La plupart des entreprises ne s'aperçoivent que leur stratégie de sauvegarde ne fonctionne pas que lorsqu'il est trop tard.

En apparence, tout semble couvert : les sauvegardes fonctionnent, les politiques de conservation sont en place, les plans de reprise ont été testés sur table, et quelqu'un a effectué une évaluation il y a six mois qui a déclaré que tout semblait "adéquat". Peut-être même "mature".

Mais lorsque le ransomware frappe, ces cases à cocher ne signifient pas grand-chose.

Car la vérité est là : la plupart des évaluations ne sont pas conçues en fonction de ce qui se passe lors d'une véritable attaque de ransomware. Elles s'appuient sur des "meilleures pratiques" et des hypothèses, et non sur le comportement réel des acteurs de la menace. Et elles laissent les équipes informatiques et de sécurité avec quelque chose de dangereux : un faux sentiment de préparation qui ne résistera pas à la pression.

Nous avons assisté à des centaines d'atteintes à la sécurité dans le monde réel. Nous savons où (et pourquoi) les évaluations traditionnelles échouent et comment élaborer une approche qui fonctionne réellement.

Les erreurs des évaluations traditionnelles

La plupart des évaluations sont conçues pour la conformité et non pour la crise.

Ils suivent une formule prévisible :

• Les sauvegardes sont-elles programmées ?
• Sont-ils stockés hors site ou dans un espace de stockage immuable ?
• Existe-t-il un plan de reprise documenté ?
• A-t-il été testé au cours des 12 derniers mois ?

Répondez "oui" à ces questions et vous réussirez la plupart des évaluations. Mais il y a un problème. Les attaquants ne se soucient pas de ce qui figure sur votre liste de contrôle de conformité. Ce qui les intéresse, c'est ce qu'ils peuvent chiffrer, exfiltrer ou détruire avant que vous ne le remarquiez.

Voici ce que les évaluations typiques ignorent systématiquement :

Comportement des acteurs de la menace

Les évaluations traditionnelles ne testent pas l'énumération ou la destruction des sauvegardes. Ce sont les tactiques que les attaquants utilisent en premier une fois qu'ils ont obtenu l'accès. Des snapshots de l'hyperviseur aux logiciels de récupération, en passant par les services connectés à un domaine, nous avons constaté à maintes reprises que, dans le monde réel, l'infrastructure de sauvegarde est généralement leur première étape. Si vos sauvegardes ne sont pas segmentées de votre domaine (la plupart ne le sont pas), elles sont déjà compromises.

Mouvement latéral

Les rapports d'évaluation traditionnels ont tendance à traiter les systèmes de manière isolée. Les partages de fichiers ici, AD là-bas, les sauvegardes dans une autre bulle. Dans une brèche réelle, les acteurs de la menace se déplacent latéralement et agressivement. La compromission d'un poste de travail d'administrateur connecté à un domaine peut éventuellement conduire à l'infrastructure de sauvegarde si la segmentation et le contrôle d'accès ne sont pas hermétiques. Les évaluations traditionnelles simulent rarement ce qui se passe si l'attaquant passe des ressources humaines aux opérations informatiques et à l'infrastructure. Il n'y a pas de test de confinement (ou d'absence de confinement).

Tests de résistance

C'est une chose de restaurer une VM de test dans un environnement contrôlé. C'en est une autre de remettre en service des systèmes critiques avec des sauvegardes corrompues, des informations d'identification compromises et des dirigeants qui demandent des réponses toutes les cinq minutes. Les évaluations traditionnelles posent la question suivante : "Existe-t-il un plan ?" alors qu'elles devraient demander : "Votre équipe peut-elle exécuter ce plan alors que la moitié de votre personnel est bloquée et que les attaquants sont toujours actifs ?"

Hypothèses

Les gens sont souvent très confiants en ce qui concerne les taux de réussite des sauvegardes. Ils ne devraient pas l'être. Un rapport peut indiquer que 90 % des sauvegardes se déroulent correctement. Mais qui vérifie l'intégrité et la capacité de récupération ? Des ACL corrompues, des agents mal alignés et des défaillances au niveau de l'application peuvent rendre ces sauvegardes "réussies" inutiles.

En fin de compte, la plupart des évaluations sont conçues pour confirmer ce que vous pensez déjà savoir. Elles offrent du confort, pas de la clarté. Elles ne remettent pas en question les hypothèses. Elles ne modélisent pas les acteurs de la menace. Et elles ne reflètent pas la complexité d'une attaque de ransomware dans le monde réel.

Que se passe-t-il en cas de violation ?

Il existe un mythe persistant selon lequel les attaques de ransomware sont isolées, évidentes et facilement corrigées par une restauration propre.

Nous avons effectué plus de 300 récupérations de ransomware et nous pouvons vous dire que ce n'est pas vrai.

D'après notre expérience, vos sauvegardes sont une cible privilégiée. Les acteurs de la menace ne s'intéressent pas seulement au chiffrement des données. Ils veulent paralyser la récupération. Ils savent que le moyen le plus rapide de se faire payer est de ne vous laisser aucune alternative. C'est pourquoi l'infrastructure de sauvegarde est l'un des premiers endroits qu'ils visent.

Même dans des conditions idéales, la restauration d'un environnement de production ne se fait pas en appuyant sur un bouton. Il s'agit d'un processus impliquant la segmentation du réseau, la réinitialisation des informations d'identification, le confinement des logiciels malveillants, la reconstruction de l'infrastructure et la validation de chaque système remis en ligne. Ajoutez à cela un ransomware et vous vous retrouvez avec des sauvegardes partielles ou défaillantes, des décisions RPO/RTO peu claires, des runbooks manquants, des identifiants brûlés et des pressions exercées par l'ensemble de l'organisation, du conseil d'administration au service juridique, en passant par les relations publiques, les dirigeants et les autorités de régulation.

Votre "plan mûr" pourrait s'effondrer à la deuxième heure.

Vous avez besoin d'une évaluation différente

Bien qu'elles soient parfois utiles, les évaluations typiques adoptent rarement une vue d'ensemble des interrelations critiques entre les politiques, les produits, les personnes et les processus. Elles ne peuvent pas aider les organisations à se préparer aux ransomwares car elles sont basées sur des hypothèses concernant la survie des données, l'immuabilité et le MTTR (temps moyen de récupération) au lieu d'une évaluation réaliste de la manière dont l'infrastructure et les sauvegardes d'une entreprise survivront à une attaque d'un acteur de menace moderne.

C'est pourquoi nous avons conçu notre évaluation de la sauvegarde et de la résilience en matière de ransomware (RBRA) comme étant fondamentalement différente.

Conçu et mis en œuvre par le bataillon Athena7 sous l'égide de Fenix24, le RBRA renverse le modèle d'évaluation traditionnel. Sur la base de notre expérience réelle en tant qu'experts mondiaux de la récupération des ransomwares, nous analysons vos configurations de sauvegarde et votre résilience par le biais du " shoulder-surfing " et de moyens automatisés afin de pouvoir vous dire comment les sauvegardes et l'infrastructure de votre entreprise fonctionneront face aux acteurs de la menace d'aujourd'hui. Nous modélisons nos évaluations sur le comportement des attaquants de ransomware. Il s'agit d'une évaluation pratique basée sur des milliers d'heures passées dans des environnements réels après une intrusion.

L'accent est mis sur votre capacité de survie et de récupération.

En fin de compte, la clé de la résilience organisationnelle consiste à comprendre ce qui survivra à une attaque et combien de temps il vous faudra pour vous en remettre. Pour ce faire, nous évaluons :

• Quelle est la part de vos données qui survivra ? Il est rare qu'elles le soient à 100 %, même si la rançon est payée.
• Vos sauvegardes survivront-elles/seront-elles utilisables ? Nos informations montrent que 80% des sauvegardes présumées immuables ne survivent pas.
• Votre infrastructure, y compris AD, survivra-t-elle ? Cela est nécessaire pour réhydrater les données récupérées et valider l'identité.
• Disposez-vous d'une capacité de stockage, d'une bande passante et d'une connectivité suffisantes ? Ces éléments sont nécessaires pour une restauration rapide.

Le RBRA met en évidence les lacunes qui vous paralyseraient en cas d'attaque réelle, alors qu'il est encore temps de les combler. Nous nous penchons sur chacune des questions ci-dessus pour vous fournir une évaluation réaliste des données et des applications qui survivront et seront utilisables, ainsi qu'un calendrier en plusieurs étapes pour votre rétablissement.

Validez votre résilience avant que les attaquants ne le fassent pour vous

Aucun acteur de la menace n'a jamais été arrêté par une liste de contrôle de conformité.

Ils ne se soucient pas de la fréquence de vos sauvegardes ni de la bonne organisation de votre documentation de restauration. Ils ne se soucient certainement pas de la confiance que vous avez dans votre capacité à restaurer et à récupérer.

Ce qui leur importe, c'est l'accès, les privilèges et la rapidité. Si vos systèmes leur permettent de détruire les sauvegardes, de chiffrer les données et de paralyser vos opérations, ils le feront. Et ils le feront probablement plus vite que votre équipe n'est prête à le faire. Le rapport 2025 Global Threat Report de CrowdStrike a révélé que les temps d'intrusion (le temps qu'il faut à un attaquant pour commencer à se déplacer latéralement sur votre réseau) sont tombés à une moyenne de 48 minutes. Le temps d'intrusion le plus rapide qu'ils ont observé n'était que de 51 secondes.

C'est pourquoi nous avons créé le RBRA : pour tester sous pression votre posture de sauvegarde et de récupération contre les tactiques exactes utilisées par les attaquants de ransomware dans le monde réel. Pas d'hypothèses. Pas d'exercices à cocher. Juste un regard clair sur votre vulnérabilité et sur ce qu'il faut faire pour y remédier.

Contactez Fenix24 dès aujourd'hui pour savoir comment l'évaluation de la sauvegarde et de la résilience des ransomwares peut vous aider à vous préparer à la réalité d'une attaque de ransomware.