Introduction : Le marché a changé. Et votre stratégie de récupération ?

Imaginez une entreprise manufacturière de taille moyenne un mardi matin tranquille. Un rançongiciel s'est introduit dans leur réseau depuis plusieurs jours, se déplaçant dans l'environnement. La propagation latérale a été dirigée vers leur stockage de sauvegarde et a été configurée pour corrompre les points de restauration les plus récents. Le rançongiciel commence maintenant à chiffrer leurs fichiers de sauvegarde et l'équipe informatique se précipite vers la console de restauration, pour se rendre compte qu'ils n'ont plus de solution de sauvegarde.

La sauvegarde « backdoor » était autrefois considérée comme une solution de secours infaillible. C'est le premier et unique élément de la stratégie de récupération à avoir échoué. Le fait le plus malheureux est que l'organisation en question avait des copies de sauvegarde, mais ces copies n'étaient pas résilientes.

Le paysage des menaces cybernétiques en 2026 sera encore plus méconnaissable qu'à l'époque où la plupart des stratégies de récupération en entreprise ont été élaborées. Les rançongiciels sont devenus des attaques sophistiquées à plusieurs étapes. Désormais, les attaquants se déplacent dans l'environnement avec l'intention de causer une destruction imprévisible aux systèmes de sauvegarde et l'attaque ne devient visible que lorsque les attaquants ont entièrement cartographié l'environnement.

Les conséquences financières d’un manque de préparation continuent d’être graves. Le rapport IBM sur le coût d’une atteinte à la confidentialité des données 2025 — s’appuyant sur les données de 600 organisations de différents secteurs — a révélé qu’en moyenne, une atteinte aux États-Unis coûte maintenant plus de 10 millions $, un sommet historique alimenté par les sanctions réglementaires et les délais de récupération prolongés. Deux tiers des organisations touchées par une faille étudiées étaient encore en cours de récupération active au moment de l’enquête d’IBM, la majorité nécessitant plus de 100 jours pour se stabiliser complètement. Le coût n’est pas seulement financier — il est aussi opérationnel, réputationnel et de plus en plus réglementaire.

D’ici 2028, Gartner prévoit que la moitié des RSSI se verront confier la responsabilité de la reprise après sinistre en plus de la réponse aux incidents — une expansion significative des mandats de la sécurité, signe d’un changement fondamental dans la façon dont les organisations pensent la continuité opérationnelle. Le message est clair : la récupération n’est plus une préoccupation informatique secondaire. Elle devient une responsabilité centrale du leadership en sécurité.

La question n’est plus de savoir si votre organisation sera ciblée. C’est de savoir si vous pouvez continuer à fonctionner lorsque cela se produira.

Le fossé croissant entre les copies de sauvegarde et la résilience

L’illusion de la préparation

Le rapport Veeam Ransomware Trends 2025 a révélé un détail particulièrement intéressant : à quel point les entreprises croient être prêtes par rapport à leur état de préparation réel. Ce rapport a sondé 1 300 entreprises à l’échelle mondiale. Presque tous les répondants croyaient être prêts face à une attaque potentielle. Cette croyance s'est rapidement dissipée après avoir subi une attaque. Le détail le plus intéressant de ce cas était la certitude des entreprises et les répercussions de cette conviction. Les entreprises croyaient être prêtes parce qu’elles avaient des plans et des outils en place, et partaient du principe que ces plans et outils avaient été testés et validés en situation réelle.

Le rapport a également indiqué que presque toutes les entreprises disposent de quelque forme de guide de réponse aux rançongiciels ; cependant, beaucoup n’y ont pas intégré les contrôles opérationnels fondamentaux. Des exemples de tels contrôles incluent la vérification des copies de sauvegarde ou la désignation des chaînes de commandement pour les réponses. Un guide de réponse non testé n’offre pas de capacité de réponse, mais plutôt un sentiment de confort.

Quand les copies de sauvegarde deviennent la cible

Les systèmes de sauvegarde traditionnels étaient conçus pour résoudre un nombre limité de problèmes (ex. : erreur humaine, panne matérielle, force majeure). Aucun plan ne prévoyait de concevoir les systèmes de sauvegarde pour répondre à la question la plus pressante lors d'une cyberattaque en cours : ai-je un point de restauration sûr vers lequel restaurer sans compromettre le système et en fournissant un point de récupération sans logiciel malveillant ?

Les attaques de rançongiciels modernes sont conçues pour exploiter la faille structurelle des systèmes de sauvegarde. Avant de chiffrer un système, les rançongiciels neutralisent les systèmes de sauvegarde modernes en supprimant les copies d’ombre, en détruisant les données de catalogue et en faisant en sorte que le point de restauration le plus propre soit le plus ancien. Selon les recherches de Sophos, les organisations ayant subi les récupérations les plus coûteuses suite à une cyberattaque étaient celles dont les systèmes de sauvegarde avaient été compromis. Si un système de sauvegarde est compromis pendant une attaque, la récupération coûtera plus cher. Le facteur le plus important aux résultats d’un incident informatique est l’intégrité du système de récupération.

La capacité à se remettre d'une cyberattaque s’améliore, et c’est une conclusion raisonnable. Au cours des dernières années, plus d’organisations se sont remises d’attaques de rançongiciel plus rapidement qu'auparavant. Malheureusement, les résultats de récupération ne s’améliorent pas pour tous. Selon Veeam, seules quelques organisations ayant subi une cyberattaque l’an dernier ont récupéré la majorité de leurs données. Pour la plupart, cette proportion est inférieure à la moitié. Les différences de résultats entre les organisations les plus avancées et les moins avancées ne sont pas dues au budget. Elles proviennent d’architectures de récupération différentes et de niveaux variés de validation et de planification des systèmes de récupération.

Contourner les copies de sauvegarde : une nouvelle menace

Les opérations d’extorsion pure représentent un nouveau type d’attaque qu’il est impossible de contrer simplement par l’ajout de copies de sauvegarde. On observe une augmentation des cyberattaques où, au lieu de chiffrer les systèmes, les cybercriminels volent des données sensibles et menacent de les divulguer publiquement. Dans ce contexte, la présence ou non de systèmes de sauvegarde importe peu. La capacité d’une organisation à résister à de telles attaques dépend de la gestion des données et des accès ainsi que de la capacité à prouver que les risques liés à l’exposition des données sont effectivement maîtrisés. Il s’agit d’une lacune majeure dans la façon dont la plupart des organisations définissent la portée de leur protection, et les systèmes de sauvegarde traditionnels n’ont jamais été conçus pour combler cette lacune.

Adopter une approche de récupération axée sur la résilience

Les entreprises qui réagissent le plus rapidement aux cyberattaques partagent une caractéristique fondamentale : elles considèrent l’organisation comme une fonction continue conçue pour l’issue d’un événement, plutôt que comme un projet informatique temporaire. Un ensemble de comportements communs distingue les organisations résilientes de celles qui sont prises au dépourvu.

1. De la couverture à l’assurance

   La couverture de la sauvegarde a traditionnellement été évaluée comme le pourcentage de systèmes ayant des copies de sauvegarde. Ce qui importe vraiment à cet égard est l’assurance : la capacité de restaurer une charge de travail non infectée, dans une fonction opérationnelle critique, à l’intérieur de la période impartie. Cela exige un haut niveau de validation continue. La différence entre un bon système de sauvegarde et un système de restauration réside dans la capacité à effectuer des restaurations de test, à procéder à des analyses d’anomalies et à documenter le processus. Selon les recherches de Veeam, cette pratique, couramment appelée vérification de sauvegarde, est probablement le facteur distinctif le plus important entre les organisations ayant réussi une récupération après un incident et celles qui n’y sont pas parvenues.

2. Options architecturales pour l’immuabilité et l’isolement

   Les opérateurs de rançongiciels ont une approche systématique pour cibler les systèmes de sauvegarde. Par conséquent, la seule solution à cette problématique architecturale est de disposer d’au moins une copie des données critiques entièrement intouchable. Cela signifie qu’aucun processus connecté à un réseau ne peut modifier, supprimer ou re-chiffrer les données, assurant ainsi un niveau d’isolation (“air gap”) et d’immuabilité. Ce système de stockage fait passer le calcul de la restauration de la question précédente “Reste-t-il des données à récupérer ?” à “À quelle vitesse pouvons-nous récupérer ?” Il est préférable de pouvoir répondre à cette dernière question lors d’une crise.

3. Portez l’accent sur la restauration en environnement stérile (“clean-room”)

   Une sauvegarde restaurée qui est « propre » et exempte de logiciels malveillants se distingue d’une restauration sécuritaire. L’infrastructure peut contenir des traces cachées de logiciels malveillants après une attaque. Il existe de graves risques associés à la restauration d’une sauvegarde de données sur un système actif. Ce système sert à éliminer les menaces et est utilisé sans vérification préalable de la sauvegarde dans un environnement intermédiaire dédié à la quarantaine. Après avoir mené leur sondage de 2025, seulement un tiers des participants, Veeam, ont confirmé avoir utilisé ce type d’environnement de quarantaine. À la lumière de cette constatation, on peut supposer que la majorité réintégrait sans le savoir des données infectées dans les environnements de production. La restauration en environnement stérile est une nécessité pour les petites organisations qui luttent pour leur survie, pas seulement une fonctionnalité réservée aux grandes entreprises.

4. Cartographiez les dépendances avant d’en avoir besoin

   Sans une compréhension préalable des dépendances entre les applications et les systèmes ainsi que de l’ordre de restauration requis, l’équipe de récupération doit prendre des décisions critiques sous pression et avec une connaissance partielle. La cartographie des dépendances, jumelée à l’identification des éléments essentiels (“crown jewels”), permet de prioriser les charges de travail critiques et la validation de la restauration se fait avant l’incident. Ce niveau de gestion de la reprise confirme le lien entre la restauration TI et la gouvernance de gestion de crise du Conseil. Lorsqu’on demande ce que fait l’organisation pour gérer le risque et demeurer opérationnelle, la réponse devrait provenir d’un guide établi et non d’une improvisation décidée au cas par cas.

5. Testez le plan jusqu’à ce qu’il devienne un réflexe

   Le rapport d’IBM sur le coût d’une fuite de données 2025 indique que les organisations ayant des plans d’intervention en cas d’incident de bout en bout testent chaque phase de leurs plans d’intervention. Ces organisations économisent beaucoup plus par incident que celles qui n’ont pas de plan. L’IA et l’automatisation dans le domaine de la sécurité accélèrent les temps de réponse et réduisent les coûts. La reprise et le retour aux activités lors d’une crise, avec un plan bien connu et pratiqué, représentent l’un des investissements les plus justifiables dans le domaine de la cybersécurité.

La dimension réglementaire est ici

Les implications opérationnelles de la préparation à la reprise sont désormais devenues des implications réglementaires. Le Règlement européen sur la résilience opérationnelle numérique (DORA) exige des tests de résilience opérationnelle, des délais de réponse aux incidents et l’imposition de contrôles pour les risques présentés par des tiers, tandis que la Directive NIS2 étend ces mêmes exigences aux opérateurs de services essentiels et autres infrastructures critiques. Les règles de divulgation des cyberincidents de la SEC en Amérique du Nord ont fait grimper les attentes en matière de matérialité, et la déclaration des incidents devient encore plus prescriptive. L’incapacité à assurer la reprise et le cadre de gouvernance correspondant exposent une organisation à des risques accrus et garantissent une intervention réglementaire.

Conclusion :

La cyberrésilience, plutôt que d’être perçue comme un simple achat ou une exigence de conformité, représente un changement de mentalité opérationnelle pour une organisation. La cyberrésilience nécessite un cadre intentionnel (une architecture), un élément culturel et la priorisation de la reprise, avec une pratique continue et cohérente qui s’intègre aisément à la position stratégique de l’organisation. Les recherches pour 2025 et 2026 mènent à des conclusions similaires : les organisations qui demeureront intactes après un incident cybernétique sont celles qui se préparent activement à la reprise.

Chez HCLTech, notre portfolio de résilience des données repose sur un principe similaire. VaultNXT constitue la base du coffre cybernétique immuable et déconnecté. Il fournit un environnement séparé avec le modèle Zéro confiance et une détection continue des anomalies propulsée par l’IA. VaultNXT garantit que, peu importe l’état de l’environnement, une copie des données critiques, isolée et juridiquement propre, soit toujours disponible. L’environnement est conçu pour résister aux comportements de ciblage des sauvegardes adoptés par les ransomwares modernes.

RecoverNXT répond à l’autre moitié de l’équation : restauration orchestrée dans un environnement sécurisé. Elle fait passer les organisations de « nous avons une copie propre » à « les activités sont rétablies », au moyen de processus automatisés, de cartes de dépendances prévalidées et de procédures de reprise éprouvées. Ce processus est pratiqué à l’avance plutôt que créé à la volée. Les deux solutions ensemble répondent au Cadre de cybersécurité du NIST et aux exigences de résilience opérationnelle de DORA, les rendant prêtes pour les audits dans le cadre du resserrement réglementaire qui affectera les équipes de sécurité des entreprises en 2026.

L’écart entre la possession de sauvegardes et la réelle résilience est réel, mesurable et peut être comblé. Les données sont claires. Les pratiques sont établies. L’architecture est disponible. La seule question qui demeure est de savoir si les organisations souhaitent combler cet écart de façon proactive ou en découvrir toute l’ampleur au moment le plus inopportun.

Références

1. Veeam — Rapport sur les tendances de la rançongiciel 2025 et stratégies proactives (avril 2025)
2. Sophos — État du rançongiciel dans l’entreprise 2025 (janvier 2026)
3. IBM — Rapport sur le coût d’une violation de données 2025 (IBM Salle de presse, juillet 2025)
4. Gartner — Principales tendances en cybersécurité pour 2026 (Salle de presse Gartner, février 2026)
5. Gartner — Prédictions 2026 : le programme de cybersécurité devient cyberrésilience (via Bitsight, décembre 2025)
6. HCLTech — Cyberrésilience pour vos données (VaultNXT + RecoverNXT)