Trois questions à Franck Mailleux, président du directoire, et Yannick Rouaud, directeur financier, juridique et des systèmes d’information de M-extend

Victime d’une cyberattaque majeure en septembre 2023, le groupe breton M-extend, spécialiste de la manutention agricole, a traversé une crise inédite tout en assurant la continuité de ses fonctions vitales. Cette ETI familiale de plus de 1 000 salariés, implantée en France, en Inde et au Brésil, a dû repenser ses processus, sa gouvernance et sa résilience. Franck Mailleux, président du directoire et petit-fils du fondateur, et Yannick Rouaud, directeur financier, juridique et des systèmes d’information, reviennent sur cette épreuve. 

Quelle a été l’ampleur de la cyberattaque, quels ont été ses impacts, et comment l’avez-vous gérée ? 

YR : L’intrusion a été détectée un lundi matin : notre Active Directory, cœur de notre infrastructure informatique, avait été compromis, et des données personnelles ont été extraites.  
Une cellule de crise a immédiatement été constituée, en lien quotidien avec des experts externes, notamment Orange Cyberdéfense. 
Une demande de rançon a suivi, mais nous avons décidé dès le départ de ne pas négocier. Nous avons rapidement coupé toutes les connexions Internet de nos sites français, isolant le système pour protéger nos fonctions critiques, notamment SAP, qui n’avait pas été touché. 
De septembre à décembre, nos équipes ont travaillé dans des conditions dégradées : retour au papier, courrier postal, échanges par clés USB, réseaux isolés… Nos priorités étaient claires : maintenir la production, payer les salariés, régler les fournisseurs et encaisser les clients. Chaque flux stratégique a été adapté à l’aide de moyens spécifiques, matériels comme immatériels. 
Certains sites ont été plus affectés que d'autres, notamment Loudun, privé de connexion SAP (n’a pas perdu ses capacités de production mais son accès à SAP, rendant plus difficile l’organisation de la production), tandis qu’Acigné a vu son activité fortement ralentie. Au Brésil, où SAP venait d’être déployé, la suspension temporaire des flux a paradoxalement permis de retrouver plus rapidement une certaine stabilité. 
Cependant, comme l’attaque avait compromis potentiellement l’ensemble de nos réseaux, il fallait repartir de zéro : reconstruire entièrement notre architecture informatique, cloisonner strictement les réseaux de production et des applications métiers, et mettre en place un bastion pour sécuriser les accès externes. 
La remise en état complète a pris plusieurs mois. Nous visions un retour à 90 % des capacités en janvier 2024, mais l’ampleur de l’attaque et la nécessité de cette reconstruction totale ont repoussé cette échéance à début avril. 

Comment avez-vous adapté votre gouvernance et votre communication pendant la crise ? 

FM : Dès le début, au sein du directoire, nous avons confié à Yannick la gestion opérationnelle de la crise. Cela a permis une prise de décision rapide, avec un suivi régulier. Il a pleinement endossé ce rôle de capitaine d’urgence, même lorsque la crise est entrée dans une phase plus longue de reconstruction. 
Il était essentiel de tenir informé le conseil de surveillance, compte tenu de la gravité de la situation. Nous avons donc mis en place un canal WhatsApp dédié pour une communication en temps réel. Le conseil a accompagné la gestion de crise avec une posture de confiance, respectant les décisions opérationnelles sans exercer de pression. Cette confiance a permis aux équipes d’agir sereinement — un atout précieux dans un contexte où l’actionnariat peut parfois se montrer plus intrusif. 
Par ailleurs, nous avons respecté toutes nos obligations réglementaires : signalement à la CNIL, dépôt de plainte auprès de la gendarmerie, information de l’assureur — le tout en moins de 72 heures. Enfin, nous avons fait preuve d’une grande transparence envers nos clients et fournisseurs, ce qui a été déterminant pour préserver leur engagement malgré les perturbations. 

YR : La communication interne a également été cruciale. Face à une menace invisible, il fallait expliquer des décisions fortes, comme la coupure d’Internet, sans générer d’angoisse, mais en mobilisant les équipes. Notre expérience de la crise Covid, marquée par une communication transparente malgré l’incertitude, nous a beaucoup servi. 

Quels enseignements tirez-vous de cet épisode, quels investissements avez-vous réalisés, et quels conseils pourriez-vous partager ?  

FM : Cette attaque a été un choc, mais aussi un déclencheur de profonds changements. Avant l’événement, nous disposions déjà d’un RSSI et collaborions avec Orange Cyberdéfense. Après coup, nous avons mandaté Inquest, via notre assureur, pour organiser la gouvernance de la reconstruction. La culture d’entreprise a évolué : nous investissons désormais encore davantage dans la sensibilisation de toutes les équipes, avec des simulations de crise, des retours d’expérience, et une communication ouverte sur les risques. La cybersécurité est aujourd’hui une posture continue, pas une réaction ponctuelle. 

YR : Sur le plan technique, nous avons revu notre architecture IT. L’un des enseignements majeurs a été la difficulté à mobiliser rapidement des techniciens en début de crise. Pour y remédier, nous avons constitué un vivier de prestataires prêts à intervenir immédiatement— un levier clé pour accélérer la reprise. Notre objectif désormais : réduire à un mois le délai pour retrouver 90 % de nos capacités en cas d’attaque future. 

FM : Ce traumatisme a aussi accéléré les arbitrages. La prise de conscience partagée entre dirigeants, équipes techniques et actionnaires permet aujourd’hui d’aller plus vite et plus loin. Plus aucune entreprise n’est à l’abri : la seule inconnue reste le quand et le comment. Il est donc essentiel de se préparer en amont : mener des exercices, tester ses dispositifs, bâtir un écosystème réactif. Et surtout, garder la tête froide : une cyberattaque n’est pas une attaque personnelle, mais une épreuve collective qu’il faut affronter de façon méthodique.