Le 29 septembre 2025, une cyberattaque d’ampleur a paralysé une trentaine de centres de production et d’usines du groupe Asahi Breweries, le géant japonais de la brasserie. L’attaque a été revendiquée le 7 octobre 2025 par l’organisation Qilin. Cette organisation cybercriminelle russophone, spécialisée dans les ransomwares, a été créée en 2022.
Asahi, une cible stratégique pour les cybercriminels
Asahi est le plus grand groupe brassicole du Japon et le septième mondial. Le groupe représente 40% du marché japonais de la bière et est cotée à la Bourse de Tokyo, dans l’indice Nikkei 225. Fondée en 1889, c’est un véritable symbole de la stabilité industrielle japonaise, ce qui en fait une cible de choix pour des attaques visant à déstabiliser l’économie locale. Asahi emploie environ 30 000 salariés dans le monde et a généré 9 milliards de dollars de chiffres d’affaires au premier semestre 2025. Son importance économique et boursière en fait une cible idéale pour des attaques visant à fragiliser la confiance au Japon.
Qilin : motivations, objectifs et mode opératoire du groupe de hackers
Les motivations de Qilin (anciennement « Agenda ») semblent principalement financières. Son attaque contre Asahi pourrait porter atteinte à l’image de la marque. Le Ministère japonais des Affaires étrangères évoque une origine russe pour le groupe Qilin. Les pays les moins touchés par ses cyberattaques sont souvent ceux de l’espace post-soviétique, ce qui pourrait suggérer que le groupe opère depuis cette région tout en masquant une origine différente. Il se pourrait également que le groupe coopère avec d’autres groupes de cybercriminels.
Dans un contexte de guerre économique, le vol de secrets industriels pourrait avantager des concurrents. Qilin est soupçonné d’être à l’origine de 700 à 900 attaques, dont une centaine ont été revendiquées. Parmi ses victimes figurent un hôpital britannique, des lycées et des mairies en France, une filiale d’Airbus au Mexique et un district scolaire aux États-Unis. Qilin choisit ses cibles avec soin en ciblant les entreprises qui ont des contraintes de temps et qui sont donc plus enclines à payer pour débloquer la situation. Si les entreprises ne payent pas, Qilin pourra se vanter d’avoir réussi à les paralyser. Qilin ne se contente pas d’être un simple groupe de cybercriminels, il loue également son logiciel malveillant à d’autres criminels. En échange, il touche une commission de 15 à 20 % sur les rançons obtenues. C’est pourquoi certains préfèrent parler de Qilin comme un franchiseur (nom du groupe criminel) et d’autres en parlent comme étant la franchise (le nom donné au rançongiciel).
Le groupe utilise principalement du phishing, de l’exploitation de vulnérabilités dans des logiciels obsolètes, de l’infiltration via des accès compromis, des mots de passe faibles ou encore des programmes APT (infiltration discrète et sur le long-terme).
Contre Asahi, le groupe de cybercriminels a utilisé son arme principale : le « Ransomware as a Service » (RaaS), (Rançongiciel en tant que service) inspiré du « Software as a Service » (SaaS) comme Gmail ou Canva. Dans le cas d’Asahi, Qilin a volé 27 Go de données, 9 300 fichiers contenant pour certains des secrets industriels, puis a exigé une rançon pour les restituer. Asahi avait centralisé sa chaîne logistique autour d’un système unique de commande et d’expédition, optimisant ainsi son efficacité. Cependant, cette concentration s’est retournée contre elle : Qilin a ciblé ce maillon clé, le point de connexion vital entre l’entreprise et son marché afin de maximiser l’impact de son attaque
Asahi paralysée : une cyberattaque qui déstabilise le marché japonais de la bière
L’attaque a immédiatement frappé les opérations et la santé financière d’Asahi : perturbation de la chaîne d’approvisionnement et des partenariats, retard dans la publication des résultats boursiers risquant d’ébranler la confiance des investisseurs et porter atteinte à la réputation de l’entreprise. Selon le journal japonais Nikkei, les pertes s’élèveraient au moins à 9 milliards de yens, soit environ 50 millions d’euros. Le jour de l’annonce, l’action de la brasserie a chuté de 7 % à la Bourse de Tokyo. Pendant six jours, les systèmes électroniques d’Asahi sont restés paralysés, contraignant les employés à revenir aux méthodes manuelles : feuilles, stylos et fax.
Asahi avait d’abord assuré que les données clients étaient intactes, mais des fuites ont finalement été confirmées le 27 novembre. Des bars, en rupture de stock, ont dû se tourner vers les concurrents Kirin et Sapporo, qui ont vu leurs commandes exploser sans pouvoir répondre à toutes les demandes. Asahi pourrait perdre des parts de marché si les clients, contraints de se tourner vers d’autres marques, y restent définitivement. Cette crise illustre comment une attaque peut déclencher une réaction en chaîne : perturbations logistiques, basculement forcé vers la concurrence, érosion de la confiance et limites des méthodes de travail manuelles encore en vigueur.
Asahi, victime d’un modèle économique de la cybercriminalité : quand la digitalisation devient un risque systémique
L’attaque menée par Qilin révèle un paradoxe moderne. Alors que la centralisation des infrastructures et la digitalisation accélérée des chaînes de valeur optimisent l’efficacité, elles exposent aussi les géants industriels à des vulnérabilités systémiques. Celles-ci sont exploitées par des acteurs hybrides mêlant cybercriminalité et potentiellement des intérêts géopolitiques.
Asahi a réagi avec une transparence relative en reconnaissant rapidement la cyberattaque mais en publiant des rapports d’incident de manière échelonnée. Ainsi, cette crise a mis en lumière des lacunes majeures dans sa préparation globale face aux cybermenaces. En effet, seulement 16,4 % des entreprises au Japon disposent d’un plan de réponse en cas de cyberattaque.
Dans un contexte où les États ou les groupes qui leurs sont affiliés utilisent ces attaques comme levier de pression, l’incident illustre les risques d’un marché oligopolistique. Ce scénario pourrait se reproduire dans d’autres pays dominés par quelques acteurs majeurs. Certaines industries comme l’agroalimentaire et les boissons, sont particulièrement vulnérables en raison de contraintes logistiques comme le respect de la chaîne du froid. L’attaque a paralysé la production et le service client au point de reporter le lancement de 12 nouveaux produits.
Asahi montre que la cybersécurité relève d’un ajustement perpétuel des défenses face aux failles que les cybercriminels cherchent à exploiter. Même avec une Sécurité des Systèmes d’Information (SSI) structurée, une vulnérabilité peut être découverte et contournée, rendant des mesures jugées suffisantes obsolètes face à une attaque bien préparée. Cet incident souligne la nécessité de renforcer en continu la détection, la segmentation des réseaux, la protection des données et la préparation à la gestion de crise. Néanmoins, ces remises à niveau doivent s’inscrire dans une coopération plus large entre acteurs publics, privés et internationaux, afin de faire du cas Asahi un avertissement concret sur l’urgence d’une cybersécurité réellement proactive.
Toros Rémi Nadjarian
Pour aller plus loin :