Cyberattaque par chaîne d'approvisionnement chez Toyota Kojima Industries (2022)

Une attaque contre Kojima Industries, fournisseur de pièces plastiques et électroniques de Toyota, a paralysé un seul serveur, suffisant pour stopper la production de l'ensemble des 14 usines japonaises de Toyota — environ 13 000 véhicules par jour — faisant de cet épisode l'exemple canonique de la fragilité cyber de la production en juste-à-temps.

Au matin du 1er mars 2022, Toyota — le premier constructeur automobile mondial — a stoppé la production dans chacune de ses 14 usines japonaises, supprimant environ 13 000 véhicules de production quotidienne, ainsi que les opérations chez ses affiliés Hino Motors et Daihatsu. La cause n'était pas une attaque contre Toyota elle-même : il s'agissait d'une cyberattaque contre Kojima Industries, un unique fournisseur de rang 1 qui fournit des pièces plastiques et des composants électroniques.

Ce qui s'est passé

Kojima Industries a détecté une anomalie sur l'un de ses serveurs de fichiers le samedi 26 février 2022. Après un redémarrage, l'entreprise a trouvé le serveur infecté par un logiciel malveillant et un message de menace laissé par les attaquants — la signature typique d'une intrusion par rançongiciel. Kojima a isolé ses systèmes pour enquêter.

Dès le mardi, la perturbation des systèmes de commande et d'expédition de Kojima était suffisamment grave pour ne plus pouvoir alimenter en pièces la chaîne d'assemblage juste-à-temps réputée si précise de Toyota. Toyota a alors choisi la seule option disponible pour un industriel JIT privé d'un composant : arrêter les lignes d'assemblage.

Aucune information publique n'était disponible quant à l'acteur ou au mobile. L'attaque est survenue juste après que le Japon a rejoint les sanctions occidentales contre la Russie au sujet de l'Ukraine, alimentant les spéculations sur une éventuelle origine étatique, mais aucune attribution n'a jamais été confirmée.

Impact

Les 14 usines japonaises de Toyota à l'arrêt pendant une journée entière ; les affiliés Hino et Daihatsu également touchés.
Environ 13 000 véhicules de production quotidienne perdus.
Kojima Industries a eu besoin d'une à deux semaines pour rétablir entièrement ses systèmes.
Déclenchement de revues à l'échelle du secteur au Japon sur les exigences d'audit cybersécurité des fournisseurs.

Pourquoi cela compte

La production en juste-à-temps repose sur l'hypothèse que chaque fournisseur peut livrer chaque pièce dans les délais. Kojima Industries est devenu l'exemple canonique de ce qui se passe lorsque cette hypothèse tombe : l'ensemble du réseau industriel en aval dépend de la cyber-résilience de chaque fournisseur de rang 1, aussi minime que soit la pièce. Toyota a réagi par un programme pluriannuel de cybersécurité des fournisseurs qui est depuis devenu une référence pour l'industrie automobile.

Chronologie

26 février 2022

Kojima Industries détecte une anomalie sur l'un de ses serveurs de fichiers ; au redémarrage, l'infection virale est confirmée et un message de menace est retrouvé.

1 mars 2022

Toyota interrompt l'activité de l'ensemble de ses 14 usines japonaises — ainsi que celle des affiliés Hino Motors et Daihatsu — affectant environ 13 000 véhicules de production quotidienne.

2 mars 2022

Toyota redémarre la production nationale après une journée complète d'arrêt.

1 mars 2022

Toyota et Kojima Industries annoncent qu'il faudra « une semaine ou deux » pour rétablir totalement les systèmes de Kojima.

Sources

cnn.comhttps://www.cnn.com/2022/03/01/business/toyota-japan-cyberattack-production-restarts-intl-hnk

npr.orghttps://www.npr.org/2022/02/28/1083550554/toyota-stops-production-in-japan-after-a-cyberattack-hits-one-of-its-suppliers

toyotatimes.jphttps://toyotatimes.jp/en/newscast/008.html

malwarebytes.comhttps://www.malwarebytes.com/blog/news/2022/03/toyotas-just-in-time-manufacturing-faced-with-disruptive-cyberattack

Incidents liés

RançongicielContenu29 septembre 2025

Rançongiciel Qilin chez Asahi Group Holdings (2025)

Les opérateurs du rançongiciel Qilin ont chiffré des serveurs dans les centres de données japonais d'Asahi, paralysant les commandes, les expéditions et la production dans 30 usines, exfiltrant 27 Go de données internes et exposant les informations personnelles d'environ 1,5 million de clients, employés et contacts.

Victim: Asahi Group Holdings
Loss: $31.4M
Records: 1.5M

RançongicielContenu1 août 2022

Rançongiciel LockBit contre Continental AG (Allemagne, 2022)

Les opérateurs de LockBit ont infiltré certaines parties des systèmes informatiques du géant allemand des équipements automobiles Continental AG en août 2022. Une mise sous contrôle a d'abord été annoncée, mais en novembre, le groupe a mis 40 téraoctets de données volées de Continental sur son site de fuite du dark web, proposés à la vente ou à la destruction pour 50 millions de dollars.

Victim: Continental AG

RançongicielContenu13 mai 2026

Fuite par rançongiciel Nitrogen chez Foxconn (2026)

Le groupe de rançongiciel Nitrogen a affirmé sur son site de fuite du dark web avoir volé plus de 11 millions de fichiers dans les installations nord-américaines de Foxconn, dont des informations confidentielles appartenant aux clients Apple, Dell, Google, Intel, Nvidia et Sony. Foxconn a déclaré que les usines concernées reprenaient une production normale.

Victim: Foxconn (Hon Hai Precision Industry)

RançongicielEn cours5 avril 2026

Aircos Pascual (Anjac) : ransomware en cours du groupe TheGentlemen après une cyberattaque

Le fabricant français de cosmétiques Aircos Pascual, filiale du groupe Anjac, est visé par une cyberattaque de type ransomware revendiquée par le groupe

Victim: Aircos Pascual (Anjac)