Auchan a été victime il y a quelques jours d’un important piratage de données touchant des centaines de milliers d’utilisateurs. Mais au delà des dommages réels causés aux consommateurs, cet épisode illustre les lacunes encore perfectibles de la grande distribution en matière de cybersécurité.
Le 21 août 2025, Auchan a été victime d’une cyberattaque et des milliers de clients ont reçu un email glaçant : leurs données de fidélité avaient été compromises. Noms, adresses (email et postale), numéros de téléphone et numéros de carte Waaoh sont tombés entre de mauvaises mains. Pas de données bancaires ni de mots de passe dérobés, heureusement.
Mais l’affaire rappelle celle de novembre 2024, quand plus d’un demi-million de comptes clients avaient déjà été exposés. À cela s’ajoutait à l’époque un contexte social tendu pour Auchan, avec 2 400 postes supprimés. Le signal est clair : il ne s’agit plus d’accidents isolés, mais d’un malaise profond dans tout le secteur de la distribution.
Auchan : un exemple loin d’être sans précédents
Ces dernières années, les cyberattaques et incidents techniques se sont multipliés dans le secteur de la grande distribution :
- Auchan : en novembre 2024, 550 000 comptes clients ont été exposés (données personnelles et cagnotte Waaoh). En août 2025, « quelques centaines de milliers » de clients ont encore été touchés, sans fuite bancaire.
- Intermarché : en novembre 2024, une alerte liée à une tentative de credential stuffing a semé le doute. Finalement, aucune fuite n’a été confirmée.
- E.Leclerc : en janvier 2025, des tentatives d’accès frauduleux aux comptes « Primes Énergies » ont conduit à une réinitialisation massive des mots de passe.
- Carrefour : en janvier et avril 2025, des rumeurs de fuites massives (13 millions de clients) ont circulé, mais n’ont jamais été confirmées par enquête technique.
- Système U : en 2020, une panne logistique majeure a paralysé le groupe pendant plusieurs jours, sans lien avéré avec une cyberattaque.
- Autres enseignes (Boulanger, Cultura, LDLC, etc.) : fin 2024, plusieurs fuites ont été attribuées à des vulnérabilités chez des prestataires externes.
Des données « banales »… mais en or pour les hackers
Même limitées à l’identité et aux contacts, ces informations valent de l’or pour les cybercriminels. Elles permettent de lancer des campagnes de phishing ultra-ciblées, où un faux mail semble d’autant plus crédible qu’il contient vos vrais noms et numéros de fidélité.
Auchan a réagi en désactivant les cartes touchées. Les clients devront se rendre en magasin pour récupérer leur cagnotte Waaoh. Une mesure concrète, mais qui ne change rien au fond : la répétition des attaques souligne le manque de résilience structurelle.
Cybersécurité : pourquoi la grande distribution reste particulièrement vulnérable ?
Le Cyber Benchmark 2025 de Wavestone est sans appel. Le niveau moyen de maturité cyber des grandes entreprises atteint seulement 54 %, soit un gain d’un point par rapport à 2024. Le secteur financier, porté par la réglementation DORA, grimpe à 62,5 %, tandis que les commerces et le luxe stagnent autour de 52–53 %.
Les ressources humaines manquent cruellement puisque toujours selon Wavestone, on compte en moyenne 1 expert cyber pour 1 000 employés dans la distribution, contre 1 pour 80 dans la finance. Les budgets ne suivent pas non plus, à peine 6,4 % de l’IT est consacré à la cybersécurité. Résultat, un secteur qui manipule des millions de données sensibles reste largement sous-protégé.
Banques vs distribution : la fracture réglementaire
La différence clé réside dans la réglementation. Les banques sont soumises à des cadres stricts limités par des règlements européens comme DORA, NIS2 et à des audits réguliers. La grande distribution, malgré ses bases clients gigantesques, évolue dans une zone de moindre contrainte réglementaire.
Conséquence, là où la finance a intégré la cybersécurité comme une obligation vitale, les acteurs de la grande distribution et du e-commerce continue de la considérer comme une option, ce qui explique sa vulnérabilité face aux cyberattaques répétées.
L’IA, arme à double tranchant
L’intelligence artificielle est déjà un levier puissant en cybersécurité. Elle renforce la détection des intrusions, accélère la réponse aux incidents et protège mieux les environnements Cloud. Dans la finance, elle s’intègre dans des stratégies Zero Trust qui ne font pas confiance à un utilisateur ou un appareil interne à une entreprise. L’IA alimente également des SOC nouvelle génération, où l’automatisation (SOAR, analyse comportementale) permet de gagner en réactivité.
Mais l’IA n’est pas qu’un bouclier : les cybercriminels s’en servent aussi, via des campagnes de phishing automatisées, des deepfakes vocaux ou vidéo, et des attaques massives orchestrées par algorithmes. La grande distribution, encore en retard sur ces usages défensifs, voit le fossé se creuser face aux menaces et devient une cible privilégiée.
Plus qu’une réaction : une culture cyber à (re)bâtir
L’univers de la grande distribution doit changer en profondeur pour renforcer sa cybersécurité. Désactiver des cartes ou envoyer un mail d’alerte, c’est utile, mais le véritable chantier est ailleurs : il est culturel.
La cybersécurité doit devenir un réflexe partagé par tous. Cela passe par des formats engageants : mini-quizz anti-phishing, vidéos pédagogiques en caisse, tutoriels interactifs ou encore ateliers internes pour les équipes. Impliquer les clients est tout aussi essentiel, transformer la vigilance numérique en habitude quotidienne peut redonner à la distribution la proximité qu’elle cultive déjà dans ses magasins. La pédagogie, plus que la technique, est désormais la clé.
L’incident du 21 août n’est pas une fuite isolée, mais un rappel à l’ordre pour tout le secteur. La grande distribution doit accélérer : investir davantage, se doter de règles claires, et surtout bâtir une culture cyber partagée. Car aujourd’hui, protéger les données, c’est protéger la confiance. Et vous, en tant que client ou acteur du secteur : pensez-vous que vos données sont vraiment protégées quand vous faites vos courses ?
Certains liens de cet article peuvent être affiliés.
