La multinationale néerlandaise AkzoNobel a confirmé avoir subi une intrusion informatique dans le réseau de l'un de ses centres aux États-Unis, situation qui a attiré l'attention du secteur par le volume et la nature des données que le groupe derrière l'incident prétend avoir exfiltré. Selon les informations diffusées par les médias spécialisés, l'acteur responsable, connu sous le nom de groupe Anubis, a publié sur son site de fuites un échantillon de ce qui a été enlevé et prétend avoir obtenu autour de 170 Go et près de 170 000 fichiers y compris les contrats confidentiels avec les clients, le courrier privé, l'analyse des passeports et la documentation technique interne.
AkzoNobel, une société qui a une présence mondiale et des marques reconnues dans les peintures et les revêtements, a transmis que l'incident se trouvait dans une installation américaine spécifique et que les mesures de confinement ont été mises en œuvre pour en limiter la portée. L'entreprise s'assure que l'impact est réduit et qu'elle fait rapport et soutient les parties concernées en plus de coopérer avec les autorités compétentes, selon les déclarations recueillies par des moyens couvrant la cybersécurité. Dans sa déclaration, AkzoNobel n'a pas précisé si des négociations ont été engagées ou si des contacts ont été pris avec les agresseurs.
La pertinence de l'affaire réside non seulement dans l'ampleur du dumping allégué, mais aussi dans la composition des dossiers publiés: contrats avec des clients de premier plan, données de contact, correspondance interne et documentation sensible sur les matériaux et spécifications techniques. Cette combinaison fait de la filtration non seulement un risque pour la vie privée de certaines personnes, mais aussi un dommage possible à la réputation, au commerce et à l'exploitation de l'entreprise et de ses partenaires.
Le groupe Anubis, identifié ces derniers mois comme une opération de type "Ransomware-as@-@ a-service" (RaaS), a été introduit à la fin de 2024 en offrant à ses affiliés une majorité des renflouements accusés, et a depuis gagné en visibilité dans les forums de cybercriminalité. Les rapports sur leur évolution indiquent qu'en 2025, ils ont élargi leur programme d'affiliation et, plus récemment, ont incorporé des outils destructeurs - un essuie-glace qui efface les données - ce qui augmente le risque de perte irréversible d'information si un incident entraîne un sabotage et une infiltration. Pour ceux qui veulent approfondir l'origine et la tactique de cette menace, il y a des analyses publiques qui documentent son apparition et son évolution, comme celles publiées par des spécialistes du renseignement de la menace ( KELA) et le suivi dans les médias de sécurité informatique ( Calculateur).
Cet épisode rappelle que même les grandes organisations contrôlées ne sont pas à l'abri des campagnes ciblées. Lorsque les attaquants combinent l'exfiltration de données de masse avec des tactiques de pression et d'extorsion, la réponse exige des mesures techniques immédiates et une gestion coordonnée de la communication et de la conformité aux politiques. Le confinement à un seul site peut minimiser l'impact opérationnel, mais n'élimine pas le risque de divulgation publique de renseignements sensibles.
Pour les entreprises industrielles et manufacturières, les implications sont un certain nombre de: la divulgation de spécifications techniques ou de résultats d'essais peut éroder l'avantage concurrentiel; les données à caractère personnel exposées exigent l'activation de protocoles de notification aux autorités concernées et les fuites de contrats peuvent entraîner des litiges commerciaux. En outre, l'existence d'un essuie-glace dans l'arsenal de l'agresseur fait de la récupération un défi majeur si les copies de sauvegarde ne sont pas séparées, déconnectées et vérifiées.
Sur le plan plus général, des attaques comme celle-ci alimentent la pression réglementaire et accroissent la responsabilité des responsables de la sécurité. Des organismes comme l'Agence des États-Unis pour l'infrastructure et la cybersécurité fournissent des lignes directrices pratiques sur la prévention et l'intervention en cas de Ransomware qui sont utiles à toute organisation concernée par ces scénarios ( CISA - Lignes directrices sur les ransomwares).
Alors que certaines questions restent ouvertes - par exemple, la portée réelle des données engagées, s'il y a eu paiement de sauvetage ou si l'acteur a lancé plus de pièces d'information - l'affaire AkzoNobel illustre deux réalités du paysage actuel : d'une part, la professionnalisation et la spécialisation des bandes Ransomware opérant à travers les modèles RaaS ; d'autre part, la nécessité pour les entreprises de combiner des mesures techniques avec des plans de réponse et de communication pré-préparés. La cybersécurité, aujourd'hui, est à la fois une question de technologie et de processus et de relations avec les clients, les fournisseurs et les organismes de réglementation..
Pour les utilisateurs et les travailleurs associés à des entreprises potentiellement touchées, la recommandation habituelle est de maintenir une position vigilante : vérifier les communications officielles de l'entreprise, prendre des précautions avec des courriels inattendus demandant des informations et changer les mots de passe en cas de soupçon d'exposition. Pour les gestionnaires informatiques, l'apprentissage est clair : segmentation réseau, sauvegarde hors ligne, tests de récupération et surveillance constante restent les meilleures défenses contre la sophistication croissante des attaques.
L'épisode est encore en cours de développement et nous verrons probablement plus de détails dans les prochaines heures et les prochains jours. Entre-temps, ceux qui suivent ce cas peuvent trouver une couverture et des mises à jour dans les moyens de référence en cybersécurité et dans les canaux officiels de l'entreprise concernée; et pour comprendre la nature technique et organisationnelle de ce type de menace, il est utile de consulter les analyses spécialisées disponibles sur le réseau.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
Clé jaune L'échec BitLocker qui pourrait permettre à un attaquant de déverrouiller votre unité avec seulement un accès physique
Microsoft a publié une atténuation pour une vulnérabilité d'omission de sécurité BitLocker Clé jaune (CVE-2026-45585) après que son test de concept ait été divulgué publiquement...