Cyberattaque par le rançongiciel Qilin contre la PME Alu Perpignan : analyse et recommandations pour les DSI

En octobre 2025, Alu Perpignan – une PME d’Occitanie spécialisée dans les menuiseries en aluminium et PVC – a été victime d’une cyberattaque par le rançongiciel Qilin (ransomware). Ce groupe de hackers russes a chiffré les systèmes de l’entreprise et formulé une demande de rançon, menaçant de divulguer des données sensibles en cas de non-paiement.

Les conséquences ont été très lourdes pour Alu Perpignan. L’entreprise a dû cesser toute activité pendant trois semaines, ce qui a entraîné un manque à gagner estimé à trois mois de chiffre d’affaires. Cet exemple de cyberattaque sur une PME démontre que même les petites et moyennes entreprises peuvent être paralysées par un rançongiciel. Il souligne l’importance, pour les dirigeants et les DSI, de renforcer la protection cybersécurité de leur entreprise.

Retour sur la cyberattaque contre Alu Perpignan

La compromission a été révélée mi-octobre 2025 lorsque Qilin a ajouté Alu Perpignan à la liste de ses victimes sur son site clandestin (dark web). L’intrusion a paralysé les serveurs et postes de travail de la PME, rendant indisponibles les applications métiers et les données. Qilin a revendiqué l’attaque en indiquant détenir des informations sensibles (documents internes, données clients, etc.) et a menacé de publier l’intégralité des données volées si l’entreprise refusait d’entamer des négociations.

Face à cette situation, Alu Perpignan a dû stopper son activité afin de contenir l’attaque et de tenter de restaurer ses systèmes. Pendant trois semaines, la production est restée à l’arrêt, le temps pour l’équipe informatique de reconstruire l’infrastructure et de vérifier l’intégrité des données. Les clients et partenaires de la PME ont également subi des retards et des perturbations, illustrant l’effet domino qu’une telle cyberattaque peut provoquer sur l’ensemble de l’écosystème de l’entreprise.

Le groupe Qilin Ransomware : un gang de hackers à l’échelle mondiale

Qilin est un groupe de hackers d’origine russe, actif dans les cyberattaques depuis 2022. Il s’agit d’un gang de rançongiciel particulièrement virulent, avec plus de 800 victimes revendiquées à travers le monde depuis son apparition. Qilin a récemment multiplié les attaques en France. Début octobre 2025, il a notamment visé 80 % des lycées publics des Hauts-de-France, les mairies d’Elne et de Font-Romeu, ainsi que des entreprises privées dont Alu Perpignan.

La technique d’attaque de Qilin suit le modèle du « double extorsion » propre aux ransomware modernes. Le malware infiltre le réseau de la cible, chiffre les données critiques pour bloquer l’activité, et simultanément exfiltre un volume important d’informations sensibles. Les hackers exigent ensuite une rançon pour déchiffrer les fichiers et promettent de ne pas divulguer les données volées. Ce chantage à la divulgation rend la menace de Qilin d’autant plus redoutable, y compris pour une PME dont les informations commerciales ou clients pourraient se retrouver publiées en ligne.

Comme la plupart des groupes de rançongiciels, Qilin est motivé avant tout par l’argent. Les sommes exigées atteignent fréquemment plusieurs millions d’euros pour des grandes entreprises, mais les PME sont également visées car elles sont souvent moins bien protégées et plus susceptibles de payer pour sauver leur activité. Ce contexte rappelle que la sécurité informatique des PME doit être prise au sérieux : aucune entreprise n’est « trop petite » pour intéresser des cybercriminels.

Recommandations de sécurité informatique pour les DSI de PME

La recrudescence des attaques par rançongiciel doit inciter les DSI de PME à renforcer d’urgence leurs mesures de cybersécurité. Voici quelques recommandations prioritaires pour améliorer la sécurité informatique et réduire les risques :

• Sauvegardes régulières et isolées : Maintenez des sauvegardes fréquentes de vos données critiques et conservez-les hors ligne ou sur des supports non connectés au réseau. Des sauvegardes testées et isolées permettent une restauration rapide des systèmes sans avoir à payer de rançon.
• Mises à jour et correctifs : Appliquez rapidement les mises à jour logicielles et les correctifs de sécurité sur l’ensemble des serveurs, postes de travail et appareils. De nombreuses attaques de ransomware exploitent des failles connues pour s’introduire dans les systèmes non corrigés.
• Authentification forte (MFA) : Renforcez les contrôles d’accès en déployant l’authentification multi-facteur sur les comptes sensibles (administrateurs, accès distants, messageries, etc.). Des mots de passe robustes associés à une vérification en deux étapes compliquent la tâche des attaquants cherchant à voler des identifiants.
• Sensibilisation du personnel : Formez régulièrement les employés aux bonnes pratiques de cybersécurité et aux techniques de phishing. La vigilance de chaque utilisateur est essentielle : un clic imprudent sur une pièce jointe piégée ou un lien malveillant peut suffire à déclencher une infection par rançongiciel.
• Plan de réponse aux incidents : Élaborez un plan d’urgence en cas de cyberattaque, incluant des procédures de confinement, de reprise d’activité et de communication de crise. Prévoyez à l’avance qui contacter (prestataire en cybersécurité, ANSSI, forces de l’ordre) et comment maintenir l’activité si vos systèmes sont chiffrés.
• Surveillance et détection : Déployez des outils de sécurité (antivirus/EDR, sondes réseau, SIEM) pour détecter au plus tôt les activités suspectes et les intrusions. Une supervision proactive du système d’information aide à identifier une attaque en cours et à réagir avant qu’elle ne cause trop de dommages.

La cyberattaque subie par Alu Perpignan illustre la menace bien réelle que représentent les rançongiciels pour les PME. En adoptant ces mesures préventives et en restant vigilantes, les entreprises et leurs DSI peuvent réduire significativement les risques et limiter l’impact des éventuelles attaques à venir.