Frisquet cyberattaque : ce que l’incident Qilin de 2025 révèle sur les risques dans l’industrie française
Le 12 octobre 2025, le groupe Qilin a revendiqué une cyberattaque contre Frisquet. L’information est passée un peu sous les radars, mais elle mérite qu’on s’y attarde. Frisquet, c’est ce fabricant français historique de chaudières gaz, pompes à chaleur et solutions de chauffage, toujours indépendant et implanté à Meaux. Une entreprise typique du tissu industriel français, avec des données clients, des tarifs distributeurs, des infos employés et des processus de production qui valent de l’or pour qui sait les exploiter.
En fait, l’attaque s’inscrit dans une série de coups portés au secteur du chauffage et de l’équipement thermique. Et elle arrive après un précédent assez marquant dans le même univers : celui du Groupe Atlantic fin 2020.
Ce qui s’est passé chez Frisquet
Selon les traces laissées par Qilin sur son site de fuites, l’intrusion remonterait à mi-septembre 2025. Les attaquants n’ont pas seulement chiffré des systèmes. Ils ont exfiltré un volume conséquent de données avant de revendiquer le coup. On parle de documents financiers, factures détaillées, calculs de comptes, certificats d’entreprise, informations sur les distributeurs et les tarifs produits avec leurs codes GTIN, mais aussi des éléments très personnels sur les employés : noms, adresses mails, numéros de téléphone et même des copies de passeports dans certains cas. Des infos comptes clients et des éléments d’identification interne circulaient également dans les échantillons publiés.
Le point, c’est que ce n’est pas juste « des données qui fuitent ». C’est du matériel tout prêt pour des campagnes de phishing ciblé, de l’usurpation d’identité, du chantage auprès de partenaires ou de la revente sur des forums spécialisés. Les tarifs et les conditions distributeurs, par exemple, peuvent directement aider un concurrent à affiner sa stratégie commerciale. Les coordonnées d’installateurs et d’employés ouvrent la porte à des attaques sociales très précises.
Qilin, un acteur qui a pris de l’ampleur en 2025
Qilin (anciennement connu sous le nom Agenda) n’est pas un petit nouveau. Mais en 2025, le groupe a nettement accéléré son activité, profitant des replis ou des disruptions d’autres opérations de ransomware. Il fonctionne en mode RaaS, avec des affiliés qui touchent la grosse part du butin. Sa marque de fabrique : la double extorsion systématique. On chiffre, on vole, on menace de tout balancer. Et parfois on va jusqu’à contacter directement les clients ou les salariés de la victime pour faire monter la pression.
Ce n’est pas le seul à viser l’industrie. Le secteur manufacturier et les entreprises de taille intermédiaire françaises restent des cibles de choix : elles ont souvent des systèmes un peu anciens, des connexions entre l’IT et des environnements de production, et des données qui ont une vraie valeur marchande une fois sorties.
Le précédent du Groupe Atlantic en 2020 : quand tout s’arrête
Pour comprendre l’impact potentiel, il suffit de regarder ce qui est arrivé au Groupe Atlantic en décembre 2020. Une attaque attribuée à RansomExx (aussi appelé Defray777) a touché le cœur informatique du groupe. Résultat : plusieurs usines à l’arrêt ou fortement ralenties, dont des sites de production de matériel de chauffage. La production a été perturbée en pleine période hivernale, la téléphonie aussi. Douze mille employés dans le monde ont été impactés du jour au lendemain.
Le groupe a coupé les systèmes pour contenir la propagation, fait appel à des experts externes et a mis près de six mois à tout nettoyer et reconnecter proprement. Des données avaient été dérobées et certaines publiées sur le site des attaquants. Le témoignage de la responsable assurances du groupe, plus tard, reste assez parlant : quand le centre névralgique lâche, tout le reste suit.
Frisquet n’appartient pas au même groupe, mais l’analogie est facile à faire. Même secteur, mêmes types de données opérationnelles et commerciales, mêmes enjeux de continuité d’activité. Une usine qui s’arrête ou des données qui circulent, ça ne pardonne pas longtemps dans ce métier.
Les conséquences concrètes, au-delà du chiffrement
Ce qui frappe dans ces affaires, c’est la durée des effets. Même quand l’entreprise parvient à redémarrer la production relativement vite, la gestion des données volées peut traîner des mois, voire des années. Les employés dont les passeports ou les coordonnées circulent deviennent des cibles potentielles de spear-phishing ou d’usurpation. Les partenaires commerciaux s’inquiètent. Et les assureurs, quand il y en a un, posent des questions de plus en plus précises sur les mesures de prévention.
Certaines PME industrielles s’en sortent mieux que d’autres. Il y a eu le cas de cette entreprise normande du BTP qui a limité les dégâts à quelques jours grâce à des sauvegardes testées et une bonne préparation en amont. Le contraste avec les récupérations qui durent des mois est saisissant. La différence ne vient presque jamais d’un seul outil magique, mais d’un ensemble de choses faites avant l’attaque : segmentation, sauvegardes hors ligne, exercices de crise, et une vraie culture de la remontée d’anomalies.
Ce que les entreprises du secteur peuvent en tirer aujourd’hui
Personne n’aime parler de ses incidents. Frisquet n’a pas communiqué publiquement sur les détails de la gestion de crise, et c’est assez classique. Mais les informations qui circulent suffisent à tirer des enseignements utiles.
D’abord, les données « secondaires » valent parfois plus que les gros fichiers de production. Les listes de tarifs, les fiches clients, les contacts internes : tout ça alimente des attaques suivantes ou de l’espionnage concurrentiel.
Ensuite, la détection compte autant que la réaction. Les groupes comme Qilin exploitent souvent des accès déjà compromis (identifiants volés via infostealers, par exemple) avant de déployer le ransomware. Surveiller les comportements inhabituels sur les comptes à privilèges et sur les systèmes connectés à l’extérieur reste une des mesures les plus efficaces.
Enfin, la reconstruction prend du temps si on n’a pas préparé le terrain. Avoir des backups propres, isolés et régulièrement testés, pouvoir isoler rapidement les segments réseau, et disposer d’une cellule de crise rodée font toute la différence entre « on redémarre dans la semaine » et « on met six mois à tout reconstruire ».
Frisquet, comme beaucoup d’industriels français de taille intermédiaire, gère des systèmes connectés (leur application FRISQUETCONNECT en est un exemple) et des chaînes de distribution qui reposent sur des données précises. Protéger tout ça n’est pas une question de budget illimité, mais de priorités claires et de constance dans l’exécution.
Au bout du compte, ces incidents rappellent une chose simple : dans l’industrie du chauffage comme ailleurs, la question n’est plus vraiment « est-ce qu’on va se faire attaquer ? ». C’est « quand ça arrivera, est-ce qu’on sera en mesure de limiter les dégâts et de continuer à livrer ? ». Les réponses se construisent bien avant que Qilin ou un autre groupe ne frappe à la porte.