🧨 Breaking news (qu’ils auraient préféré ne jamais publier)
Le groupe de presse américain Lee Enterprises, propriétaire de plus de 70 journaux locaux aux États-Unis, a subi en février 2025 une attaque par ransomware. Trois mois plus tard — oui, trois mois, ce n’est pas une coquille — la société reconnaît publiquement que 39 000 personnes ont vu leurs données personnelles siphonnées : noms, adresses, numéros de sécurité sociale, dates de naissance… autant dire la trousse complète de l’usurpation d’identité.
Rappelons que Lee Enterprises, ce n’est pas juste le petit journal du coin. C’est un acteur majeur du paysage médiatique local, particulièrement implanté dans les États du Midwest américain. Ironie du sort : en 2023, ils publiaient encore des articles sur « les risques croissants de cyberattaques contre les PME locales ». Spoiler : ils auraient peut-être dû s’abonner à leur propre fil d’actualité.
🔎 Récap technique : anatomie d’un plantage à la Lee
Quand ?
L’incident date de février 2025, mais l’entreprise n’a commencé à notifier les victimes qu’en mai. Pourquoi ce délai ? Aucune explication convaincante à ce jour, hormis le bon vieux « l’enquête est en cours ». Autant dire qu’on est plus proche de la dissimulation passive que de la transparence proactive.
Comment ?
Peu d’informations techniques filtrent sur le vecteur d’attaque, mais on peut raisonnablement supposer une compromission initiale via phishing ou RDP mal protégé (un classique des ransomware gangs). Une fois dans la place, les attaquants ont déployé un ransomware encore non identifié publiquement, avec exfiltration préalable des données.
Quoi ?
Les données touchées : des informations personnelles sensibles, visiblement extraites de systèmes RH ou comptables internes. Rien ne confirme encore que des comptes clients ou données bancaires soient concernées… mais à ce stade, on ne miserait pas notre crypto sur leur parole.
🎯 Quand la presse oublie de relire sa propre politique de sécurité
Ce n’est pas la première fois que nous dénonçons dans SecuSlice l’état souvent calamiteux de la cybersécurité dans des secteurs jugés « non prioritaires » comme la presse ou l’éducation. Dans notre article sur les fuites de données critiques, nous pointions déjà le sous-investissement chronique en cybersécurité des acteurs « non-tech » — pourtant ultra-dépendants du numérique pour leur simple survie.
Les journaux papier ?
Ils ont peut-être une odeur nostalgique, mais ce sont bien les serveurs de paie, les outils RH en SaaS et les solutions de CRM en ligne qui font tourner la boutique. Et ceux-là sont souvent protégés avec autant de rigueur qu’un mot de passe “1234”.
🧰 Conseils techniques pour éviter de devenir la Une
🧱 Segmentation réseau :
Isoler les environnements RH et financiers dans des VLAN séparés, interdire les connexions sortantes inutiles, surveiller les flux inter-VLAN. Basique ? Oui. Fait ? Trop rarement.
🔐 MFA obligatoire :
Si l’attaque est passée par une session RDP exposée ou un compte VPN, l’absence de MFA est une faute professionnelle. Mettez du MFA partout. Point.
🎯 EDR / XDR :
Les outils modernes d’analyse comportementale auraient pu détecter une exfiltration massive ou une élévation anormale de privilèges. Là encore, pas cher payé comparé au coût d’un ransomware médiatique.
🛟 Et surtout : Plan de réponse à incident
Lee Enterprises a mis trois mois à réagir. Est-ce que cela vous semble rapide dans le contexte actuel ? Spoiler : non. Un vrai plan de gestion de crise, testé régulièrement, aurait permis d’informer plus vite, de contenir mieux, et de ne pas finir dans les colonnes cybersécurité du jour.
⚖️ Conséquences légales en vue ?
Même si Lee Enterprises n’est pas directement soumis au RGPD, les lois américaines comme le CCPA (en Californie) ou le Colorado Privacy Act imposent des obligations similaires de notification rapide. Avec ce retard, des sanctions pourraient tomber, sans compter les recours collectifs qui risquent déjà de fleurir — comme les mauvaises nouvelles en période électorale.
🎙️ Conclusion SecuSlice : Un journal local, une fuite globale
Ce n’est pas juste une histoire de ransomware de plus. C’est un exemple flagrant d’inertie, d’opacité, et de gestion de crise médiocre dans un secteur qui pensait, à tort, être à l’abri. La presse est-elle prête pour la cyberdéfense ? Pas si elle continue à prioriser l’impression papier sur la protection de ses systèmes d’information.
À ce rythme-là, la prochaine Une de leurs journaux pourrait bien titrer :
« Les pirates nous lisent plus que nos abonnés. »
🕵️♂️ L’essentiel :
Le géant américain de la presse Lee Enterprises, éditeur de dizaines de journaux locaux aux États-Unis, a confirmé qu’une attaque par ransomware survenue en février 2025 a entraîné le vol de données personnelles concernant 39 000 personnes. Parmi les informations compromises : noms, dates de naissance, numéros de sécurité sociale et adresses — bref, le starter pack du parfait usurpateur d’identité.
📅 Retour sur les faits :
Le piratage n’a été découvert qu’après que des fichiers sensibles ont commencé à circuler sur le dark web. L’enquête a révélé que l’attaque avait visé des serveurs internes via un ransomware non précisé. L’entreprise a mis plus de trois mois à notifier les victimes, ce qui ne manquera pas de soulever quelques sourcils du côté des régulateurs.
🔍 Pourquoi c’est grave ?
- Exfiltration confirmée : Ce n’est pas qu’un chiffrement, les données ont bien été volées.
- Ciblage de l’infra RH : Le point d’entrée reste flou, mais les données concernées sont typiquement hébergées dans des systèmes de gestion RH ou comptables.
- Retard de notification : Trois mois pour notifier une fuite aussi sensible ? La course à la transparence semble avoir un faux départ.
💡 Leçon pour les DSI :
- Segmenter les accès aux bases sensibles, notamment les bases RH ou clients.
- Surveiller les mouvements latéraux dans les SI avec des solutions EDR ou XDR.
- Anticiper la crise médiatique : préparer un plan de communication pour éviter le syndrome « on l’a appris dans la presse ».
⚖️ Et côté conformité ?
Avec le CCPA en Californie ou le RGPD en Europe, un tel incident aurait des conséquences juridiques immédiates. Même si Lee Enterprises opère majoritairement aux États-Unis, la tendance mondiale est au durcissement réglementaire. Les amendes pourraient suivre… mais bien après l’indignation publique.
🎙️ Verdict SecuSlice :
Encore une entreprise qui découvre que le journalisme, c’est aussi savoir gérer ses propres titres… surtout quand ils parlent de vous. La cybersécurité dans le secteur de la presse, souvent sous-financé, est désormais une priorité absolue. Car entre le papier et le ransomware, le second brûle bien plus vite.
