stratégiques, code source — maintient la pression médiatique pendant des semaines. Pour une marque de luxe comme Lacoste, dont la valeur repose largement sur l'image, l'impact réputationnel peut dépasser largement le coût technique de l'incident.
Difficulté de containment
Une fois les données exfiltrées, il n'y a pas de « restauration » possible. Contrairement au ransomware où la restauration des sauvegardes peut limiter l'impact, l'exfiltration est irréversible. Les données sont dans la nature, que la rançon soit payée ou non.
Recommandations
Pour les entreprises face à la menace d'extorsion
- Surveiller le trafic sortant : mettre en place une détection des exfiltrations (DLP) sur les points de sortie réseau. Alerter sur les volumes de transfert inhabituels, particulièrement vers des services cloud grand public.
- Sécuriser les accès distants : MFA obligatoire sur tous les VPN et accès RDP. Lapsus$ exploite fréquemment des credentials volées — la MFA bloque la majorité de ces tentatives.
- Surveiller le dark web : monitoring proactif des forums et marchés où les credentials d'entreprise sont vendues. Détecter un accès compromis avant l'intrusion coûte infiniment moins que gérer une exfiltration.
- Segmenter les données sensibles : la propriété intellectuelle, le code source et les données clients ne doivent pas être accessibles depuis un seul point d'entrée compromis.
- Préparer un plan de communication de crise : l'extorsion par publication impose des délais de réaction courts. Un plan préétabli évite les silences prolongés qui alimentent la spéculation.
Enseignements clés
L'incident Lacoste illustre un basculement dans le paysage des menaces : l'extorsion sans chiffrement devient un modèle dominant. Les entreprises qui se sont équipées exclusivement contre le ransomware classique (sauvegardes immuables, PRA) découvrent que ces défenses ne protègent pas contre l'exfiltration.
Le groupe Lapsus$ et son écosystème (Scattered Spider, ShinyHunters) représentent une menace particulièrement imprévisible : des acteurs jeunes, opportunistes, qui achètent des accès sur le marché noir et frappent des cibles de toute taille sans logique sectorielle apparente.
Se protéger du ransomware ne suffit plus. Quand l'attaquant n'a besoin que de copier vos données pour vous mettre sous pression, la question n'est plus « pouvez-vous restaurer ? » mais « pouvez-vous empêcher la fuite ? »
Sources
- RedPacket Security — Lapsus$ Ransomware Victim: Lacoste
- HookPhish — Ransomware Group Lapsus$ Hits Lacoste
- Resecurity — Trinity of Chaos: The Lapsus$, ShinyHunters, and Scattered Spider Alliance
- Morphisec — Ransomware Without Encryption: Pure Exfiltration Attacks Are Surging
Protégez vos données contre l'exfiltration
Sauvegardes et PRA ne suffisent plus face à l'extorsion par exfiltration. C-DIM vous accompagne dans le déploiement de solutions DLP, la surveillance du trafic sortant et le durcissement de vos accès distants.
Contactez C-DIMOu écrivez-nous directement à contact@c-dim.fr