Inditex, le groupe textile propriétaire de Zara, a révélé mercredi soir un accès non autorisé à des bases de données internes hébergées sur les serveurs d'un fournisseur tiers. L'entreprise affirme qu'aucune donnée personnelle de ses clients, telle que les noms, numéros de téléphone ou coordonnées bancaires, n'a été compromise. Les opérations demeurent totalement inchangées.
Inditex a notifié mercredi soir un accès non autorisé à des bases de données contenant des informations commerciales sur des clients de divers marchés. Hébergées sur les serveurs d'un fournisseur tiers, celles-ci ne contiennent aucune donnée personnelle sensible, a précisé l'entreprise. "En aucun cas des données telles que les nom et prénom, téléphone, adresse, mots de passe, cartes de crédit ou autres méthodes de paiement" n'ont été concernées, indique le communiqué.
L'entreprise a immédiatement appliqué ses protocoles de sécurité et a alerté les autorités compétentes. La faille provient d'un problème chez un ancien fournisseur technologique affectant plusieurs entreprises internationales. "Les opérations et les systèmes d'Inditex n'ont subi aucune perturbation et les clients peuvent continuer à accéder aux services et à opérer en toute sécurité", a ajouté le groupe textile galicien.
Inditex classe la cybersécurité parmi les risques majeurs en raison de son modèle numérique. Le groupe dispose d'un comité de sécurité de l'information impliquant de hauts dirigeants tels que le PDG Óscar García Maceiras, ainsi qu'un comité consultatif en cybersécurité formé en 2023. Ce dernier s'est réuni cinq fois en 2025 pour examiner les menaces, notamment l'IA et les nouvelles techniques d'intrusion. L'entreprise gère également un centre opérationnel de sécurité disponible 24h/24 et 7j/7, qui a identifié 66 événements en 2025 sans impact notable.
Il ne s'agit pas du premier incident de ce type dans le commerce de détail espagnol. En octobre, Mango a révélé un accès non autorisé à des données marketing clients via un service externe. El Corte Inglés a fait face à une faille similaire en mars dernier impliquant des données chez un fournisseur externe.
