Fin janvier 2026, la plateforme de bricolage en ligne ManoMano a confirmé avoir été victime d’un incident de cybersécurité majeur. Selon les révélations relayées notamment par IT Social et Mediaterranee, des données clients issues du service support auraient été exfiltrées après la compromission d’un compte appartenant à un prestataire externe.
Un cybercriminel affirme avoir récupéré jusqu’à 37,8 millions de comptes, représentant environ 43 Go de données, une information que l’entreprise n’a pas validée à ce stade. Si les mots de passe et coordonnées bancaires ne seraient pas concernés, l’ampleur potentielle de la fuite pose une question stratégique majeure : quel est le coût économique réel d’une cyberattaque dans l’e-commerce ?
💣 Une faille chez un sous-traitant
Contrairement aux cyberattaques classiques visant directement l’infrastructure centrale d’un site marchand, l’incident ManoMano trouverait son origine dans la compromission d’un compte d’agent d’un prestataire en charge du support client, précise IT Social. L’entreprise indique avoir identifié et bloqué le compte incriminé dès la découverte de l’intrusion.
Ce point est stratégique. Il illustre un phénomène bien documenté en cybersécurité : la vulnérabilité des écosystèmes numériques étendus. Plus une entreprise externalise certaines fonctions — support client, logistique, data management — plus sa surface d’attaque augmente. Chaque accès tiers devient un point d’entrée potentiel.
Selon Mediaterranee, l’attaquant revendique l’exfiltration de tickets de support et de leurs pièces jointes. Les données concerneraient plusieurs marchés européens : France, Espagne, Italie, Royaume-Uni et Allemagne. Les informations potentiellement exposées incluraient noms, adresses e-mail, numéros de téléphone et historiques d’échanges avec le service client.
Même en l’absence de données bancaires, la dimension financière du risque reste considérable avec un fort risque RGPD pouvant entrainer des amendes atteignant jusqu’à 4 % du chiffre d’affaires mondial en cas de manquements graves. A celà s’ajoute un coût réputationnel pas anondin avec une perte de confiance client, la potentielle baisse du taux de conversion, ou bien la hausse du churn. Enfin le risque concerne aussi le coût opérationnel d’un tel séisme: audits de cybersécurité, assistance juridique, communication de crise, notification des clients.
Dans l’économie numérique, la donnée constitue un actif stratégique. Sa compromission affecte directement la valorisation intangible de l’entreprise. Pour un acteur comme ManoMano, qui opère dans un secteur ultra-concurrentiel du bricolage en ligne, la confiance constitue un avantage compétitif déterminant.
📉 Le risque diffus mais durable
Le danger le plus immédiat pour les clients n’est pas l’usurpation bancaire, mais l’ingénierie sociale. Comme le souligne Les Numériques, les utilisateurs ont été appelés à la vigilance face aux e-mails et appels frauduleux susceptibles d’exploiter les informations dérobées.
Le véritable enjeu économique se situe ici : Un nom associé à un historique d’échange avec le service client augmente fortement la crédibilité d’une tentative de phishing. La personnalisation accroît le taux de réussite des arnaques.
D’un point de vue financier, cela génère une augmentation des fraudes secondaires, des coûts indirects pour les assureurs cyber, une pression accrue sur les équipes conformité et sécurité et enfin une possible hausse des primes d’assurance cyber pour les plateformes e-commerce. À l’échelle macroéconomique, ces incidents renforcent une tendance lourde : la cybersécurité devient un poste budgétaire structurel. Les entreprises doivent désormais l’intégrer.
Le cas ManoMano illustre une réalité : la cybersécurité ne se limite plus à la protection d’un serveur, mais à la maîtrise d’un écosystème complet.
👁 L’œil de l’expert
Cette affaire dépasse le simple fait divers numérique. Elle révèle une fragilité structurelle des plateformes digitales européennes. Même en l’absence de données bancaires compromises, l’exposition de millions de profils clients constitue un actif stratégique affaibli.
Si le chiffre de 37,8 millions de comptes avancé par l’attaquant — relayé par Mediaterranee — devait se confirmer, l’impact réputationnel pourrait dépasser l’impact technique initial.
Dans un contexte où la valorisation des entreprises repose largement sur la confiance et la maîtrise des données, chaque incident cyber devient un enjeu financier majeur.
Pour les acteurs du e-commerce, le message est clair : la cybersécurité n’est plus un coût, c’est un investissement stratégique conditionnant la croissance et la pérennité.
