76 % des sauvegardes compromises : pourquoi votre backup n'est pas un PRA

Dans une attaque par ransomware moderne, la sauvegarde n'est plus le filet de sécurité : c'est la première cible. Les dépôts de sauvegarde sont visés dans 96 % des attaques et compromis dans 76 % des cas. Un backup ne protège réellement que s'il est immuable, isolé du réseau de production et validé par des tests de restauration mesurés — autrement dit, intégré à un vrai plan de reprise d'activité (PRA).
La sauvegarde est devenue la première cible de l'attaque
Le ransomware reste au cœur de 44 % des compromissions recensées, selon le rapport State of Ransomware 2026 de BlackFog. Mais le chiffre le plus instructif est ailleurs. Les opérateurs ont industrialisé une étape préalable au chiffrement : repérer, puis neutraliser, tout ce qui permettrait à la victime de refuser de payer.
D'après les statistiques de récupération compilées par CNIC, les dépôts de sauvegarde sont visés dans 96 % des attaques et compromis dans 76 % des cas. Snapshots supprimés, jeux de rétention purgés, dépôt chiffré à son tour : quand la note de rançon s'affiche sur les écrans, le sort des sauvegardes est souvent réglé depuis plusieurs jours.
La logique est purement économique : une organisation capable de restaurer seule ne paie pas. Détruire les sauvegardes, c'est transformer une nuisance en levier de négociation.
Pourquoi une sauvegarde classique ne résiste pas
La plupart des architectures de sauvegarde ont été conçues pour parer la panne matérielle et l'erreur humaine, pas pour affronter un adversaire actif qui détient des identifiants d'administrateur. Les mêmes faiblesses reviennent d'un incident à l'autre :
- Le serveur de sauvegarde est joint au même annuaire que la production : compromettre le domaine, c'est compromettre les deux.
- Les comptes à privilèges sont réutilisés entre l'infrastructure et l'outil de sauvegarde.
- Le dépôt est accessible en lecture-écriture depuis le réseau de production, donc effaçable.
- La réplication propage fidèlement la corruption : une copie synchronisée d'un volume chiffré est un volume chiffré.
- La rétention est trop courte face au temps que l'attaquant passe dans le système avant d'agir.
Aucun de ces points n'est une négligence exotique : c'est la configuration par défaut de beaucoup d'infrastructures qui « ont des sauvegardes ».
Immuabilité et isolation : les deux propriétés qui changent tout
Deux mécanismes rendent une copie de sauvegarde réellement résistante à un attaquant disposant de privilèges élevés.
L'immuabilité (verrouillage objet, stockage WORM) garantit qu'une copie ne peut être ni modifiée ni supprimée pendant toute sa durée de rétention — pas même par un administrateur, pas même par l'éditeur de la solution. C'est la réponse directe aux 76 % de dépôts compromis.
L'isolation (air gap logique ou physique) coupe le chemin d'attaque : dépôt hors du domaine de production, comptes dédiés avec authentification multifacteur, flux réseau restreints et unidirectionnels, et au moins une copie hébergée sur une infrastructure indépendante, dans un autre site. La règle classique 3-2-1 s'étend ainsi naturellement : trois copies, deux supports, une copie hors site — dont une immuable.
Un backup n'est pas un PRA : la restauration doit être mesurée
Même avec des copies intactes, le plus dur commence après l'attaque : la récupération moyenne dépasse 100 jours. Restaurer un système d'information, ce n'est pas recopier des fichiers. Il faut reconstruire dans le bon ordre — annuaire, DNS, bases de données, applications —, disposer de capacité de calcul saine pour redémarrer, et savoir quel niveau de perte de données est acceptable pour chaque métier.
C'est exactement la différence entre une sauvegarde et un PRA : le PRA fixe un RTO (durée maximale d'interruption) et un RPO (perte de données maximale), puis les vérifie par des tests de restauration planifiés, chronométrés et documentés. Un RTO jamais mesuré n'est pas un objectif, c'est un espoir — et chaque heure d'écart a un coût que l'on peut calculer précisément.
C'est le cœur d'un PRA automatisé opéré sous SLA, tel que SOVALYX le pratique : bascule orchestrée, tests récurrents, rapport de restauration daté. Le même réflexe vaut pour les risques physiques : à Maurice, la saison cyclonique impose son propre calendrier de tests.
Checklist : votre sauvegarde survivrait-elle à une attaque ?
- Au moins une copie immuable (verrouillage objet ou WORM), avec une rétention supérieure à quelques semaines.
- Au moins une copie hors site, sur une infrastructure indépendante de la production.
- Dépôt de sauvegarde hors du domaine de production, avec comptes dédiés et MFA.
- Aucun accès en écriture au dépôt depuis le réseau de production.
- RTO et RPO écrits, validés par la direction, différenciés par application.
- Un test de restauration complet daté de moins de six mois, chronométré, avec rapport.
- Ordre de reconstruction documenté (annuaire, DNS, bases, applications).
- Supervision des travaux de sauvegarde, avec alerte en cas d'échec ou de purge anormale des rétentions.
- Capacité de calcul de secours identifiée pour redémarrer sans attendre du matériel.
Si plus de deux cases restent vides, votre sauvegarde est un stock de données, pas un plan de reprise. Un diagnostic de restauration se mène en quelques jours et lève l'incertitude — avant que quelqu'un d'autre ne s'en charge à votre place.
Comment SOVALYX peut vous aider
SOVALYX opère des sauvegardes immuables et isolées sur son cloud privé hébergé à Maurice, intégrées à un PRA automatisé dont les bascules sont testées, chronométrées et documentées. Notre supervision 24/7 sous SLA surveille les travaux de sauvegarde et alerte en cas d'échec ou de purge anormale des rétentions. Un diagnostic de votre infrastructure permet de vérifier en quelques jours si vos copies survivraient réellement à une attaque — RTO et RPO mesurés à l'appui.
Parler sécurité avec un ingénieur🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.
Relu et optimisé par IA.