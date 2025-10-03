Une usine figée, des chaînes à l’arrêt, des fournisseurs asphyxiés — et, au centre, un constructeur qui tente de rallumer les moteurs. Plus d’un mois après le ”cyber-incident” dévoilé le 2 septembre, Jaguar Land Rover (JLR) s’emploie à relancer sa production sous perfusion publique : un filet de sécurité de 1,5 milliard de livres, apporté par UK Export Finance (UKEF), pour rassurer les banques et déverrouiller le crédit qui manque aux ateliers comme aux sous-traitants.

Pourquoi l’État bouge-t-il ? Parce que le risque est systémique. JLR, propriété de l’indien Tata Motors, c’est 34 000 salariés directs, 120 000 de plus dans la supply chain, et près d’un véhicule sur trois assemblé au Royaume-Uni l’an dernier — juste derrière Nissan. Quand un tel acteur cale pendant un mois, la panne se propage en cascade : derrière les équipementiers de rang 1 se pressent des rangs 2, 3, 4 aux trésoreries minuscules, qui alimentent aussi d’autres constructeurs. La cyberattaque a contraint le groupe à fermer ses systèmes et sa production. Le coût de cette mise à l'arrêt s'élève à 50 millions de livres (57,2 millions d'euros) par semaine en perte de production, selon la BBC.

D’où l’urgence d’un pont financier. Concrètement, JLR finalise un prêt auprès de HSBC, MUFG et NatWest, adossé à la garantie UKEF. En parallèle, le groupe a déjà sécurisé une ligne de 2 milliards de livres auprès de Standard Chartered Bank, Citigroup et MUFG. Objectif : regonfler le fonds de roulement, payer à l’avance des composants habituellement achetés à terme, réamorcer la pompe.

Ce que l’on sait — et ce que l’on ignore — de l’attaque. Le 2 septembre, JLR coupe ses systèmes informatiques et reconnaît un “cyber-incident “. Depuis, ni la société ni sa maison-mère n’ont livré de détails techniques : porte d’entrée, malware, exfiltration ? Le silence domine. Restent d’étranges revendications publiées en ligne. Sur la messagerie Telegram, un groupe se faisant appeler Scattered Lapsus$ Hunters a ainsi publié, début septembre,des captures d’écran présentées comme issues des systèmes internes de JLR.

Au Cyber Intelligence Center de KELA, réflexe de prudence : tant qu’aucune victime ne confirme, tant qu’aucune base de données n’est exfiltrée et exposée, la posture par défaut reste le scepticisme. Pourquoi ces alias font-ils autant de bruit ? Parce qu’ils jouent avec des fantômes bien réels. Lapsus$, aujourd’hui silencieux, a signé des coups retentissants : Uber (2022), Rockstar Games (2023). Leur signature ? Prise de contrôle totale des réseaux, déploiement de rançongiciels, paralysie organisée… et facture en bitcoins. Leur porte d’entrée ? L’ingénierie sociale, l’art de piéger un employé au téléphone, par e-mail ou SMS, jusqu’à décrocher ce sésame qui ouvre l’infrastructure. Leur profil ?

Revenons à JLR avec une certitude qui filtre toutefois : le constructeur ne disposait pas d’assurance cyber au moment des faits. De quoi nourrir les critiques sur la préparation et la gestion du risque numérique, alors que la facture économique enfle.

Côté financier : la mécanique de la garantie, elle, est connue. UKEF ne prête pas : l’agence publique accorde aux banques une garantie partielle — jusqu’à 80 % du risque — sur des crédits de trésorerie ou d’investissement accordés à un grand exportateur. Les contribuables ne sont exposés qu’en cas de défaut, risque jugé “peu probable” par les analystes. En échange, UKEF facture une prime de risque, intégrée au taux d’intérêt payé par l’emprunteur. Les termes précis restent confidentiels, comme toujours sur ces dossiers. Le Royaume-Uni n’en est pas à son coup d’essai : en juillet, Ford a obtenu une garantie UKEF de 800 millions de livres sur un prêt d’1 milliard pour sa transition vers l’électrique ; SeAH Wind UK a, de son côté, bénéficié de 590 millions pour une usine d’éolien en mer à Teesside en 2023-24. Logique d’intérêt stratégique : là où les banques hésitent, l’État cale une cale.

L’opération n’est pas sans controverse. Des économistes agitent le chiffon du “risque moral” : si le backstop public devient prévisible, d’autres entreprises pourraient renoncer à s’assurer contre le cyber ou piloter plus lâchement leur risque, en comptant sur un sauvetage.

Et maintenant ? Si la ligne couverte par UKEF se boucle comme prévu, JLR devrait irriguer d’abord ses partenaires de rang 1 en règlements comptant. Mais, en bas de la pyramide, la douleur demeure. Moody’s a d’ailleurs dégradé la perspective de la maison-mère Tata Motors, passée de positive à négative, estimant qu’un retour à la normale “prendra sans doute plusieurs mois”.

Pour JLR, le choc cyber arrive sur un terrain déjà miné. En 2024, le groupe a vendu environ 430 000 véhicules, mais 2025 a démarré avec un mur tarifaire côté États-Unis : droits de douane décidés par Donald Trump, d’abord 27,5%, puis 10% après un accord Londres-Washington. En avril, face à cette taxe, JLR suspend ses livraisons vers le marché américain. Début juillet, les volumes trimestriels publiés sont en nette baisse : la demande se décale, les mix se dégradent, et le levier US — marché clé à forte marge — ne joue plus.

Puis la facture sociale tombe. Quelques jours plus tard, le constructeur annonce jusqu’à 500 suppressions de postes d’encadrement au Royaume-Uni, soit 1,5% de son effectif britannique. Un signal classique de crise de coûts : quand les prix d’accès aux marchés montent et que les systèmes vacillent, on allège la structure pour sauver le cash-flow.

Un mois après le choc, l’équation reste la même : une cyberattaque opaque, une filière exposée, un État qui joue les amortisseurs. Reste à savoir si l’oxygène public suffira à relancer la machine… et si la leçon — gouvernance du risque, assurance, hygiène numérique — sera vraiment apprise.