Japon : Asahi, une cyberattaque sous pression

Les faits remontent au 29 septembre dernier, quand l’entreprise Asahi constate les dysfonctionnements de son système d’information. La panne, causée par un rançongiciel, provoque une interruption immédiate et généralisée de l’activité. La réception des commandes, l’expédition des produits et la production sont bloquées dans la plupart des usines au Japon. Retour au papier et au crayon : les employés sont obligés de traiter manuellement les commandes concernant certains produits, comme en témoigne un article du quotidien nippon Mainichi Shimbun.

Asahi Group Holding est né en 1889 à Sumida, un quartier de Tokyo. Bien que son activité ait démarré par une petite brasserie, il se classe aujourd’hui parmi les plus grands groupes brassicoles au monde en termes de ventes en volume. Il possède un large éventail de marques internationales, comme Asahi Super Dry, Peroni Nastro Azzurro, Grolsch, Pilsner Urquell, Tyskie pour les bières. L’entreprise possède également des filiales dans le secteur des spiritueux (Nikka Whisky), des softs (Asahi Soft Drinks) et des produits alimentaires (Asahi Group Foods). Le groupe a déclaré plus de 9 milliards de dollars de chiffre d’affaires pour le premier semestre 2025 et possède environ 30 usines à travers le Japon.

Attaquer Asahi, ce n’est pas attaquer n’importe quelle entreprise. En tant que seul producteur nippon de bière, le groupe est un symbole national et un pilier de l’industrie agroalimentaire. L’interruption brutale de l’activité a créé un risque de pénurie dans les supermarchés, les bars et les restaurants. Retour sur une cyberattaque aux allures d’avertissement pour le Japon industriel.. 

De l’eau dans le gaz pour Asahi

L’attaque a débuté par une intrusion ciblée dans les systèmes de l’entreprise. Les attaquants ont d’abord exploité une vulnérabilité (celle-ci n’a pas été communiquée par l’entreprise) pour obtenir un accès initial, avant de se déplacer latéralement à travers le réseau. Leur objectif principal ? Atteindre et chiffrer les serveurs critiques qui gèrent la chaîne d’approvisionnement et la logistique au Japon. Cette phase d’infiltration a culminé par l’exécution du rançongiciel, paralysant instantanément les systèmes de passation des commandes, de gestion des stocks et de distribution de sa marque phare, l’Asahi Super Dry.

L’impact opérationnel se révèle immédiat et dévastateur. La paralysie des systèmes informatiques a rendu la distribution impossible, forçant l’entreprise à suspendre temporairement les livraisons et à mettre à l’arrêt plusieurs brasseries japonaises. Dans l’urgence, Asahi a été contraint de revenir à des méthodes manuelles (prise de commandes par fax et téléphone) pour tenter de maintenir un minimum d’activité. Des données personnelles ont potentiellement pu être volées, et Asahi a dû organiser une enquête interne pour tenter de le déterminer. Économiquement, l’entreprise a subi des pertes importantes en raison de la production interrompue et des ventes manquées (même s’il n’y a pas encore d’informations communiquées sur l’impact de l’incident sur le chiffre d’affaires). L’attaque a également entraîné des coûts de remédiation considérables pour restaurer les systèmes, sans compter les risques liés à l’exfiltration de données sensibles

Au-delà des pertes financières directes, l’attaque a eu un effet retentissant sur l’image de marque d’Asahi et sur la perception de la sécurité au Japon. La rareté soudaine de l’Asahi Super Dry, considérée comme une boisson nationale, a créé un choc médiatique et a servi de signal d’alarme sur la vulnérabilité des infrastructures industrielles japonaises face au rançongiciel. Cet événement, survenu peu après d’autres incidents majeurs, a intensifié la pression sur le gouvernement et les grandes entreprises pour moderniser et renforcer leurs défenses cyber. Asahi place désormais la confiance – pilier de la culture japonaise – et la résilience cyber au cœur de sa stratégie.

Qui veut faire trinquer Asahi ? 

Qilin, un groupe cybercriminel d’origine présumée russe, a rapidement revendiqué l’attaque. Identifié pour la première fois en 2022, il opère sur un modèle Ransomware-as-a-Service (RaaS), ce qui signifie qu’il loue sa technologie à des « affiliés » qui mènent les attaques réelles. Pour cela, il prend une commission de 15 à 20 % sur la rançon. 

La double extorsion demeure la tactique principale des affiliés de Qilin. Ils ne se contentent pas de chiffrer les systèmes de la victime pour bloquer l’accès ; ils volent également d’énormes quantités de données sensibles et menacent de les publier sur le dark web si la rançon n’est pas payée. Pour que les opérations soient menées à bien, les rançongiciels loués sont souvent écrits en langage Rust ou Go, ce qui les rend plus difficiles à analyser et à détecter par les logiciels antivirus traditionnels. Ils sont conçus pour être rapides et modulaires, permettant aux affiliés de personnaliser l’attaque (choix de l’algorithme de chiffrement, vitesse d’exécution) pour maximiser l’impact. Enfin, ces logiciels malveillants utilisent des techniques avancées pour persister dans le réseau et éviter la détection (compression de code, suppression des journaux d’événements, etc.). L’arsenal de Qilin conjugue une ingénierie logicielle avancée à des stratégies de pression psychologique et financière bien rodées, positionnant ce groupe parmi les menaces persistantes les plus sophistiquées du marché du rançongiciel.

L’analyse des cibles de Qilin révèle une stratégie d’attaque sélective, orientée sur l’appât du gain. À l’instar de nombreux acteurs de la menace opérant dans l’écosystème du rançongiciel, le groupe impose une règle non négociable à ses affiliés : l’interdiction formelle de cibler la Russie et les pays de la Communauté des États indépendants (CEI), un indicateur fort de son origine et de sa base opérationnelle présumées. Sur le plan commercial, Qilin se concentre exclusivement sur les grandes organisations capables de payer des rançons substantielles, cherchant à maximiser l’impact sociétal de ses actions pour accélérer le paiement. Ses attaques se déploient préférentiellement dans des secteurs critiques et à forte valeur ajoutée : santé, industrie et fabrication, services professionnels et techniques, logistique et chaîne d’approvisionnement, etc. Ces choix techniques et stratégiques, orchestrés sous un modèle de Ransomware-as-a-Service, confirment que Qilin a industrialisé la menace : le groupe offre à ses affiliés une plateforme hautement rentable pour exploiter les vulnérabilités les plus critiques de l’économie mondiale.

Le secteur des boissons et de l’alimentaire boit la tasse

Les attaques contre le secteur des boissons se sont intensifiées durant ces cinq dernières années. Cette recrudescence s’explique par la nature critique de cette industrie. Les grandes entreprises de boissons gèrent une chaîne d’approvisionnement complexe et reposent sur des systèmes de Technologie Opérationnelle (OT), essentiels à la production, au conditionnement et à la distribution. L’arrêt de ces systèmes, souvent moins sécurisés et plus lents à mettre à jour que les réseaux bureautiques traditionnels, garantit une paralysie opérationnelle immédiate. Pour les attaquants, cette paralysie est la clé pour forcer le paiement de rançons très élevées, les entreprises cherchant à éviter le risque de pénurie et l’impact catastrophique sur leur image de marque.
Un autre exemple notable est celui de la société australienne Lion, l’un des plus grands brasseurs d’Australie, ayant subi une attaque majeure en 2020. Plus récemment, des entreprises de logistique et de distribution alimentaire sous-traitantes ont également été ciblées, perturbant indirectement les livraisons de grandes marques, prouvant la vulnérabilité liée à la chaîne d’approvisionnement. En juin 2025, par exemple, UNFI (l’un des plus gros distributeurs de produits alimentaires en gros d’Amérique du Nord) a été victime d’une intrusion informatique ayant perturbé ses systèmes, ce qui a entravé l’approvisionnement des supermarchés. Le coût de cette attaque aurait été estimé à 350 millions de dollars.