Panorama et recommandations
Le marché du luxe ne cesse de se développer au niveau mondial et devrait représenter 2500 milliards d’euros en 2030[1]. La santé de ce secteur a dès lors une influence de plus en plus importante sur l’économie. C’est d’autant plus vrai pour la France, où le secteur est bien représenté dans le CAC 40[2]. Ainsi, dans cette machine constituée de cuir et de soie, un grain de sable est susceptible de coûter des dizaines de millions d’euros, mais aussi d’impacter durablement l’image de ces entreprises. Or, les facteurs de risques sont multiples.
Comme tous les secteurs, le luxe est impacté par l’instabilité géopolitique et le réchauffement climatique : d’une part, en raison de la forte internationalisation de sa chaîne de valeur (en 2023, les entreprises françaises du luxe ont exporté pour 50,6 milliards d’euros[3]), d’autre part, du fait de sa forte dépendance en ressources naturelles de qualité, notamment les cuirs, textiles, et minerais.
Ces dernières années, les entreprises du luxe ont fortement accéléré la digitalisation de leurs processus métier, depuis la fabrication jusqu’à la vente. Leurs fonctions critiques reposent donc de plus en plus sur des actifs exposés aux incidents informatiques, issus ou non de cyberattaques. En particulier, le recours croissant à l’IA et l’IoT est un différenciateur fort d’un point de vue métier, mais augmente également la surface d’exposition à des risques technologiques encore partiellement identifiés et atténuables du fait de leur nouveauté.
Dès lors, le secteur se retrouve confronté à une problématique clef : comment assurer sa pérennité dans un contexte de menace croissante ? En réaction, un concept fondamental s’impose dans les grandes Maisons, celui de la résilience opérationnelle. Quel est l’état de l’art du secteur du luxe sur la résilience opérationnelle ? Quels sont les dispositifs déployés par les maisons du luxe pour assurer la résilience de leurs activités critiques ?
La résilience opérationnelle appliquée au luxe
Les Armées ont été parmi les premières à s’approprier le concept de résilience opérationnelle, en le définissant comme « l’aptitude à affronter les conséquences d’une crise traumatique et rebondir, en agissant avec efficacité en dépit d’un environnement dégradé et des préjudices humains, organisationnels et techniques qu’elles [les Armées, ndlr] auraient elles-mêmes subies »[4].
Si cette définition présente une forte teinte militaire, il en ressort toutefois un objectif pouvant être visé par toute organisation : être apte à affronter des perturbations majeures et à rebondir. Ainsi, aujourd’hui la résilience opérationnelle a commencé à pénétrer l’ensemble des secteurs d’activité, de l’énergie à la santé, en passant par le luxe. Cet état de fait a été notamment favorisé par l’accroissement des réglementations et des normes consacrées à la résilience opérationnelle, tout particulièrement dans le secteur financier (DORA, Solvabilité II, PCI DSS…).
Chez Wavestone nous considérons que la résilience opérationnelle est structurée autour de 7 grands piliers. Ceux-ci sont inspirés de l’état de l’art, en premier lieu la norme ISO 22301[5], mais également les normes européennes. Le secteur du luxe est tout à fait approprié à l’édification de ces piliers, à partir du moment où l’on prend en compte ses spécificités.
Pilier 1 : La connaissance des activités vitales et de leurs actifs les supportant
Cela consiste à identifier et améliorer la connaissance de ce qui doit devenir résilient, parmi l’ensemble des processus métier et actifs de l’entité. Pour ce faire, 2 approches existent :
- Une approche exhaustive, basée sur la réalisation d’un Business Impact Assessment (BIA) sur l’ensemble des processus de l’organisation, permettant d’avoir une vision globale des activités et donc de connaitre les processus vitaux et les actifs les soutenant (infrastructures IT, applications, ateliers…). Cependant, cette approche est particulièrement chronophage et une telle exhaustivité n’a pas forcément une grande valeur ajoutée dans la mise en place d’une stratégie de résilience efficiente ;
- Une approche pragmatique, basée sur une analyse d’impact limitée aux processus vitaux de l’organisation, identifiés en amont par le top management. C’est une approche plus rapide et à plus forte valeur ajoutée, permettant de se focaliser dès le début sur l’analyse des processus reconnus comme vitaux par les métiers, puis de remonter vers les applications et les infrastructures qui les soutiennent.
Cette cartographie est un point de départ essentiel pour concentrer les efforts sur ce qui est réellement important pour l’entité. Dans le secteur du luxe, il nous semble important d’être particulièrement attentif aux catégories d’actifs suivantes : les ressources humaines pouvant détenir des savoir-faire rares, les matières premières, les outils de fabrication, les actifs liés à la logistique et au paiement.
Pilier 2 : La maîtrise des risques
L’objectif est d’adapter les mesures de résilience opérationnelle au profil de risque de l’entité, c’est-à-dire en concentrant les efforts en prévention des scénarios de risques les plus impactant et les plus vraisemblables.
Dans le secteur du luxe, il nous semble utile de prendre en compte l’ensemble des risques susceptibles d’affecter l’activité de l’entité, notamment les risques liés à l’instabilité géopolitique, au réchauffement climatique et à l’IT/OT, qui impacteraient l’approvisionnement en matières premières rares, la production et la distribution.
Pilier 3 : La mise en place et l’amélioration continue des solutions de continuité
Cela consiste à mettre en place les mesures pertinentes de résilience, au travers notamment de plans de continuité d’activité prenant en compte les risques identifiés et se concentrant sur les activités vitales.
Dans le secteur du luxe, il nous semble utile de définir ces mesures avec les métiers, d’une manière pragmatique et qui va à l’essentiel. L’idée étant que les mesures de résilience se fondent dans les processus métier en permettant d’améliorer leur qualité, tout en évitant qu’elles ne soient perçues comme une nouvelle contrainte.
De plus, les métiers du luxe sont bien souvent des artisans, seuls détenteurs de la vision claire de leurs processus (autrement dit, leur art). La résilience de leur métier repose en bonne partie sur eux. Une approche intéressante serait ainsi d’inverser la méthode habituellement utilisée : ne pas formaliser une procédure de continuité puis la tester, mais plutôt mettre en place un exercice/test auprès des métiers afin de formaliser une procédure à partir des bonnes pratiques qu’ils mettraient naturellement en place.
Pilier 4 : La gestion de ses tiers
L’objectif est de suffisamment connaître les tiers impliqués dans les activités vitales de l’entité et de s’assurer qu’ils ne constituent pas un obstacle à leur résilience.
Dans le secteur du luxe, la nature des tiers présente des spécificités à prendre en compte. D’une part, ce sont souvent des artisans ou des TPE qui n’ont pas travaillé sur leur propre résilience. D’autre part, certains tiers sont les seuls à proposer le niveau de qualité recherché par la Maison de luxe, ce qui est susceptible de placer ces dernières en situation de dépendance. Une réflexion est donc nécessaire afin de co-construire des solutions de résilience avec ces tiers, notamment à travers des exercices de gestion de crise.
Pilier 5 : La capacité à gérer une crise
Cela consiste à mettre en place un dispositif permettant la gestion des crises de toute nature, susceptibles de survenir et que l’entité devra « affronter » : IT, cyber, sûreté et métier.
Les entités du secteur luxe, de par leur caractère « manufacturing », disposent souvent de nombreux sites éloignés géographiquement, accueillant des métiers variés. Ces éléments doivent être pris en compte pour adapter le dispositif de gestion de crise et la réalisation d’exercices pertinents.
Pilier 6 : La résilience du SI
Compte tenu de son rôle central et de la complexité technique qu’il implique, le système d’information nécessite une vigilance particulière afin d’être suffisamment protégé contre les menaces et de garantir la continuité de ses services vitaux, même en situation dégradée.
Dans le secteur du luxe, où la digitalisation des processus demeure relativement récente, voire encore en cours, se dessine une opportunité stratégique majeure : celle d’intégrer les enjeux de résilience dès la phase de conception.
Pilier 7 : L’existence d’une gouvernance et d’une culture de résilience
Au cœur de la démarche, l’élaboration d’une stratégie de résilience opérationnelle s’impose, sous la conduite de responsables clairement identifiés.
Il est tout aussi essentiel de capitaliser sur la culture d’entreprise propre à chaque maison du luxe — véritable levier d’engagement des collaborateurs — en y intégrant progressivement une culture de la résilience.
L’état de la résilience opérationnelle dans le secteur du luxe
Pour établir cet état des lieux, nous nous sommes appuyés sur les résultats de notre CyberBenchmark et de notre OpResBenchmark. Ces deux outils permettent respectivement d’évaluer le niveau de maturité des entités en matière de cybersécurité et de résilience opérationnelle des entités, tout en les positionnant par rapport au reste du marché.
La combinaison de ces deux outils nous a permis de consolider les données issues de l’évaluation de plus de 150 entités, dont un nombre significatif du secteur luxe. Ces éléments nous permettent de proposer la vue ci-dessous, qui illustre le niveau de maturité du secteur sur l’ensemble des 7 piliers de la résilience opérationnelle.
D’après les données 2025 du Cyberbenchmark et de l’OpRes Benchmark de Wavestone
À la lecture de ces données, le constat le plus évident s’effectue au niveau de la moyenne du marché[6] (47,5%) : les entités, tous secteurs confondus, se révèlent peu résilientes. Mais des fortes disparités existent en fonction notamment du niveau de réglementation des différents secteurs. Tout naturellement, la finance, en pleine mise en conformité à DORA (Digital Operational Resilience Act), a un très bon niveau de maturité sur l’ensemble des piliers. De son côté, le secteur de l’énergie, réglementé lui aussi, doit prendre en compte des systèmes industriels complexes et de lourds infrastructures historiques, compliquant sa résilience opérationnelle.
Le contexte de ces 5 dernières années, particulièrement éprouvant pour la continuité des entités (COVID-19, conflits armés, croissance de la menace cyber, etc.), ainsi que la consécration du concept de résilience opérationnelle dans plusieurs textes réglementaires (ex : DORA, CER, CRA, NIS 2) semble inverser la tendance. Nous voyons de plus en plus d’entités prendre conscience de l’importance de la résilience opérationnelle et commencer à lancer des chantiers conséquents pour adresser le sujet.
En termes de maturité, le secteur du luxe fait partie de ceux qui se démarquent avec une moyenne de 53,4%. Même s’il n’est pas directement visé par la règlementation, nous avons remarqué une prise en main du sujet, notamment par les CISO des Maisons de luxe qui ont initié de nombreux chantiers liés à la résilience. Habitué à la recherche d’excellence, le luxe s’empare donc du sujet même s’il n’y est pas contraint, convaincu qu’il s’agit d’un enjeu d’avenir pour lui. Cette position semble même lui permettre de tirer parti des bonnes pratiques consacrées par la règlementation, en allant à l’essentiel, sans se préoccuper des contraintes liées à la conformité et aux contrôles menés par les autorités (reporting d’incident, préparation des audits, partage de preuves…).
En pratique, cela se traduit par une avance du secteur sur la résilience opérationnelle par rapport à un certain nombre d’autres secteurs d’activité non régulés, même si on reste aux débuts de l’histoire.
Sur la gestion de crise et la résilience SI
Les conséquences d’une crise mal maîtrisée sont souvent majeures, tant sur le plan financier, juridique que réputationnel. On peut aisément imaginer pour une maison de luxe, l’impact d’une incapacité à encaisser les clients ou d’un incendie affectant un entrepôt de matières premières. Le luxe s’est ainsi structuré depuis longtemps pour gérer les crises auxquelles il est confronté.
Or, ces crises trouvent désormais très fréquemment leur origine dans des incidents touchant les systèmes d’information.
En 2022, 62 % des entreprises du secteur du luxe ont été victimes de rançongiciels, engendrant des pertes financières moyennes de l’ordre de cinq millions d’euros par incident. Parallèlement, les données volées circulent de plus en plus sur le Dark Web. Selon Dark Web Monitor, les annonces proposant des informations sensibles – plans de produits à venir, stratégies marketing confidentielles – ont augmenté de 78 %. À titre d’exemple, en 2022, la maison italienne Moncler a subi un vol de données, avec une demande de rançon de trois millions de dollars visant à empêcher la divulgation d’informations relatives à ses clients les plus aisés[7].
La gestion de crise repose ainsi largement sur les dispositifs de résilience informatique, qui matérialisent les décisions prises au sein de la cellule de crise. Ces dispositifs incluent notamment les sauvegardes, le blocage des flux, ou encore les solutions de contournement. Par ailleurs, ils jouent un rôle primordial dans la prévention et la détection des incidents, grâce à des outils tels que les EDR, sondes IDS et IPS, le déploiement automatisé de correctifs et les tests réguliers des configurations.
Sur la gestion des risques liés aux tiers
La maturité du secteur sur ce pilier s’explique notamment par la conscience historique des entreprises du luxe quant à la criticité de leurs chaînes de valeur, tant en amont (approvisionnement en cuir, soie, pierres précieuses…) qu’en aval (distribution des produits finis). Ces chaînes de valeur impliquent de nombreux prestataires externes – extraction, transport maritime ou routier, hubs logistiques – dont une défaillance peut entraîner des conséquences commerciales majeures.
Parmi les fournisseurs des grandes maisons de luxe, on retrouve fréquemment de petites entreprises artisanales, détentrices de savoir-faire rares et difficilement substituables. À première vue, leur petite taille pourrait faire craindre une faible maturité en matière de gestion des risques. Cependant, du fait de leur valeur stratégique, ces artisans sont l’objet d’une attention particulière. Les maisons de luxe adoptent une approche collaborative pour les accompagner dans la gestion de leurs risques, y compris dans le domaine IT, bien que l’informatique reste souvent limitée dans ces structures artisanales. Cette collaboration se manifeste par des audits réguliers, le partage de bonnes pratiques, et dans certains cas, des acquisitions permettant une intégration complète et une montée en maturité selon les standards de la Maison de luxe.
Sur la connaissance des activités et actifs vitaux
Ce pilier de connaissance est particulièrement complexe à bien maitriser pour les entités du luxe qui sont généralement divisées en maisons/entités aux métiers très différents, parfois réparties sur plusieurs continents. Cette structure donne une autonomie certaine aux différents métiers, et est susceptible de compliquer le bon partage d’informations avec les équipes en charge de la résilience au niveau groupe.
Sur la gouvernance et l’acculturation résilience
Ce pilier est le moins bien maitrisé par le secteur. Le luxe est même légèrement au-dessous de la moyenne du marché. En effet, les rôles et responsabilités sont rarement correctement définis et une comitologie commune est inexistante. Ainsi, plusieurs projets similaires sont susceptibles de se concurrencer, ou d’être traités de manière incomplète (ex : d’un point de vue IT sans considération de BIA réalisés par les métiers).
Nos recommandations pour améliorer la résilience opérationnelle du luxe
Wavestone accompagne plusieurs entités, de tous secteurs, dans leur démarche de résilience opérationnelle. Prenant en compte les spécificités du luxe évoquées précédemment, nous identifions 4 recommandations.
S’inspirer, en restant pragmatique, des règlementations (DORA, CER, NIS 2, Solvabilité 2, LPM, etc.) : le luxe n’y est pas directement soumis, pourtant il est pertinent d’en tirer parti en les considérant comme des référentiels de bonnes pratiques. Avec DORA, le secteur financier avance rapidement sur le sujet et son retour d’expérience peut être utile au secteur du luxe. Il convient, bien entendu, de rester pragmatique et ne retenir que les mesures pertinentes au regard de l’entité du luxe concernée et de ses spécificités. Il s’agit en particulier d’éviter de surcharger les métiers avec les exigences purement réglementaires, qui ont surtout vocation à permettre aux autorités de contrôle de remplir leur rôle.
Tester et tirer des leçons : les tests sont une composante essentielle d’une stratégie de résilience opérationnelle. C’est par les tests qu’il est possible de mesurer l’efficacité d’une solution de continuité (PCA, PRA, outils de gestion de crise, etc.) pour en tirer des leçons et les améliorer en continu. Notamment, les tests de pénétration fondés sur la menace (décrits notamment dans DORA et dans le framework TIBER-EU), permettent de tester de bout en bout des équipes opérationnelles, en incluant les tiers, et peuvent, à ce titre être riches en enseignements en dehors du secteur financier.
Disposer d’une stratégie au niveau Groupe : elle permet d’éviter la prise d’initiatives contradictoires au niveau des entités et/ou entre les équipes IT/Cyber et les métiers, mais aussi gagner en efficience. En outre, cette stratégie permet de fixer un niveau de maturité cible, adapté aux besoins propres de chaque entité.
Capitaliser sur l’existant : en raison de ses spécificités, les entités du luxe sont susceptibles d’avoir mis en place des solutions de continuité, et/ou des comitologies adaptées à la résilience opérationnelle (gestion des tiers, de crise, chantiers de cybersécurité, etc.). Il convient de ne pas repartir d’une feuille blanche mais au contraire de capitaliser sur cet existant pour engager une démarche sur-mesure.
[1] Luxury in Transition: Securing Future Growth, Bain & Company.
[2] CAC 40, premier indice boursier français.
[3] Le luxe français : pourquoi ce secteur déjoue toutes les crises, La Fabrique de l’industrie
[4] Doctrine interarmées, DIA-3.4.1_RESILIENCE, N° 23/ARM/CICDE/NP du 08 février 2022.
[5] Cette norme détaille les caractéristiques d’un « système de management de la continuité d’activité ».
[6] Le marché est constitué de l’ensemble des organisations ayant sollicité Wavestone pour évaluer leur maturité (+150 ces 5 dernières années).
[7] À quels enjeux de cybersécurité les grands noms du luxe sont-ils confrontés ?, L’Usine Digitale
