kwarkot-stockadobe.com

Actualites

ESN : Partitio victime d’une cyberattaque

L’entreprise de services numériques toulousaine a été victime d’une cyberattaque impliquant l’enseigne de rançongiciel INC Ransom. L’incident semble remonter à la fin septembre.

Valéry Rieß-Marchive
par
Publié le: 31 oct. 2025

Partitio, c’est une ESN toulousaine, filiale de Konica Minolta Business France depuis mars 2023. Elle propose un large éventail de services, de la gestion de contenus au cloud privé en passant par l’hébergement de données de santé (HDS). Parmi ses clients, selon son site Web, on compte notamment l’aéroport Toulouse-Blagnac et le Bureau de Normalisation de l’Aéronautique et de l’Espace (BNAE).

Le 27 octobre, la revendication d’une cyberattaque à l’encontre de Partitio est apparue sur le site vitrine de l’enseigne mafieuse INC Ransom, illustrations à l’appui. Certaines confortent l’allégation, suggérant que des données de l’ESN ont effectivement été volées.

L’impact, sur les services fournis par Partitio, apparaît limité, selon nos observations.

Dans une déclaration adressée à la rédaction par le service de presse de Konica-Minolta Business France, Jean-Charles Ferrand, président de Partitio, reconnaît la survenue de l’attaque : « l’incident que vous évoquez fait actuellement l’objet d’analyses techniques approfondies. Partitio a immédiatement pris les mesures nécessaires et coopère avec les autorités compétentes ». Et de préciser que « nos collaborateurs et clients ont bien entendu été informés à travers des communications complètes et individualisées. Nous ne communiquerons pas davantage à ce stade. »

Les cyberattaques affectant les fournisseurs de services numériques ont parfois un impact considérable sur leurs clients. Ce fut récemment le cas de celle ayant touché RTX, filiale de Collins Aerospace. Revendiquée par Everest, elle a affecté le trafic de plusieurs aéroports en Europe fin septembre.

Fin août, des centaines de collectivités suédoises ont été affectées par une autre attaque, contre l’ESN Miljödata, revendiquée par Datacarry. Linedata l’avait précédé de quelques semaines. Avant cela, en France, il avait fallu compter avec Harvest et AAA Data. Fin 2024, Ecritel avait également fait l’objet d’une cyberattaque, menée par Hunters International. Quelques mois plus tôt, c’était Synertrade.

L’ESN, ce point de défaillance unique

L’année 2023 avait été une année noire pour les ESN, avec de nombreux incidents à l’impact considérable, en France, en Allemagne, en Italie, au Royaume-Uni, et au-delà.

La criticité des ESN n’est ni nouvelle ni inconnue. Fin juillet dernier 2022, Trellix soulignait la menace pesant sur les ESN. Deux semaines plus tôt, l’Américain SHI International confirmait avoir été touché par une cyberattaque « professionnelle avec maliciel », sans fournir plus de détails. Avant cela, des attaques contre Integrate Informatik AG, Adapt IT, Syredis, ou encore Datalit avaient été revendiquées sur les sites vitrine de diverses franchises de ransomware.  

Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’année précédente, contre 4 en 2020.

Et l’Anssi de souligner alors « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas étaient connus publiquement pour 2021 : Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures (Inetum), ou encore Xefi (du moins selon l’un de ses clients et les allégations d’Everest et ce que suggèrent les données divulguées par le groupe début octobre 2021).

Que sait-on de INC Ransom ?

L’enseigne INC Ransom est suivie depuis août 2023, avec plus de 500 victimes connues à ce jour. Elle constitue une triade, avec Lynx et Safepay. L’enseigne Lynx est suivie de juillet 2024, avec 340 victimes connues, et Safepay depuis l’automne suivant, avec près de 340 victimes connues également. Mais ses premières victimes remonteraient en fait à août 2024.

L’activité cumulée de cette triade depuis le début de l’année la place dans le trio de tête des enseignes mafieuses du ransomware, avec Akira et Qilin, devant Play.

Lors des négociations, il apparaît possible de demander aux affidés d’INC d’accéder à une liste de l’ensemble des données volées lors de la cyberattaque, pour choisir « trois fichiers sans importance » qui seront retournés à titre de preuve de leur extraction. En cas de paiement, INC promet une assistance complète au déchiffrement, une trace de suppression des données, un « rapport de sécurité », « notre parole que nous ne vous attaquerons pas à l’avenir », et « notre parole de ne rien divulguer à votre propos ».

De son côté, l’enseigne Safepay fournit fréquemment une liste des fichiers volés pour accompagner ses revendications. Avec Lynx, cette liste est publiée avec les données des victimes, mais pas systématiquement : cela apparaît dépendre des affidés.

Enfin, il apparaît possible de négocier des niveaux de service différents avec INC, en ne demandant par exemple que l’outil de déchiffrement, ou que la suppression des données volées. Selon nos informations, les rançons demandées sont régulièrement de l’ordre de quelques centaines de milliers de dollars.

Pour approfondir sur Menaces, Ransomwares, DDoS