Cyberattaque contre Asahi : le rançongiciel qui a paralysé la production de bière au Japon
Le 29 septembre 2025, vers 7 heures du matin, les systèmes d’Asahi Group Holdings s’effondrent. Le plus gros brasseur japonais, celui qui produit l’Asahi Super Dry que tout le monde connaît là-bas, se retrouve soudain incapable de prendre des commandes ou d’expédier quoi que ce soit. En quelques heures, une bonne partie des flux logistiques et de production tombe. Les usines tournent au ralenti, les camions restent au dépôt, et les rayons commencent à se vider. Huit mois plus tard, l’histoire continue de circuler dans les cercles cybersécurité parce qu’elle est typique de ce qui arrive quand une supply chain entière repose sur des systèmes informatiques mal protégés.
L’intrusion qui a duré dix jours avant le déclenchement
D’après le bilan officiel publié par Asahi en février 2026, l’attaquant n’a pas eu besoin d’un exploit zero-day spectaculaire. Environ dix jours plus tôt, il s’est faufilé via un équipement réseau sur un des sites du groupe. De là il a atteint le data center principal, exploité une faiblesse sur les mots de passe pour obtenir des droits administrateur, puis s’est baladé dans le réseau, surtout en dehors des heures de bureau. Le 29 au matin, le rançongiciel est déployé. Plusieurs serveurs et certains PC d’entreprise se font chiffrer.
Le groupe Qilin, un acteur Ransomware-as-a-Service bien implanté et revendiqué d’origine russe, a rapidement revendiqué l’attaque. Ils disent avoir sorti environ 27 Go de fichiers : documents financiers, contrats, infos RH, prévisions internes. Asahi n’a pas payé, du moins rien ne l’indique publiquement. L’enquête a confirmé que des données avaient bien été exfiltrées avant le chiffrement, ce qui est devenu la norme chez ces groupes.
Quand la bière s’arrête de couler
Le vrai problème n’était pas tant la production physique que tout ce qui l’entoure : prise de commandes, gestion des stocks, planification des livraisons. Du jour au lendemain, Asahi a dû repasser en mode artisanal : fax, téléphone, feuilles de papier. Six brasseries sur une trentaine ont dû réduire ou stopper leur activité au début. Les distributeurs et les bars ont commencé à manquer de produits, surtout les références phares. Des articles parlaient déjà de pénurie potentielle à l’approche des fêtes.
La production a redémarré partiellement début octobre. Les commandes via les systèmes ont repris début décembre pour certaines filiales. Mais il a fallu attendre février 2026 pour que les délais de livraison redeviennent normaux. En mars, le groupe a publié ses résultats trimestriels en retard et chiffré l’impact à environ 5 milliards de yens de chiffre d’affaires perdu, plus 2 milliards de manque à gagner sur les profits. Pas anodin pour une entreprise qui réalise une grosse part de son activité au Japon.
Près de deux millions de données personnelles exposées
Fin novembre 2025, Asahi confirme que quelque 1,914 million d’ensembles de données personnelles ont pu être compromis. Il s’agit surtout d’informations de clients ayant contacté les services après-vente (nom, adresse, téléphone, email, genre), de données d’employés et anciens employés (environ 107 000), de membres de leur famille (168 000) et de contacts externes (114 000). Plus tard, l’enquête affine le tableau : certaines données d’employés et de partenaires ont effectivement été volées, même si le volume final est un peu inférieur aux premières estimations.
Pas de numéros de carte bancaire dans le lot, c’est déjà ça. Et à ce jour, aucune fuite massive de ces données personnelles n’a été confirmée sur internet. Asahi a prévenu la commission japonaise de protection des données et s’est dit prêt à indemniser au cas par cas les personnes qui subiraient un préjudice. Le groupe Qilin avait mis une partie des fichiers en ligne, mais le contenu personnel semble être resté relativement contenu.
La reconstruction et la refonte de la sécurité
Dès les premiers jours, Asahi a isolé ses réseaux et fait venir des experts externes pour la forensique. La reconstruction s’est faite à partir de sauvegardes vérifiées saines. En février 2026, le groupe publie un rapport très détaillé : la restauration se fait par phases, avec des contrôles de sécurité supplémentaires à chaque étape. Les opérations logistiques sont revenues à la normale, même si tous les flux ne sont pas encore totalement automatisés.
Surtout, Asahi ne s’est pas contenté de « revenir comme avant ». Ils ont profité de l’incident pour changer de modèle. Fin des VPN classiques, passage complet au zero-trust sur les postes de travail, segmentation réseau renforcée pour limiter les mouvements latéraux, EDR mieux configuré, détection automatisée des anomalies, et des exercices de restauration réguliers. Côté gouvernance, création d’une organisation dédiée à la sécurité de l’information, d’un comité spécifique, et implication plus forte du conseil d’administration sur le sujet. Le président Atsushi Katsuki a présenté des excuses publiques et a indiqué vouloir non seulement retrouver les niveaux d’avant, mais les dépasser.
Ce que cette cyberattaque Asahi nous apprend vraiment
Au fond, l’affaire montre à quel point une entreprise « traditionnelle » peut être vulnérable quand ses systèmes de gestion de la supply chain tombent. Pas besoin d’usine ultra-connectée ou d’OT critique : il suffit que les commandes et les livraisons ne passent plus pour créer un effet domino national. Le fait que l’attaquant ait pu rester dix jours sans être vu en dit long sur la détection et la segmentation qui existaient à l’époque.
Le côté encourageant, c’est la réaction. Beaucoup d’entreprises auraient essayé de colmater et de reprendre comme si de rien n’était. Asahi a compris que la restauration technique seule ne suffisait pas et a enclenché une vraie transformation de posture. Pour les autres organisations, la leçon est directe : tester sérieusement ses sauvegardes, limiter les droits d’accès, surveiller les comportements inhabituels (surtout la nuit), et traiter la cybersécurité comme un risque métier, pas juste un dossier IT.
Dans un secteur où les attaques ransomware sur l’agroalimentaire ont fortement augmenté en 2025, avec des groupes comme Qilin particulièrement actifs, ce genre d’incident n’est plus une exception. Asahi s’en sortira, mais l’addition a été lourde, à la fois sur le plan opérationnel, financier et réputationnel. C’est le type d’histoire qui devrait faire réfléchir toutes les entreprises qui se disent encore « ça n’arrive qu’aux autres ».
