Au-delà des sauvegardes : Renforcer la cyberrésilience pour l’entreprise moderne

Explore pourquoi les sauvegardes seules ne suffisent pas et comment les entreprises peuvent renforcer leur cyberrésilience grâce à des coffres immuables, une récupération en environnement isolé et des plans de réponse testés.
5 min de lecture
Durva Malik
Durva Malik
Directeur(trice) adjoint(e), Groupe de gestion des produits, HCLTech
5 min de lecture
Au-delà des sauvegardes : renforcer la cybersécurité pour l’entreprise moderne

Introduction : Le marché a changé. Qu'en est-il de votre stratégie de reprise ?

Imaginez une entreprise manufacturière de taille moyenne un calme mardi matin. Un rançongiciel s’est infiltré dans leur réseau depuis plusieurs jours, se déplaçant dans l’environnement. Sa propagation latérale a été dirigée vers leur stockage de sauvegarde et a été paramétrée pour compromettre les plus récents points de restauration. Le rançongiciel commence maintenant à chiffrer leurs fichiers de sauvegarde et l’équipe TI se précipite vers la console de restauration, pour se rendre compte qu’elle n’a plus de solution de sauvegarde.

La sauvegarde « backdoor » était autrefois considérée comme une sécurité infaillible. C’est le premier – et le seul – élément de la stratégie de reprise à avoir échoué. Le plus triste dans tout cela : l'organisation en question disposait de sauvegardes, mais ces sauvegardes n’étaient pas résilientes.

Le paysage des cybermenaces de 2026 sera encore plus méconnaissable qu’à l’époque où la plupart des stratégies de récupération d’entreprise ont été élaborées. Les rançongiciels sont devenus des attaques sophistiquées à plusieurs phases. Aujourd’hui, les attaquants se déplacent dans l’environnement avec l’intention de causer des dommages non repérés aux systèmes de sauvegarde, et l’attaque ne devient visible que lorsque les attaquants ont complètement cartographié l’environnement.

Les conséquences financières d’une préparation insuffisante restent sévères. Selon le rapport IBM « Coût d’une violation de données » 2025 — s’appuyant sur des données de 600 organisations dans différents secteurs — la violation moyenne aux États-Unis coûte désormais plus de 10 millions $, atteignant un sommet historique, aggravé par les sanctions réglementaires et l’allongement des délais de rétablissement. Deux tiers des organisations victimes d’une brèche dans l’étude étaient encore activement en rétablissement au moment de l’enquête d’IBM, la plupart ayant besoin de plus de 100 jours pour rétablir la pleine stabilité. Le coût n’est pas seulement financier : il est aussi opérationnel, réputationnel et de plus en plus réglementaire.

D’ici 2028, Gartner prévoit que la moitié des CISO se verront confier la responsabilité de la relève des activités en plus de la gestion des incidents – une expansion significative du mandat de la sécurité qui signale un changement fondamental dans la façon dont les organisations conçoivent la continuité opérationnelle. Le message est clair : la relève n’est plus un enjeu secondaire de TI. Elle devient une responsabilité centrale des responsables de la sécurité.

qute-color

La question n’est plus de savoir si votre organisation sera ciblée. Il s’agit maintenant de savoir si vous pourrez continuer d’opérer lorsqu’elle le sera.»

Le fossé grandissant entre sauvegardes et résilience

L’illusion de la préparation

Le rapport Veeam sur les tendances en matière de rançongiciels 2025 a mis au jour un détail particulièrement intéressant : comment les entreprises pensent être préparées et comment elles le sont vraiment. Ce rapport a sondé 1 300 entreprises à l’échelle mondiale. Presque tous les répondants pensaient être prêts à faire face à d’éventuelles attaques. Cette conviction a vite changé après avoir vécu une attaque. Ce qui est le plus intéressant dans ce cas, c’est la croyance des entreprises et les répercussions de cette croyance. Les entreprises estimaient être prêtes parce qu’elles avaient mis en place des plans et outils et supposaient que ceux-ci avaient été testés et validés, en conditions réelles.

Le rapport a également révélé que presque toutes les entreprises disposent d’un guide de réponse aux rançongiciels, mais que plusieurs n’y ont pas intégré les contrôles opérationnels de base. Par exemple, la vérification des sauvegardes ou la définition d’une chaîne de commandement pour la réponse. Un guide de réponse non testé n’est pas une capacité de réponse ; c’est plutôt un confort de réponse.

Quand les sauvegardes deviennent la cible

Les systèmes de sauvegarde traditionnels étaient conçus pour régler un nombre limité de problèmes (p. ex. : erreur humaine, bris matériel, actes de Dieu). Rarement a-t-on prévu de concevoir des systèmes de sauvegarde pouvant répondre à la question la plus pressante lors d'une cyberattaque en cours : ai-je un point de restauration sûr vers lequel restaurer sans compromettre le système en offrant un point de restauration sans logiciel malveillant ?

Les attaques de rançongiciel modernes sont conçues pour exploiter la faille architecturale des systèmes de sauvegarde. Avant de chiffrer un système, les rançongiciels neutralisent les systèmes de sauvegarde modernes en supprimant les copies fantômes, détruisant les catalogues de données et en s’assurant que le point de restauration le plus propre est le plus ancien. Selon les recherches de Sophos, les organisations ayant connu les récupérations les plus coûteuses à la suite d’une cyberattaque étaient celles dont les systèmes de sauvegarde avaient été compromis. Si un système de sauvegarde est compromis pendant une cyberattaque, la reprise coûtera plus cher. Le facteur le plus important pour déterminer l’issue d’un incident cybernétique est l’intégrité du système de reprise.

La reprise après une cyberattaque s’améliore, et c’est une conclusion raisonnable. Au cours des dernières années, de plus en plus d’organisations ont récupéré plus rapidement d’attaques de rançongiciel que l’année précédente. Malheureusement, les résultats de la reprise ne s’améliorent pas pour tous. Selon Veeam, seules quelques organisations ayant subi une cyberattaque l’an dernier ont récupéré la majorité de leurs données. Pour la plupart des organisations, ce chiffre est inférieur à la moitié. Les résultats des organisations les plus avancées et les moins avancées ne diffèrent pas en raison du budget. Cela tient à différentes architectures de reprise ainsi qu’à divers niveaux de validation du système de reprise et de planification de la reprise.

Contourner les sauvegardes : Une nouvelle menace

Les opérations axées uniquement sur l’extorsion représentent un nouveau type d’attaque qui ne peut être évitée par l’extension des sauvegardes. On observe une augmentation constante des cyberattaques où, plutôt que de chiffrer les systèmes, les cybercriminels volent des données sensibles et menacent de les rendre publiques. Dans ce contexte, l’existence de systèmes de sauvegarde importe peu. La capacité d’une organisation à résister à de telles attaques dépend de la gestion des données et des accès et de sa capacité à démontrer que les risques liés à l’exposition des données ont été effectivement maîtrisés. Il s’agit d’un important angle mort dans la façon dont la plupart des organisations définissent la portée de leur protection, et les systèmes traditionnels de sauvegarde n’ont jamais eu ce mandat.

Passer à une approche de reprise axée sur la résilience

Les entreprises qui réagissent le plus rapidement aux cyberattaques partagent une caractéristique fondamentale : elles voient l’organisation comme une fonction continue conçue pour résister à un événement, plutôt qu’un simple projet TI temporaire. Certains comportements communs distinguent les organisations résilientes de celles qui sont prises au dépourvu.

  1. De la couverture à l’assurance

    La couverture de sauvegarde a traditionnellement été évaluée comme le pourcentage de systèmes ayant des copies de sauvegarde. Ce qui importe vraiment à cet égard, c’est l’assurance : la capacité de restaurer une charge de travail non infectée, dans une fonction d’affaires critique, dans le délai imparti. Cela exige un haut degré de validation continue. La différence entre un bon système de sauvegarde et un système de récupération réside dans la capacité de réaliser des restaurations de test, d’effectuer des analyses d’anomalies et de documenter le processus. Selon la recherche de Veeam, cette pratique, que l’on appelle couramment la vérification de la sauvegarde, est peut-être le facteur distinctif le plus important entre les organisations qui se sont rétablies avec succès d’un événement et celles qui ne l’ont pas fait.

  2. Options architecturales pour l’immuabilité et l’isolation

    Les opérateurs de rançongiciels ont une démarche systématique pour cibler les systèmes de sauvegarde. Ainsi, la seule solution à ce problème architectural est d’avoir au moins une copie des données critiques qui est totalement intouchable. Cela signifie qu’aucun processus relié à un réseau ne peut modifier, supprimer ou ré-encrypter les données, fournissant ainsi un certain niveau d’air gap et d’immuabilité. Ce système de stockage fait passer le calcul de la récupération de la question antérieure « Reste-t-il des données à récupérer? » à « À quelle vitesse pouvons-nous récupérer? » Cette dernière question est celle à laquelle il est préférable de pouvoir répondre lors d’une crise.

  3. Mettre l’accent sur la conception de restauration en chambre blanche

    Une sauvegarde restaurée qui est « propre » et exempte de logiciel malveillant est très différente d’une restauration sécuritaire. L’infrastructure peut conserver des traces cachées de logiciels malveillants après une attaque. Il existe des risques sérieux associés à la restauration d’une sauvegarde de données sur un système actif. Ce système est utilisé pour éliminer les menaces et cela se fait sans vérification préalable de la sauvegarde dans un environnement de préparation dédié à la quarantaine. Selon leur enquête de 2025, seulement un tiers des participantes, Veeam, a confirmé utiliser ce genre d’environnement de quarantaine. Sur la base de ce constat, on peut supposer que la majorité réintégrait sans le savoir des données infectées dans les environnements de production. La récupération en chambre blanche devient une nécessité pour les petites organisations qui luttent pour survivre, et non seulement une fonctionnalité pour les grandes entreprises.

  4. Cartographier les dépendances avant d’en avoir besoin

    Sans compréhension préalable des dépendances entre applications et systèmes, et de l’ordre dans lequel les systèmes doivent être restaurés, l’équipe de récupération prend des décisions critiques sous pression et avec une connaissance partielle. La cartographie des dépendances, jumelée à l’identification des joyaux de la couronne, permet de prioriser les charges de travail critiques et la validation de la récupération se fait avant l’incident. Cette couche de gestion de la reprise valide le lien entre la reprise des TI et la gouvernance de gestion de crise du conseil d’administration. Lorsqu’on demande ce que l’organisation fait pour gérer le risque et demeurer opérationnelle, la réponse devrait être puisée dans un plan déjà établi, et non le résultat d’une improvisation arbitraire.

  5. Tester le plan jusqu’à le maîtriser parfaitement

    Le rapport annuel IBM Cost of a Data Breach 2025 indique que les organisations dotées de plans de réponse aux incidents d’un bout à l’autre testent chaque étape de leurs plans de réponse. Ces organisations économisent nettement plus d’argent par brèche que celles qui n’ont pas de plan. L’IA et l’automatisation dans le domaine de la sécurité réduisent le temps de réponse aux incidents et les coûts. La récupération et la reprise des activités lors d’une crise, avec un plan bien connu et répété, constituent l’un des investissements les plus justifiables dans le domaine de la .

La dimension réglementaire est ici

Les implications opérationnelles de la préparation à la reprise se sont transformées en implications réglementaires. Le Règlement de l’UE sur la résilience opérationnelle numérique (DORA) exige des tests de résilience opérationnelle, des délais d’intervention en cas d’incident et l’imposition de contrôles pour les risques posés par les tiers, la directive NIS2 étendant les mêmes exigences aux opérateurs de services essentiels et à d’autres infrastructures critiques. Les règles de divulgation en matière de cybersécurité de la SEC en Amérique du Nord ont augmenté les attentes concernant la matérialité et la déclaration des incidents devient encore plus prescriptive. L’incapacité d’assurer la reprise et la structure de gouvernance correspondante exposent une organisation à des risques accrus et garantissent une intervention réglementaire.

Conclusion

La cyberrésilience, plutôt que d’être perçue comme un achat ou une simple exigence de conformité, constitue un changement dans la mentalité opérationnelle d’une organisation. La cyberrésilience nécessite un cadre intentionnel (une architecture), un élément culturel et la priorisation de la reprise, avec une pratique continue et cohérente qui s’inscrit naturellement dans le positionnement stratégique de l’organisation. Les recherches de 2025 et 2026 parviennent à des conclusions similaires : les organisations qui resteront intactes après un événement de cybersécurité seront celles qui se préparent activement à la reprise.

Chez HCLTech, notre portefeuille de résilience des données repose sur un principe similaire. crée la base du coffre cybernétique immuable et coupé du réseau. Il offre un environnement isolé avec le modèle Zero Trust et une détection continue d’anomalies . VaultNXT s’assure que, peu importe l’état de l’environnement, une copie isolée et juridiquement propre des données essentielles est toujours disponible. L’environnement est conçu pour résister aux comportements de sauvegarde ciblés que les opérations modernes de rançongiciel sont connues pour employer.

répond à l’autre moitié de l’équation : la restauration en salle blanche orchestrée. Il permet aux organisations de passer de « nous avons une copie propre » à « les opérations sont rétablies » grâce à des processus automatisés, des cartes de dépendance prévalidées et des guides de reprise testés. Ce processus est pratiqué à l’avance plutôt que d’être créé à la hâte. Les deux solutions satisfont ensemble au Cadre de cybersécurité du NIST et aux exigences de résilience opérationnelle de DORA, les rendant prêtes pour les audits liés à l’examen réglementaire qui concernera les équipes de sécurité en entreprise en 2026.

L’écart entre la possession de sauvegardes et la véritable résilience est réel, mesurable et peut être comblé. Les données sont claires. Les pratiques sont bien établies. L’architecture est disponible. La seule question qui demeure est de savoir si les organisations veulent combler cet écart de façon proactive ou découvrir sa véritable ampleur au moment le plus inopportun.

Références

  1. Veeam — Rapport sur les tendances en matière de rançongiciels et les stratégies proactives 2025 (avril 2025)
  2. Sophos — État du rançongiciel dans les entreprises en 2025 (janvier 2026)
  3. IBM — Rapport sur le coût d'une atteinte aux données 2025 (IBM Newsroom, juillet 2025)
  4. Gartner — Principales tendances de la cybersécurité pour 2026 (Gartner Newsroom, février 2026)
  5. Gartner — Prédictions 2026 : Le programme de cybersécurité se redéfinit en cyberrésilience (via Bitsight, décembre 2025)
Partager sur
DFS Fondation numérique Blogues Au-delà des sauvegardes : Renforcer la cyberrésilience pour l’entreprise moderne