Inditex, victime d'une cyberattaque

Madrid (Espagne) – Le géant espagnol de la mode, le groupe Inditex, est la dernière grande entreprise en date à être victime d'une cyberattaque, après qu'un « accès non autorisé » à ses bases de données clients sur différents marchés a été signalé. Une faille de sécurité qui, précise-t-on, n'a toutefois affecté ni les informations personnelles ni les données bancaires de ses clients.

Dans un communiqué, la direction d'Inditex a informé que la faille de sécurité a été détectée sur les serveurs de l'un de ses fournisseurs technologiques. Ces infrastructures ont subi une cyberattaque qui a touché Inditex ainsi que d'autres entreprises d'envergure internationale. Suite à cet incident, la multinationale espagnole, société mère de chaînes telles que Zara, Bershka, Pull&Bear ou Massimo Dutti, a « immédiatement » appliqué ses protocoles de sécurité et a notifié l'incident aux autorités compétentes. Inditex précise que cet incident n'a « en aucun cas » affecté les informations personnelles et bancaires des clients, qui « peuvent continuer à accéder et à opérer en toute sécurité ».

« Inditex a identifié un accès non autorisé à des bases de données de son organisation hébergées par un tiers. Ces bases de données contiennent des informations sur la relation commerciale avec des clients de différents marchés, mais en aucun cas des données telles que le nom et le prénom, le téléphone, l'adresse, les mots de passe, les cartes bancaires ou d'autres moyens de paiement », a indiqué la multinationale espagnole de la mode dans le communiqué. Une fois cette faille détectée, « Inditex a immédiatement appliqué ses protocoles de sécurité et a commencé à notifier les autorités compétentes de cet accès non autorisé, qui trouve son origine dans un incident subi par un ancien fournisseur technologique et qui a affecté plusieurs entreprises d'envergure internationale ». Pour la maison mère de Zara, « les opérations et les systèmes d'Inditex n'ont subi aucune perturbation » à la suite de cette cyberattaque, et par conséquent, assure-t-elle, « les clients peuvent continuer à accéder et à opérer en toute sécurité ».

Un risque croissant pour les entreprises

Avec cette violation de ses bases de données contenant des informations commerciales sur les clients de différents marchés, Inditex rejoint la liste croissante d'entreprises du secteur qui, depuis quelque temps, ont été victimes de failles de cybersécurité similaires, tant sur leurs propres infrastructures que sur celles de tiers. Parmi ces sociétés, on trouve les exemples plus récents des failles détectées par Nike, Mango, El Corte Inglés ou Tendam, et dans le cas des trois entreprises espagnoles, une violation des données personnelles des clients avait bien été signalée.

Consciente de ce risque potentiel, qui augmente chaque jour et encore plus au sein d'une multinationale comme Inditex qui a adopté un modèle commercial omnicanal, l'entreprise a créé et mis en place un comité consultatif sur la cybersécurité en 2023. Cet organe, indépendant de son comité d'audit et de conformité, a pour objectif de conseiller l'entreprise sur les questions liées à la sécurité de l'information et à la cybersécurité, qu'elle classe parmi les risques potentiels pour l'entreprise, sur le plan technologique, « étant donné le haut degré de numérisation et d'intégration technologique du modèle commercial » d'Inditex. Cette nature amène l'entreprise à estimer, comme indiqué dans son rapport annuel 2025, que « la matérialisation éventuelle d'incidents de nature technologique — découlant, entre autres facteurs, de pannes d'infrastructure, d'incidents de cybersécurité, d'erreurs d'application ou de difficultés d'interaction avec des tiers technologiques — pourrait avoir un impact transversal sur l'activité du groupe, affectant le déroulement normal des processus opérationnels et commerciaux ».

Afin de continuer à atténuer ces risques potentiels, « tout au long de 2025, nous avons continué à renforcer nos capacités de défense pour améliorer la détection et la réponse aux menaces telles que les attaques DDoS, le “credential stuffing” et les vulnérabilités de tiers », comme celle qui vient d'être identifiée, ajoute le même rapport. Pour atteindre ces objectifs, l'entreprise dispose d'une équipe spécialisée en cyber-renseignement, chargée de la surveillance continue et de la détection précoce des risques et des menaces, ainsi que d'un centre des opérations de sécurité (SOC) disponible 24 heures sur 24 et 7 jours sur 7, chargé de la détection, de l'analyse, de la notification et de la résolution des potentiels « événements de sécurité » pouvant affecter Inditex.

En 2025, un total de 66 « événements d'intérêt » ont été enregistrés, dont « les plus pertinents » ont été « signalés au comité de sécurité de l'information », mais « aucun de ces événements » n'a eu un « impact significatif sur nos opérations ou nos états financiers ». Cela souligne à quel point la cybersécurité est devenue un domaine de plus en plus critique pour les entreprises. C'est pourquoi, en plus de tout ce qui précède, Inditex a mis en œuvre en 2025 des mesures de prévention des intrusions et des programmes de formation individuels sur la cybersécurité, dispensant une formation spécialisée à plus de 4 000 membres de ses équipes.

Cet article a été traduit à l'aide d'un outil d'intelligence artificielle, puis vérifié et édité par un journaliste de FashionUnited.

FashionUnited utilise des outils linguistiques d'intelligence artificielle pour accélérer la traduction et la relecture des articles d'actualité afin d'améliorer le résultat final. Nos journalistes gagnent ainsi du temps et peuvent se consacrer à la recherche et à la rédaction d'articles originaux. Les articles traduits à l'aide de l'IA sont soigneusement examinés par un rédacteur de notre équipe. Pour toute question ou remarque, n'hésitez pas à nous écrire à info@fashionunited.com.