En 2025,ESG (une société Omdia) a constaté que 92 % des organisations américaines avaient subi une attaque par rançongiciel au cours des douze derniers mois, et que près de la moitié d'entre elles avaient découvert que le logiciel malveillant se cachait dans leur système depuis au moins huit jours avant que quiconque ne le détecte3. Ce délai a bien plus d’importance que ne le pensent la plupart des équipes de sécurité. Les opérateurs de rançongiciels contemporains ne sonnent pas le clairon dès leur arrivée. Ils se déplacent latéralement dans le système, élargissent progressivement leurs accès, et volent tout ce qu'ils parviennent à atteindre. Ils ne commencent à chiffrer les données qu'après avoir pris tout ce qui valait la peine d'être volé. Le chiffrement n'est que le coup de massue final.
Les sauvegardes sont devenues la cible principale
Lorsque les cybercriminels portent le coup de grâce, ils veulent être sûrs de faire mouche. C'est pourquoi les criminels utilisant des rançongiciels ne ciblent pas uniquement vos données opérationnelles lors de la phase de chiffrement ; ils s'en prennent aussi à vos sauvegardes. Selon ESG, plus de quatre organisations touchées sur dix (41 %) ont indiqué que leurs infrastructures de sauvegarde avaient été prises pour cible. Il s'agit là de la réponse la plus fréquemment fournie.
Cette évolution est stratégique et non fortuite. Les attaquants l’ont compris : détruire la capacité d'une organisation à récupérer ses données tranche d’office la question de la rançon.
Malgré des années d'investissement dans la protection contre les rançongiciels, ESG a observé que 69 % des entreprises victimes d'une attaque avaient accepté de verser une rançon. Après avoir collectivement dépensé des milliards dans la modernisation des sauvegardes, la détection des menaces au niveau des terminaux et les contrats de services de gestion des incidents, plus de deux tiers d’entre elles finissent par envoyer les bitcoins ou les moneros (XMR) exigés par les pirates. 53 % de celles dont l’attaque a été menée à bien ont déclaré un impact financier total d’au moins un million de dollars.
Même si leurs sauvegardes ne sont pas atteintes, les entreprises ne sont pas pour autant hors de danger. La triste histoire de Colonial Pipeline en 2021 illustre bien pourquoi. L'entreprise a payé les opérateurs de rançongiciels qui l'avaient attaquée, non pas parce qu'elle ne pouvait pas restaurer son système, mais parce que, interrogées par le PDG sur le délai requis, les équipes informatiques n’avaient pas su répondre. Si vous ne pouvez pas déterminer de manière ferme combien de temps prendra la reprise, vous finirez par payer.
Les avantages d’un plan de reprise minimale viable de l’activité
Alors, que peuvent faire les entreprises qui souhaitent être prêtes à faire face ? L'instinct incite à vouloir tout protéger de la même manière et à supposer que l'on peut tout restaurer d'un coup. Dans la pratique, la plupart des organisations qui adoptent cette posture finissent par ne rien tester ni chronométrer.
Mieux vaut partir de la notion de reprise minimale viable de l’activité. La question devient alors : De quoi ai-je réellement besoin, en tant qu'entreprise, pour poursuivre mon activité ? Puis-je continuer à vendre, à encaisser les paiements de mes clients et à payer mes employés ?
Les organisations qui parviennent à prioriser les éléments précis dont elles ont besoin pour exercer leur activité tout en remettant à plus tard la restauration du reste ont généralement une meilleure stratégie défensive. Elles ont suffisamment restreint le périmètre du processus de restauration pour pouvoir réellement s’assurer de son efficacité.
Plusieurs couches de défenses autour d’un noyau dur
Une fois que vous avez identifié ces points névralgiques, protégez-les comme si l'existence même de votre organisation en dépendait, car c'est effectivement le cas. Le bon maintien d’une activité minimale viable exige le respect de principes clés de la cyber-résilience :
Partez du principe que votre système a été compromis : Pensez « confiance zéro ». Partez du principe que des assaillants ont déjà pénétré au sein de votre infrastructure et qu'ils en ont après vos sauvegardes.
Utilisez un système de sauvegarde immuable : Il s'agit de copies protégées au niveau du micrologiciel ou du matériel et ne pouvant donc être altérées par aucun utilisateur de votre environnement de travail, quel que soit son niveau d’accès.
Intégrez une isolation par « air gap » : Isolez vos sauvegardes critiques au moyen de canaux de gestion indépendants, d'identifiants distincts et d'une authentification multifactorielle. Sauvegardes 3-2-1 : Trois copies des données, dont la version active, deux supports distincts (dont un immuable) et une copie hors site (éventuellement dans le cloud) offrent une excellente protection.
Envisagez un système de détection des anomalies au niveau des sauvegardes : La simple détection d’éléments suspects dans vos sauvegardes ne les empêchera pas d’être compromises. Après tout, une fois un rançongiciel repéré dans vos sauvegardes, il est déjà trop tard. Mais elle va accélérer le travail d’investigation, aider à isoler les copies saines et réduire les délais de restauration.
Tester, chronométrer, et savoir dire non
L’ensemble des points évoqués ci-dessus sont nécessaires, mais rien de tout cela n’est suffisant en l’absence d’une procédure de reprise testée, chronométrée et éprouvée. Chaque entreprise doit être en mesure de déterminer non seulement si elle est capable de se remettre d’une attaque, mais aussi à quelle vitesse elle peut rétablir les fonctions critiques pour son activité.
Votre plan ne peut pas reposer sur l’hypothèse que tout le monde réagira de manière exemplaire face à la pression d’une attaque. Entraînez-vous à mettre en pratique votre plan de reprise et chronométrez-le. Identifiez les points faibles, puis affinez votre approche et recommencez. L'organisation capable de fournir à son PDG une estimation crédible du délai de restauration est celle qui peut se permettre de dire « non » à une demande de rançon. Or, comme le montrent les chiffres, la plupart des entreprises n’en sont aujourd’hui pas capables. C'est précisément cette lacune que les architectures contemporaines, cyber-résilientes de sauvegarde et de reprise (reposant sur des sauvegardes immuables, des coffres-forts informatiques isolés, une détection intelligente des anomalies et des capacités éprouvées de restauration rapide) sont spécialement conçues pour combler.
Source : Résultats intégraux de l’étude : The Ransomware Reality: Cyber Resilience, Data Resilience, and Data Protection, décembre 2025. Toutes les données présentées dans cet article sont issues de cette étude.
