Cyberattaque contre le groupe Asahi : 2 millions de clients et employés exposés

Apollinaire Monteclair

Cyberattaque contre le groupe Asahi : 2 millions de clients et employés exposés

Le géant japonais des boissons Asahi Group Holdings a révélé de nouveaux éléments dans son enquête en cours sur la cyberattaque qu’il a subie, confirmant que des informations personnelles liées à environ 2 millions de clients, employés et contacts externes ont potentiellement été exposées. Cette mise à jour fait suite à une analyse approfondie par expertise forensique de la perturbation système qui a frappé ses serveurs nationaux le 29 septembre dernier. Le président et PDG du groupe, Atsushi Katsuki, s’est adressé aux médias à Tokyo pour présenter ses excuses tout en détaillant la voie de l’entreprise vers une complète récupération. Katsuki a indiqué qu’Asahi prévoit de reprendre les commandes et expéditions automatisées d’ici décembre, avec une normalisation complète de la logistique attendue pour février.

L’impact de la cyberattaque sur le géant japonais des boissons

Selon les informations communiquées par l’entreprise, la cyberattaque contre le groupe Asahi impliquait un ransomware qui a chiffré des fichiers sur plusieurs serveurs et certains PC fournis par l’entreprise. Asahi a confirmé que si les systèmes au Japon ont été affectés, aucun impact n’a été identifié sur les opérations internationales. Un groupe de hackers connu sous le nom de Qilin a revendiqué la responsabilité sur le dark web, affirmant avoir volé des documents internes et des données employés. Asahi, cependant, a fait état d’aucune preuve que des données personnelles ont été publiées en ligne. Katsuki a également précisé qu’aucune rançon n’a été versée.

« Nous regrettons profondément les inconvénients causés à nos parties prenantes par la perturbation récente de nos systèmes. Nous déployons tous nos efforts pour restaurer rapidement les systèmes tout en renforçant la sécurité de l’information dans l’ensemble du groupe. »

— Atsushi Katsuki, Président et PDG d’Asahi Group Holdings

L’attaque a précédemment contraint Asahi à reporter ses résultats financiers pour la période janvier-septembre, initialement prévus pour le 12 novembre. Cette perturbation majeure illustre la vulnérabilité même des plus grandes entreprises face aux menaces cyber, et souligne l’importance cruciale de la cybersécurité dans la stratégie d’entreprise contemporaine. Selon une étude récente, 68% des grandes entreprises ont subi au moins une cyberattaque significative au cours des 12 derniers mois, plaçant la gestion des risques au premier rang des préoccupations des dirigeants.

Chronologie et détails techniques de l’attaque

Le dernier rapport d’Asahi dresse le calendrier interne et l’évaluation technique détaillée de l’incident :

  • À 7h00 du matin (heure JST) le 29 septembre, les systèmes ont commencé à dysfonctionner, et des fichiers chiffrés ont été rapidement découverts.
  • À 11h00 du matin (heure JST), l’entreprise a déconnecté son réseau et isolé le centre de données pour contenir l’attaque.
  • Les enquêteurs ont révélé plus tard que l’agresseur avait pénétré via du matériel réseau sur un site du Groupe, déployant du ransomware simultanément sur plusieurs serveurs.
  • Les revues forensiques ont confirmé l’exposition potentielle de données stockées à la fois sur les serveurs et les PC des employés.
  • L’impact reste limité aux systèmes gérés par le Japon.

Dans le cadre des exigences réglementaires, Asahi a soumis son rapport final à la Commission de Protection des Informations Personnelles le 26 novembre. Cette attaque constitue un cas d’école en matière de réponse aux incidents, démontrant à la fois la rapidité nécessaire d’intervention et les défis persistants dans la gestion des crises cyber.

Nature des données exposées et groupes affectés

Au 27 novembre, l’entreprise a identifié les groupes de données et les types de données suivants potentiellement affectés :

  • Contacts du Centre de Service Clientèle d’Asahi Breweries, Asahi Soft Drinks et Asahi Group Foods Nom, sexe, adresse, numéro de téléphone, adresse e-mail — 1 525 000 individus
  • Contacts externes recevant des télégrammes de félicitations ou de condoléances Nom, adresse, numéro de téléphone — 114 000 individus
  • Employés et retraités Nom, date de naissance, sexe, adresse, numéro de téléphone, adresse e-mail, autres informations — 107 000 individus
  • Membres de la famille des employés/retraités Nom, date de naissance, sexe — 168 000 individus

Asahi a confirmé qu’aucune information de carte de crédit n’était incluse dans les jeux de données exposés. L’entreprise a mis en place une ligne d’assistance dédiée (0120-235-923) pour les particuliers préoccupés. Cette exposition massive soulève des questions importantes sur la protection des données personnelles et les obligations légales en matière de notification, notamment dans le contexte du RGPD applicable en France et en Europe.

Catégorie de données exposéesTypes d’informationsNombre de personnes concernées
Clients et contacts commerciauxNom, sexe, adresse, téléphone, e-mail1 525 000
Contacts externesNom, adresse, téléphone114 000
Employés et retraitésNom, date de naissance, sexe, adresse, téléphone, e-mail, autres107 000
Familles des employésNom, date de naissance, sexe168 000
TotalDonnées personnelles sensibles1 914 000

Mesures de réponse et de restauration système

Suite à la cyberattaque contre le groupe Asahi, l’entreprise a consacré deux mois à contenir l’incident, à restaurer les systèmes essentiels et à renforcer les défenses de sécurité. Ces mesures incluent :

  • Une enquête forensique complète par des experts en cybersécurité externes
  • Vérification de l’intégrité des systèmes et appareils affectés
  • Restauration progressive des systèmes confirmés comme étant sécurisés

Les actions préventives actuellement en cours comprennent :

  • Conception de nouvelles routes de communication réseau et contrôles de connexion plus stricts
  • Limitation des connexions exposées à Internet aux zones sécurisées
  • Amélioration de la surveillance de sécurité pour une meilleure détection des menaces
  • Stratégies de sauvegarde révisées et plans de continuité d’activité actualisés
  • Gouvernance de sécurité renforcée par la formation des employés et les audits externes

Dans sa déclaration publique, Katsuki a souligné que les expéditions de produits étaient restaurées par étapes à mesure que la progression de la récupération se poursuivait. Cette approche méthodique illustre comment une entreprise peut transformer une crise cyber en opportunité d’amélioration de sa posture de sécurité globale.

Leçons à tirer pour les entreprises françaises

L’incident d’Asahi offre plusieurs enseignements précieux pour les entreprises françaises confrontées à des défis similaires :

1. Importance de la préparation aux incidents

La rapidité avec laquelle Asahi a réagi — en isolant le réseau en seulement quatre heures — démontre l’importance cruciale d’avoir des plans de réponse aux incidents bien définis et exercés régulièrement. Pour les entreprises françaises, cela signifie :

  • Mettre en place une équipe de réponse aux incidents dédiée
  • Développer des procédures claires pour différentes scénarios d’attaque
  • Effectuer des simulations d’attaques régulières

« Dans la pratique, nous observons que les entreprises qui survivent le mieux aux cyberattaques sont celles qui ont prévu des scénarios de réponse détaillés et qui les ont testés avant une crise réelle. »

2. Conformité réglementaire et communication

Asahi a soumis son rapport final aux autorités de protection des données le 26 novembre, démontrant l’importance de la conformité réglementaire. En France, le RGPD impose des obligations strictes en matière de notification de violation de données, avec des délais de notification de 72 heures à l’ANSSI et à la CNIL. Les entreprises françaises doivent :

  • Maintenir un registre précis de toutes les violations potentielles
  • Préparer des modèles de communication pour différentes parties prenantes
  • Collaborer étroitement avec les autorités de régulation

3. Renforcement post-incident de la sécurité

Les mesures préventives mises en place par Asahi — notamment la redéfinition des routes de communication réseau et l’amélioration de la surveillance — représentent une feuille de route précieuse pour les entreprises cherchant à renforcer leur sécurité après une attaque. Ces actions doivent être considérées comme des opportunités d’amélioration continue plutôt que comme des réponses purement réactives.

Conclusion : Vers une résilience cyber accrue

L’analyse de la cyberattaque contre le groupe Asahi révèle des leçons essentielles sur la gestion des crises cyber dans un environnement d’affaires mondialisé. Alors que l’exposition de près de 2 millions de données personnelles souligne les enjeux considérables de la protection de l’information, la réponse coordonnée d’Asahi offre un modèle de résilience organisationnelle. Pour les entreprises françaises, cet incident rappelle l’impératif de préparation constante face aux menaces émergentes, allant de la conformité réglementaire au renforcement continu des mesures de sécurité.

Dans un paysage cyber en constante évolution, où les groupes de hackers comme Qilin adoptent des stratégies de plus en plus sophistiquées, la vigilance et la proactivité ne sont plus des options mais des nécessités stratégiques. Comme le souligne Katsuki, la transformation d’une crise en opportunité d’amélioration représente peut-être la leçon la plus précieuse pour les dirigeants d’entreprise confrontés à la réalité complexe de la cybersécurance contemporaine.