La bière, les voitures et les cyber-risques: Jaguar Land Rover et le brasseur japonais Asahi sont sous le choc des cyberattaques alors que les acteurs de la menace visent des perturbations généralisées.
Lorsque les cybercriminels peuvent fermer à la fois un constructeur automobile de luxe et un grand producteur de bière au cours du même mois, il est clair qu’aucun secteur n’est à l’abri des perturbations opérationnelles.
Jaguar Land Rover (JLR), maintenant soutenu par le financement du gouvernement d’urgence, se prépare à reprendre la production après ce qui a été appelé l’un des pires cyber-incidents du Royaume-Uni. Pendant ce temps, le brasseur japonais Asahi est aux prises avec un arrêt de production en raison d’une cyberattaque malveillante.
Les experts disent que l’objectif des attaquants n’est plus seulement de voler des données sensibles; Les acteurs de la menace visent la paralysie totale d’une entreprise, ce qui entraîne des conséquences tangibles et réelles.
« Ces incidents récents illustrent la façon dont les compromis de la chaîne d’approvisionnement sont désormais ciblés dans le secteur manufacturier critique avec un objectif explicite de fermer la production, les ventes ou la logistique jusqu’à ce que la victime cible paie ou des plis », a déclaré Erik Avakian, conseiller technique du groupe de recherche Info-Tech.
Protéger la chaîne d’approvisionnement «très impactée» de JLR
L’attaque contre JLR a commencé le 31 août, ce qui a incité l’entreprise à suspendre la production le lendemain (1er septembre). Des dizaines de milliers de travailleurs ont été temporairement licenciés en raison de l’attaque, et la société est estimée à perdre 50 millions de ₤ millions (67,3 millions de dollars) par semaine.
Le groupe de chasseurs de lapsus dispersés a revendiqué la responsabilité et aurait utilisé le phishing vocal (Vishing) pour inciter les employés à remettre les informations d’identification du système.
JLR est l’un des plus grands exportateurs du Royaume-Uni et exploite la plus grande chaîne d’approvisionnement du secteur automobile britannique, qui emploie environ 120 000 travailleurs.
La chaîne d’approvisionnement de la société a été «grandement touchée» par la fermeture, ce qui a incité le gouvernement britannique à flotter JLR 1,5 milliard de livres sterling (2 milliards de dollars) via une garantie de prêt. L’argent provient d’une banque commerciale, et JLR est tenu de le rembourser sur cinq ans. JLR a confirmé qu’il redémarrera la production de voitures dans les «prochains jours» grâce au coup de pouce financier.
«Cette cyberattaque n’était pas seulement une assaut contre une marque britannique emblématique, mais sur notre secteur automobile de pointe et les hommes et les femmes dont les moyens de subsistance en dépendent», a déclaré le secrétaire aux affaires et au commerce britannique Peter Kyle.
JLR dit qu’il continue de «travailler 24 heures sur 24 avec des spécialistes de la cybersécurité, le National Cyber Security Center (NCSC) du gouvernement britannique et les forces de l’ordre pour s’assurer que le redémarrage est achevé de« manière sûre et sûre ».
Les robinets ne coulent plus sur Asahi
Pendant ce temps, Asahi Group Holdings a annoncé cette semaine une «défaillance du système» causée par une cyberattaque. Le bière Brewer a suspendu les opérations de commande, d’expédition et de centre d’appels, y compris les bureaux de service à la clientèle, dans les sociétés de groupe au Japon.
Asahi a déclaré que, pour l’instant, il n’y avait «aucune fuite confirmée» d’informations personnelles ou de données clients. La société enquête activement sur la cause et travaille à restaurer les opérations, mais n’a pas de calendrier de récupération estimé.
Attaquant «Feeding Frenzy»
David Shipley de Beauceron Security a qualifié ces incidents de «symptômes» plutôt que des causes profondes, des tendances des cyber-risques dans la fabrication; Il s’agit essentiellement du «coût de la taxe sur la cybercriminalité mondiale» et c’est ce qui se passe lorsque les entreprises déclarent la «faillite de la cyber-défense», a-t-il déclaré.
Les dépenses informatiques et de sécurité sont coupées, ce qui a fait «tomber les résultats du tapis roulant de menace et les résultats des blessures», a-t-il déclaré. Les entreprises versent des investissements en capital dans l’automatisation pour se rendre plus compétitifs, mais cela les rend également encore plus vulnérables aux cyber-perturbations.
« Les défenses de ces organisations sont réduites au pire moment possible parce qu’elles ne peuvent pas se permettre de les maintenir », a-t-il déclaré. « Les acteurs de la menace voient l’opportunité de frapper ces organisations, et il y a un peu de frénésie alimentaire qui se produit maintenant car ils réalisent que de nombreuses entreprises sont dans la même situation que JLR. »
Roger Grimes, conseiller du CISO de la plate-forme de gestion des risques humains KnowBe4, a convenu qu’il y a un manque d’investissement en cybersécurité. « Après plus de trois décennies de regarder le piratage malveillant empirer, je ne peux même pas imaginer ce que » l’événement de point de basculement « devrait se produire pour que le monde se réveille et finalement mettre en œuvre une cybersécurité vraiment meilleure », a-t-il déclaré.
Les attaquants réussissent toujours avec des méthodes d’attaque courantes
Bien qu’Asahi n’ait pas encore révélé comment les attaquants ont pénétré ses systèmes, JLR a été victime d’une attaque de phishing éprouvée.
Les acteurs de la menace continuent d’utiliser le phishing et le phishing de lance simplement parce qu’ils fonctionnent, exploitant la psychologie et les erreurs humaines, a noté Avakian d’Info-Tech. Lorsque des commandes en couches ne sont pas en place, «Un clic sur une attachement malveillant est toujours tout ce qu’il faut pour un compromis réussi, sans que l’utilisateur ciblé ne sache ce qui s’est produit.»
« Les ransomwares peuvent être assez perturbateurs », a convenu Grimes de Knowbe4. Entre 70% et 90% des hacks réussis impliquent l’ingénierie sociale, a-t-il affirmé, mais les entreprises ne sont pas motivées à améliorer la cybersécurité et la gestion des risques humains.
Il en va de même pour le correctif; Google Mandiant a rapporté que les logiciels et le micrologiciel non corrigées sont impliqués dans 33% des hacks réussis (souvent mélangés à l’ingénierie sociale), a-t-il souligné, mais les entreprises ont encore des milliers d’éléments non corrigées sur les réseaux et les infrastructures critiques.
Les pirates continuent de se concentrer sur les VPN non corrigées, les dispositifs de sécurité du réseau et le middleware, et d’effectuer une escalade privilégiée via les modifications Active Directory, a noté Avakian. De plus, ils exploitent de plus en plus des compromis de la chaîne d’approvisionnement des logiciels tiers.
Une fois qu’ils ont obtenu un accès non autorisé, les attaquants peuvent cacher leur présence et couvrir leurs traces, et attendre patiemment «juste pour le bon moment» pour pénétrer davantage les systèmes. « Certains groupes sont assis pendant des semaines pour cartographier l’entreprise, garantissant une perturbation maximale », a-t-il déclaré.
Les entreprises ont besoin d’une approche multicouche
Les entreprises doivent adopter une approche robuste et multicouche des contrôles de sécurité, de la réponse et de la cyber-hygiène, et adopter la confiance zéro où l’accès est «isolé, surveillé et révocable», a déclaré Avakian. Map ERP, logistique, entrepôt et autres systèmes critiques, il a conseillé et applique des garanties comme la micro-segmentation, la gestion des utilisateurs privilégiés (PAM) et l’authentification multi-facteurs (MFA).
Un état d’esprit «supposer une violation» est essentiel; Cela signifie effectuer des exercices de table réguliers, une surveillance continue et une chasse aux menaces. La résilience signifie également examiner les plans de réponse aux incidents et les manuels de jeu et utiliser des sauvegardes à air, a déclaré Avakian.
« En fin de compte, les attaquants sont toujours en mesure de réussir car ils peuvent cibler les points d’étranglement dans les opérations commerciales et tirer parti des ransomwares / extorsions pour forcer des décisions commerciales rapides », a-t-il déclaré.
L’IA apporte encore plus de sophistication, a-t-il noté, permettant aux attaquants de travailler à une «vitesse et à l’échelle énormes», qu’il s’agisse de génération plus rapide de phisses, de numérisation ou de contrôle des tests de faiblesse.
En fait, Grimes estime qu’en 2026, presque tous les piratations seront compatibles AI. Les organisations doivent rencontrer des pirates sur ce gazon avec l’utilisation d’outils de cyber-défense AI-A-AI. « Les bons bots d’IA des bons acteurs contre les bots AI des mauvais acteurs, et les meilleurs algorithmes gagneront », a-t-il déclaré.
