L’année 2025 marque un tournant inédit pour la cybersécurité du luxe. Selon la BBC et le site Zataz, un groupe baptisé ShinyHunters a revendiqué le piratage des systèmes de Kering en avril dernier, touchant directement Gucci, Balenciaga et Alexander McQueen. Résultat : les données de 7,4 millions de clients — noms, adresses, emails, téléphones, mais aussi montants dépensés en boutique — circulent aujourd’hui entre les mains des cybercriminels.
Un échantillon analysé par la BBC a révélé des profils ayant dépensé jusqu’à 86 000 dollars chez Gucci. Une mine d’or pour des campagnes de phishing et de chantage hautement ciblées. Kering a confirmé l’intrusion et notifié les autorités, tout en refusant de céder à toute demande de rançon.
Chez LVMH, la menace n’est pas moindre : en l’espace de 90 jours, trois cyberattaques distinctes ont frappé Christian Dior Couture, Louis Vuitton Korea et, plus récemment, Louis Vuitton UK. Dans chaque cas, des données personnelles et historiques d’achats ont été compromises, sans fuite de données bancaires. Les incidents, confirmés par la presse spécialisée (Firewall Daily), soulignent la vulnérabilité d’un conglomérat exposé à répétition.
Chanel n’est pas épargné non plus : en juillet, une attaque liée à l’exploitation du CRM Salesforce a exposé les données de clients américains. Quant à Cartier, des documents internes ont déjà circulé sur le dark web au printemps.
“At a glance”
Hackers : ShinyHunters, UNC6040
Groupes visés : Kering (Gucci, Balenciaga, McQueen), LVMH (Louis Vuitton, Dior), Chanel, Cartier
Clients impactés : plusieurs millions, dont profils à +80 000 $ de dépenses
Méthodes : phishing, prestataires tiers compromis, CRM infiltrés
Conséquences : réputation ternie, confiance fragilisée, pertes financières massives
Réponse : zero-trust, audits prestataires, IA et sensibilisation collaborateurs
Au-delà du vol de données, c’est toute une industrie qui se retrouve fragilisée. Le luxe repose sur la relation de confiance avec des clients VIP, où la confidentialité est un pilier stratégique. La révélation de profils de “gros dépensiers” accroît le risque de fraudes ciblées, d’extorsions ou de campagnes de social engineering sophistiquées.
Pour Kering, le timing est d’autant plus sensible que le groupe vient de nommer Luca De Meo au poste de CEO (mi-septembre). Chargé de redresser un conglomérat affaibli par une dette croissante et la contre-performance de Gucci (-26 % de ventes au 1er semestre), l’ancien patron de Renault doit désormais aussi affronter la montée en puissance du risque cyber.
Les experts pointent plusieurs failles systémiques :
- prestataires tiers (CRM, services cloud) insuffisamment sécurisés,
- ingénierie sociale (phishing, vishing) exploitée contre les collaborateurs,
- retard d’investissements en cybersécurité par rapport aux enjeux financiers colossaux.
Face à l’ampleur des attaques, les groupes accélèrent : adoption de modèles zero-trust, audits renforcés de leurs partenaires, recours accru à l’IA pour détecter les intrusions persistantes.
