Cyberattaque Asahi : des données de 2 millions de clients et employés exposées

Théophane Villedieu

Cyberattaque Asahi : des données de 2 millions de clients et employés exposées

Le géant japonais des boissons Asahi Group Holdings a confirmé de nouveaux éléments dans son enquête en cours sur la cyberattaque Asahi, révélant que des informations personnelles liées à environ 2 millions de clients, employés et contacts externes ont potentiellement été exposées. Cette mise à jour fait suite à une analyse forensique détaillée de la perturbation systèmes qui a frappé ses serveurs nationaux le 29 septembre dernier.

Le président et directeur général du groupe, Atsushi Katsuki, s’est adressé aux médias à Tokyo, présentant ses excuses tout en détaillant la voie de l’entreprise vers une récupération complète. M. Katsuki a indiqué qu’Asahi prévoit de reprendre les commandes automatisées et les expéditions d’ici décembre, avec une normalisation complète de la logistique attendue pour février.

L’ampleur et les détails de la cyberattaque Asahi

Selon l’entreprise, la cyberattaque Asahi a impliqué un ransomware qui a chiffré des fichiers sur plusieurs serveurs et certains PC de l’entreprise. Asahi a confirmé que si les systèmes japonais ont été touchés, aucun impact n’a été identifié sur les opérations à l’étranger.

Un groupe de hackers connu sous le nom de Qilin a revendiqué la responsabilité sur le dark web, affirmant avoir volé des documents internes et des données d’employés. Asahi, cependant, a rapporté aucune preuve que des données personnelles ont été publiées en ligne. M. Katsuki a également précisé qu’aucune rançon n’a été versée.

« Nous présentons nos excuses pour les difficultés causées à nos parties prenantes par la récente perturbation des systèmes. Nous faisons tout notre possible pour restaurer rapidement les systèmes tout en renforçant la sécurité de l’information dans l’ensemble du groupe. »

Atsushi Katsuki, Président et DG d’Asahi Group Holdings

L’attaque avait précédemment contraint Asahi à reporter ses résultats financiers de janvier à septembre, initialement prévus le 12 novembre. Cette retarde a eu des répercussions significatives sur la transparence financière de l’entreprise et sa conformité réglementaire.

Chronologie de l’attaque :

  1. À 7h00 JST le 29 septembre, les systèmes ont commencé à dysfonctionner et des fichiers chiffrés ont rapidement été découverts.
  2. À 11h00 JST, l’entreprise a déconnecté son réseau et isolé le centre de données pour contenir l’attaque.
  3. Les enquêteurs ont révélé plus tard que l’attaquant avait pénétré via du matériel réseau sur un site du Groupe, déployant simultanément du ransomware sur plusieurs serveurs.
  4. Les examens forensiques ont confirmé l’exposition potentielle de données stockées à la fois sur les serveurs et les PC des employés.
  5. L’impact reste limité aux systèmes gérés par le Japon.

Dans le cadre des exigences réglementaires, Asahi a soumis son rapport final à la Personal Information Protection Commission le 26 novembre. Cette commission équivalent à la CNIL en France joue un rôle crucial dans la protection des données personnelles au Japon.

Tableau comparatif des systèmes affectés par la cyberattaque Asahi :

Type de systèmeStatutImpact
Serveurs nationauxChiffrésOpérations interrompues
PC d’entreprisePartiellement affectésDonnées potentiellement exposées
Systèmes internationauxNon affectésContinuité opérationnelle maintenue
Systèmes cloudNon affectésServices maintenus
Réseau de distributionTemporairement dégradéLivraisons retardées

Données personnelles exposées et implications

Au 27 novembre, l’entreprise a identifié les groupes de données et les types de données potentiellement affectés suivants :

  • Contacts du centre de service client d’Asahi Breweries, Asahi Soft Drinks et Asahi Group Foods Nom, sexe, adresse, numéro de téléphone, adresse e-mail — 1 525 000 individus

  • Contacts externes recevant des télégrammes de félicitations ou de condoléances Nom, adresse, numéro de téléphone — 114 000 individus

  • Employés et retraités Nom, date de naissance, sexe, adresse, numéro de téléphone, adresse e-mail, autres détails — 107 000 individus

  • Membres de la famille des employés/retraités Nom, date de naissance, sexe — 168 000 individus

Asahi a confirmé que aucune information de carte de crédit n’était incluse dans les ensembles de données exposés. L’entreprise a mis en place une ligne d’assistance dédiée (0120-235-923) pour les personnes concernées.

Dans la pratique, les entreprises doivent être conscientes que même de brèves interruptions de leurs systèmes peuvent avoir des conséquences financières et opérationnelles importantes. Selon une étude menée par l’ANSSI, les cyberattaques contre les grandes entreprises peuvent entraîner des pertes financières allant jusqu’à plusieurs millions d’euros, selon la durée et l’ampleur de l’incident.

Mesures de cybersécurité et recouvrement des systèmes

Suite à la cyberattaque Asahi, l’entreprise a passé deux mois à contenir l’incident, à restaurer les systèmes essentiels et à renforcer les défenses de sécurité. Ces mesures comprennent :

  • Une enquête forensique complète par des experts en cybersécurité externes
  • Vérification de l’intégrité des systèmes et appareils affectés
  • Restauration progressive des systèmes confirmés comme étant sécurisés

Face aux menaces cybernétiques croissantes, les entreprises doivent adopter une approche proactive de la sécurité. La cybersécurité n’est plus une option mais une nécessité stratégique pour toute organisation moderne.

Expert en cybersécurité, ANSSI

Actions préventives en cours :

  • Conception de nouvelles routes de communication réseau et contrôles de connexion plus stricts
  • Limitation des connections exposées à Internet aux zones sécurisées
  • Mise à niveau de la surveillance de sécurité pour une meilleure détection des menaces
  • Stratégies de sauvegarde révisées et plans de continuité d’activité actualisés
  • Gouvernance de la sécurité renforcée par la formation des employés et les audits externes

Le calendrier de récupération d’Asahi prévoit :

  • Reprise des commandes automatisées et expéditions : d’ici décembre 2025
  • Normalisation complète de la logistique : février 2026
  • Rapport final sur l’enquête forensique : soumis le 26 novembre 2025
  • Mise à jour continue des mesures de sécurité : en cours

Néanmoins, ces mesures de cybersécurité ne suffisent pas si l’ensemble de l’organisation n’est pas sensibilisé aux risques. La formation des employés représente un maillon essentiel de la chaîne de sécurité, car les erreurs humaines restent l’une des principales causes de violations de données.

Dans un contexte où le ransomware continue d’évoluer et de cibler les entreprises de toutes tailles, les leçons tirées de la cyberattaque Asahi sont précieuses. Selon l’ANSSI, le nombre d’incidents de ransomware a augmenté de 300% en France au cours des deux dernières années, démontrant l’urgence de renforcer les postures de sécurité.

Leçons à tirer et bonnes pratiques de cybersécurité

La cyberattaque Asahi souligne plusieurs leçons importantes pour les entreprises :

  1. Importance de la segmentation réseau : L’attaque a pu se propager rapidement en raison d’une segmentation réseau insuffisante. Une architecture réseau bien conçue peut limiter l’impact d’une compromission.

  2. Sauvegardes robustes et testées : Asahi a dû restaurer ses systèmes après l’attaque. Des sauvegardes régulières, testées et isolées du réseau principal sont cruciales.

  3. Formations continues à la sécurité : L’erreur humaine reste une cause majeure de violations. Des formations régulières sur les bonnes pratiques de sécurité sont essentielles.

  4. Plan de réponse aux incidents : La rapidité d’Asahi pour isoler les systèmes a limité l’impact. Un plan de réponse aux incidents bien préparé peut faire la différence.

  5. Conformité réglementaire : La soumission à la Personal Information Protection Commission montre l’importance d’une conformité stricte aux réglementations sur la protection des données.

En pratique, de nombreuses entreprises françaises sont confrontées à des défis similaires en matière de cybersécurité. La directive NIS2, entrée en vigueur en 2023, renforce les obligations des opérateurs de services essentiels, y compris dans les secteurs de l’alimentation et des boissons. Les entreprises doivent s’adapter à ce nouveau paysage réglementaire tout en gérant des menaces cyber de plus en plus sophistiquées.

Par ailleurs, dans le contexte actuel où les chaînes d’approvisionnement sont de plus en plus interconnectées, une approche holistique de la cybersécurité est nécessaire. Les entreprises ne doivent pas seulement se protéger elles-mêmes, mais aussi évaluer la sécurité de leurs partenaires et fournisseurs, car une vulnérabilité dans un maillon faible peut mettre en danger l’ensemble de l’écosystème.

Étapes clés pour une cybersécurité renforcée :

  1. Audit de sécurité complet : Évaluer les vulnérabilités existantes et prioriser les actions correctives
  2. Mise en œuvre du principe du moindre privilège : Limiter l’accès aux ressources uniquement aux personnes qui en ont besoin
  3. Surveillance continue et détection proactive : Mettre en place des outils de détection des menaces en temps réel
  4. Tests de pénétration réguliers : Simuler des attaques pour identifier les faiblesses avant qu’elles ne soient exploitées
  5. Plan de communication en cas d’incident : Préparer des messages clairs pour les parties prenantes

Conclusion : renforcer la résilience face aux cybermenaces

La cyberattaque Asahi illustre de manière frappante les risques auxquels les entreprises modernes sont confrontées dans un environnement numérique en constante évolution. Avec l’exposition potentielle de données de près de 2 millions d’individus, cet incident rappelle l’importance cruciale d’une posture de cybersécurité robuste et proactive.

Les entreprises, qu’elles soient françaises ou internationales, doivent tirer des leçons de tels incidents pour renforcer leurs défenses. Cela inclut une segmentation réseau appropriée, des sauvegardes régulières et testées, des formations continues à la sécurité, et des plans de réponse aux incidents bien préparés.

Dans le contexte réglementaire actuel, notamment avec la directive NIS2 en Europe, la conformité n’est plus seulement une question de bonne pratique mais une obligation légale. Les entreprises doivent donc non seulement se protéger mais aussi démontrer qu’elles prennent la cybersécurité au sérieux.

Alors que la menace cyber continue d’évoluer, la résilience organisationnelle devient un facteur différenciant essentiel. La cyberattaque Asahi, bien que dévastatrice, offre une occasion précieuse d’apprendre et de s’améliorer dans la défense contre les menaces futures.