<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>rançongiciel - RiskInsight</title>
	<atom:link href="https://www.riskinsight-wavestone.com/tag/rancongiciel/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/tag/rancongiciel/</link>
	<description>Le blog cybersécurité des consultants Wavestone</description>
	<lastBuildDate>Thu, 02 Apr 2026 06:38:32 +0000</lastBuildDate>
	<language>fr-FR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>rançongiciel - RiskInsight</title>
	<link>https://www.riskinsight-wavestone.com/tag/rancongiciel/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </title>
		<link>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/</link>
					<comments>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/#respond</comments>
		
		<dc:creator><![CDATA[Axel Petersen]]></dc:creator>
		<pubDate>Thu, 02 Apr 2026 06:33:57 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[chiffrement des données]]></category>
		<category><![CDATA[Cybercriminalité]]></category>
		<category><![CDATA[Protection des sauvegardes]]></category>
		<category><![CDATA[rançongiciel]]></category>
		<category><![CDATA[Résilience cyber]]></category>
		<category><![CDATA[Sauvegarde]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=29533</guid>

					<description><![CDATA[<p> En 2025, l’attaque par rançongiciel a constitué une menace toujours prégnante et a ciblé de plus en plus les sauvegardes (21% d’attaques sur les sauvegardes en 2021 contre 90% en 2025 [1]). La protection des sauvegardes, qui fait également l’objet de renforcements règlementaires tel que...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/">Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720,&quot;335559740&quot;:259,&quot;335559991&quot;:360}"> </span><span data-contrast="auto">En 2025, l’attaque par rançongiciel a constitué une menace toujours prégnante et a ciblé de plus en plus les sauvegardes (21% d’attaques sur les sauvegardes en 2021 contre 90% en 2025 [</span><span data-contrast="auto">1]</span><span data-contrast="auto">). La protection des sauvegardes, qui fait également l’objet de renforcements règlementaires tel que NIS 2, apparaît donc comme une priorité face à cette menace.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Cet article propose quatre approches complémentaires afin de renforcer la sécurisation des sauvegardes de bout en bout :</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<ol style="text-align: justify;">
<li><b><span data-contrast="auto">Assurer en continu une sauvegarde exploitable</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></li>
<li><b><span data-contrast="auto">Renforcer la sécurisation de l’infrastructure de sauvegarde contre une prise de contrôle par l’attaquant </span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><b><span data-contrast="auto">Protéger les sauvegardes contre une destruction logique</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
<li><b><span data-contrast="auto">Identifier les risques résiduels compte-tenu des mesures mises en place</span></b><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></li>
</ol>
<p style="text-align: justify;"><span data-contrast="auto">Cet article fait l’objet d’une première publication sur les approches 1 et 2, suivi d’une seconde publication concernant les approches 3 et 4.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les recommandations présentées ne se substituent pas à celles présentées dans les guides de l’ANSSI qui définissent les principes fondamentaux de sauvegarde [</span><span data-contrast="auto">2]</span><span data-contrast="auto">.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720}"> <img fetchpriority="high" decoding="async" class="aligncenter size-full wp-image-29534" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image.png" alt="" width="579" height="519" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image.png 579w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image-213x191.png 213w, https://www.riskinsight-wavestone.com/wp-content/uploads/2026/03/image-44x39.png 44w" sizes="(max-width: 579px) 100vw, 579px" /></span></p>
<p style="text-align: center;"><em>Schéma 1 : Renforcer la sécurisation des sauvegardes par 4 approches </em></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:2,&quot;335551620&quot;:2,&quot;335559685&quot;:720}"> </span></p>
<h1><b><span data-contrast="none">1. Assurer en continu une sauvegarde exploitable</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h1>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Afin de garantir une sauvegarde exploitable, il est indispensable d’appliquer des fondamentaux. </span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Assurer la complétude et la cohérence de la sauvegarde</span></b><span data-ccp-props="{}"> </span></h2>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">L’objectif premier d’une sauvegarde, dans un contexte d’attaque par rançongiciel, est de disposer d’une source de données permettant la reconstruction du système d’information. Elle n’est véritablement efficace que si elle contient l’ensemble des éléments nécessaire à la reconstruction. Cela inclut notamment les données essentielles à l’activité métier, les configurations des applications métiers et des systèmes, les sources d’installation, ainsi que les données opérationnelles critiques, telles que les coffres forts de mots de passe, les licences, ou encore la documentation opérationnelle.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La complétude des sauvegardes ne peut suffire à elle-même. Le besoin de points de cohérence des données sauvegardées issues de différentes sources (ex : une base de données d’une GED &#8211; Gestion Electronique des Documents et des fichiers associés) doit être également pris en considération. Une étude menée en amont permettra de faciliter, lors de la reconstruction, le travail de resynchronisation entre les différents référentiels.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Enfin, il est également nécessaire de disposer d’une sauvegarde de l’infrastructure elle-même, permettant sa reconstruction à l’identique. Celle-ci doit inclure le catalogue de sauvegarde, les sources d’installation des logiciels, les clés associées aux moyens de chiffrement, ainsi que l’ensemble des autres secrets nécessaires. Une copie des paramètres de configuration est à stocker dans un emplacement, par exemple hors ligne, distinct de l’infrastructure principale, afin de limiter les risques de compromission commune.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Selon le Cyberbenchmark réalisé par Wavestone sur plus de 170 organisations évaluées, </span></i><b><i><span data-contrast="none">environ de 90%</span></i></b><i><span data-contrast="none"> des organisations observées réalisent des </span></i><b><i><span data-contrast="none">sauvegardes régulières</span></i></b><i><span data-contrast="none"> de leurs données</span></i><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Parmi les organisations réalisant des sauvegardes régulières :</span></i><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:0}"> </span></p>
<ul>
<li><em>Environ <b>65%</b> effectuent des<b> tests de restauration</b> </em></li>
<li><em>Environ <b>20%</b> réalisent des <b>contrôles de cohérence des données métiers</b> </em></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Dans cette logique, différents contrôles doivent être définis et mis en œuvre de manière régulière. </span><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335559685&quot;:0}"> </span></p>
<h2><b><span data-contrast="none">Eprouver la fiabilité des sauvegardes par des contrôles réguliers</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Un premier niveau de contrôle vise à s’assurer que les sauvegardes sont bien réalisées et exploitables. Il peut s’appuyer sur l’application de consignes de vérifications quotidiennes, fondées sur des éléments de preuve (rapports, journaux, alertes). Ces vérifications peuvent être manuelles ou (semi)automatisées. Une vérification humaine complémentaire demeure nécessaire, afin de s’assurer que les indicateurs et alertes ne sont pas trompeurs, notamment en cas de compromission ou de neutralisation des mécanismes de supervision et de contrôle par un attaquant.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Ce premier niveau intègre également des tests de restauration périodiques, réalisés sur des périmètres représentatifs, afin de vérifier, si possible avec la contribution des sachants applicatifs ou du métier, l’intégrité et l’exhaustivité des données nécessaires à la reprise d’activité.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le second niveau consiste à s’assurer que les vérifications du premier niveau sont bien appliquées. Il repose sur des contrôles indépendants ou des processus formalisés. Des tableaux de bord peuvent être utilisés pour centraliser les indicateurs de niveau de confiance, en croisant les résultats des vérifications quotidiennes par l’exploitation et des tests de restauration.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Une fois la fiabilité des sauvegardes établie, il convient d’optimiser les processus de restauration, en les éprouvant et en s’assurant de leur efficacité.   </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Industrialiser les processus de restauration pour optimiser les délais de reprise en cas de compromission</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Pour réduire les délais de reprise après compromission, il est essentiel d’industrialiser à l’échelle les processus en vue de restaurations massives. Cela implique de les préparer en amont, de les tester régulièrement et de les adapter aux différents scénarios de destruction.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La durée de la phase de restauration d’un SI étant susceptible d’être étendue sur plusieurs semaines, voire plusieurs mois, il est nécessaire d’allonger les durées de rétention des sauvegardes qui devront être restaurées, afin d’éviter leur perte par écrasement ou suppression prématurée.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Les processus de restauration devront inclure des mécanismes permettant de valider rapidement l’état des données sauvegardées, en identifiant, sur la base d’indicateurs de compromission, les données compromises, modifiées ou altérées, afin de cibler efficacement les points de restauration nécessaires.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Intégrer le risque de compromission des sauvegardes dans la stratégie de restauration</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Afin de garantir une reprise fiable après compromission, il est essentiel de prendre en compte dans la stratégie globale le risque d’altération ou de manipulation des données sauvegardées. Il s’agit de traiter le risque d’une altération ou d’une manipulation des données qui surviendrait </span><b><span data-contrast="auto">en  amont</span></b><span data-contrast="auto"> de leur prise en charge par l’agent de sauvegarde, par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<ul>
<li style="text-align: justify;"><span data-contrast="auto">Être en mesure de pouvoir s&rsquo;appuyer sur des sauvegardes complètes (“</span><i><span data-contrast="auto">full</span></i><span data-contrast="auto">”) réalisées avant l’intrusion de l’attaquant, ce jalon ayant été identifié lors des premières investigations. Les données sauvegardées peuvent être alors considérées comme non altérées par l’attaquant et servir à reconstruire des systèmes et des applications. </span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">La restauration d’éléments applicatifs ou systèmes non altérés, dans le cas où ceux-ci ne sont pas réinstallés à partir de sources fiables, devra également inclure l’application de correctifs de sécurité et de mesures de durcissement visant à prévenir toute nouvelle compromission.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Le processus de sauvegarde ne peut par lui-même prévenir la compromission éventuelle des données avant qu’elles ne lui soient confiées. Il est possible, selon les cas de mettre en œuvre par exemple :</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<ul style="text-align: justify;">
<li><span data-contrast="auto">La protection de l’intégrité des données par des mécanismes système ou/et des moyens cryptographiques ;</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
<li><span data-contrast="auto">La détection d’une altération par des validations applicatives, la surveillance de données témoins “canaries” ou l’utilisation d’un dispositif EDR – Endpoint Detection and Response.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></li>
</ul>
<p style="text-align: justify;"><span data-contrast="auto">Ce sont des sujets à instruire en complément de la protection des sauvegardes.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559685&quot;:360,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Décliner sur les environnements cloud les bonnes pratiques sauvegarde/restauration</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Enfin, les règles de sauvegarde définies pour les environnements sur site doivent être répliquées et adaptées aux environnements cloud.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">Selon le Cyberbenchmark réalisé par Wavestone, environ 25% des organisations observées </span></i><i><span data-contrast="none">ont une politique de sauvegarde régulièrement contrôlée et mise à jour, couvrant à la fois le périmètre sur site et celui dans le Cloud.</span></i><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><i><span data-contrast="none">En outre, environ 29% des organisations externalisent une sauvegarde de leurs données Cloud dans une autre région ou sur site, en s’assurant de leur résilience face à une attaque cyber et en testant ce processus régulièrement.</span></i><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Au-delà de l’exploitabilité des sauvegardes, la sécurisation de l’infrastructure qui les héberge constitue un enjeu tout aussi essentiel et parfois insuffisamment instruit.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<h1><b><span data-contrast="none">2. Renforcer la sécurisation de l’Infrastructure de sauvegarde contre une prise de contrôle par </span></b><b><span data-contrast="none">l’attaquant</span></b></h1>
<p><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Avant d’envisager des mécanismes plus avancés, il convient de rappeler que la protection efficace des sauvegardes repose d’abord sur des bonnes pratiques de sécurisation de l’infrastructure de sauvegarde, notamment celles documentées par l’ANSSI [</span><span data-contrast="auto">3]</span><span data-contrast="auto">. Une compromission de cette infrastructure pourrait en effet entraîner l’altération (chiffrement, destruction, etc.) des sauvegardes.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Assurer une défense en profondeur de l’infrastructure de sauvegarde</span></b><span data-ccp-props="{}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Ces bonnes pratiques incluent le cloisonnement des environnements de production et de sauvegarde, l’utilisation de comptes administrateurs dédiés, le durcissement des composants de l’infrastructure (notamment par l’application des guides ANSSI applicables aux systèmes Windows, Linux, etc.). Elles s’appliquent également aux agents de sauvegarde qui peuvent constituer un vecteur de propagation vers les systèmes de production.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">En complément de son durcissement, l’infrastructure de sauvegarde doit faire l’objet d’une supervision technique et cyber.</span><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p> </p>
<h2><b><span data-contrast="none">Mettre en place la supervision technique et cyber des infrastructures de sauvegardes</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">La supervision technique des infrastructures de sauvegarde contribue à garantir leur bon fonctionnement et à détecter toute anomalie. Le traitement effectif des anomalies détectées doit être régulièrement contrôlé.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">La supervision cyber de l’infrastructure de sauvegarde s’appuie sur une journalisation et analyse de flux appropriées. Elle doit être en mesure de détecter les principales attaques constatées.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559685&quot;:720,&quot;335559740&quot;:259}"> </span></p>
<h2><b><span data-contrast="none">Maintenir une veille de la menace ciblée sur les sauvegardes</span></b><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335559740&quot;:259}"> </span></h2>
<p> </p>
<p style="text-align: justify;"><span data-contrast="auto">Une veille sur la menace ciblant les sauvegardes doit être réalisée, au-delà de la veille des vulnérabilités techniques effectuée dans le cadre du maintien en conditions de sécurité de l’infrastructure de sauvegarde. Cette veille sur la menace doit couvrir les modes opératoires utilisés contre les infrastructures de sauvegarde, afin d’anticiper les attaques possibles et d’adapter en conséquence les moyens de protection, de détection et de réaction.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p style="text-align: justify;"><span data-contrast="auto">Malgré les mesures prises afin de se prémunir d’une compromission des infrastructures de sauvegardes, le risque de leur destruction logique demeure et doit être anticipé.</span><span data-ccp-props="{&quot;201341983&quot;:0,&quot;335551550&quot;:6,&quot;335551620&quot;:6,&quot;335559740&quot;:259}"> </span></p>
<p> </p>
<h1 style="text-align: justify;"><strong>Référence</strong></h1>
<p>[1] Wavestone, <a href="https://www.wavestone.com/en/insight/2024-wavestone-cert-report/">CERT</a></p>
<p>[2] ANSSI, <a href="https://messervices.cyber.gouv.fr/guides/fondamentaux-sauvegarde-systemes-dinformation">Sauvegarde des systèmes d&rsquo;information</a></p>
<p>[3] ANSSI, <a href="https://messervices.cyber.gouv.fr/guides/fondamentaux-sauvegarde-systemes-dinformation">Sauvegarde des systèmes d&rsquo;information</a></p>
<p> </p>
<p> </p>
<p style="text-align: justify;"> </p>
<p> </p>
<p style="text-align: justify;"> </p>
<p style="text-align: justify;"><span data-ccp-props="{&quot;335551550&quot;:6,&quot;335551620&quot;:6}"> </span></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/">Les sauvegardes : le dernier rempart face aux rançongiciels &#8211; Partie 1 </a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/2026/04/les-sauvegardes-le-dernier-rempart-face-aux-rancongiciels-partie-1/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Le jour où les ransomwares ont changé de dimension ?</title>
		<link>https://www.riskinsight-wavestone.com/2016/03/jour-ransomwares-ont-change-de-dimension/</link>
		
		<dc:creator><![CDATA[Gérôme Billois]]></dc:creator>
		<pubDate>Wed, 16 Mar 2016 07:19:12 +0000</pubDate>
				<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[Ethical Hacking & Incident Response]]></category>
		<category><![CDATA[rançongiciel]]></category>
		<category><![CDATA[ransomware]]></category>
		<category><![CDATA[Threat intelligence]]></category>
		<guid isPermaLink="false">https://www.solucominsight.fr/?p=8851</guid>

					<description><![CDATA[<p>L&#8217;alerte nous vient des États-Unis, des ransomwares d&#8217;un nouveau genre, ciblés et touchant directement les entreprises auraient vu le jour. Quels sont leurs caractéristiques et comment prendre en compte ce risque ? Des ransomwares d&#8217;un nouveau genre Les ransomwares sont...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/jour-ransomwares-ont-change-de-dimension/">Le jour où les ransomwares ont changé de dimension ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><em>L&rsquo;alerte nous vient des États-Unis, des ransomwares d&rsquo;un nouveau genre, ciblés et touchant directement les entreprises auraient vu le jour. Quels sont leurs caractéristiques et comment prendre en compte ce risque ?</em></p>
<h1>Des ransomwares d&rsquo;un nouveau genre</h1>
<p>Les ransomwares sont aujourd’hui très répandus, des milliers d&rsquo;attaques ont lieu chaque jour et de très nombreuses entreprises sont touchées. Mais cela uniquement par « malchance » car les ransomwares que nous connaissons aujourd’hui ne ciblent personne en particulier. Ils sont  en effet envoyés dans des vagues massives de faux emails, avec des pièces jointes véroles. L’ouverture de  ces pièces jointes permettra au ransomware de se télécharger et entrainera le chiffrement des données présentes sur le poste de travail mais également sur  les disques réseaux partagés.</p>
<p>Quelques postes, quelques serveurs touchés, la gestion de l&rsquo;incident est alors réalisée en quelques heures, voire quelques jours <a href="http://blogs.afp.com/makingof/?post/le-diable-se-cache-dans-la-piece-jointe&amp;utm_content=buffer0b8bb&amp;utm_medium=social&amp;utm_source=twitter.com&amp;utm_campaign=buffer">et les pertes sont souvent limites si des sauvegardes existent.</a></p>
<p>Mais ce schéma « classique » pourrait se voir supplanter par un nouveau type de ransomware : les ransomwares ciblés.</p>
<h1>Des cas récents de ransomwares ciblés</h1>
<p><a href="http://mobile.reuters.com/article/idUSKCN0WG2L5">Trois grandes sociétés aux États-Unis</a> auraient été touchées très récemment.  Le mode opératoire de ces nouveaux ransomware rappellent <a href="http://www.solucom.fr/wp-content/uploads/2013/08/Solucom_attaques-cibl%C3%A9es_Vweb.pdf">les attaques ciblées</a> : les attaquants s&rsquo;introduisent sur le réseau en compromettant un poste puis rebondissent jusqu’à prendre le contrôle des infrastructures centrales. A la différence des attaques ciblées classiques, les attaquants ne volent pas de données mais utilisent les droits d&rsquo;administration acquis pour distribuer un ransomware sur l&rsquo;ensemble des postes d&rsquo;une entreprise. Ce n&rsquo;est alors plus quelques postes de travail qui sont touchés, mais plusieurs milliers. Les impacts sont alors considérables et se rapprochent de ceux subits lors d&rsquo;attaque visant à détruire les machines comme chez <a href="http://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/0203968060415-sony-pictures-renvoie-ses-salaries-chez-eux-a-cause-de-cybercriminels-105714.php">Sony</a> ou chez <a href="http://rue89.nouvelobs.com/2012/08/24/cyberattaque-contre-lune-des-plus-importantes-compagnies-petrolieres-234811">Saudi Aramco</a>.</p>
<h1>Repenser la cyber résilience pour inclure l’évolution de la menace</h1>
<p>Même si ces attaques sont encore peu répandues et qu&rsquo;elles n&rsquo;ont pas totalement réussies, ces révélations posent beaucoup de questions sur les <a href="http://carnal0wnage.attackresearch.com/2016/03/apt-ransomware.html?m=1">motivations des attaquants</a>. Ces attaques peuvent  en effet être très lucratives, car pour retrouver les données infectées, le ransomware demande de payer une rançon. La question est de savoir si certaines entreprises paieront cette rançon. Si c’est  le cas, cela motivera encore plus les attaquants. Rappelons le cas de <a href="http://www.lefigaro.fr/secteur/high-tech/2016/02/16/32001-20160216ARTFIG00205-un-hopital-americain-paralyse-par-des-pirates-informatiques.php">l&rsquo;hôpital américain</a> qui avait finalement payé la demande de rançon de 17 000 dollars en février dernier pour récupérer les données de leurs patients.</p>
<p>Pour les entreprises il est essentiel de se prémunir de ces attaques mais aussi de savoir les gérer. Se prémunir passe par une bonne hygiène informatique et surtout par une sécurisation poussée des mécanismes d&rsquo;administration massive du SI (Active Directory, télédistribution&#8230;) et en particulier par la <a href="http://www.securityinsider-solucom.fr/2015/03/les-comptes-privileges-un-maillon.html">sécurisation des postes utilisés par les administrateurs du SI</a>. La compartimentation du SI est aussi clé pour être capable de limiter les impacts (principe des cloisons étanches du bateau). Ces chantiers sont souvent en cours dans les grandes entreprises mais l&rsquo;apparition de cette nouvelle menace ne peut que renforcer leur priorité.</p>
<p>D&rsquo;autre part les processus de gestion de crise doivent être adaptés pour prendre en compte ce scénario qui pose le problème de la capacité même à gérer la crise si plus aucun poste de travail ou serveur n&rsquo;est disponible. On retrouve alors certains mécanismes déjà prévus pour les scénarios destructifs comme l&rsquo;approvisionnement rapide de machine ou l&rsquo;existence d&rsquo;un parc alternatif (avec des OS différents et/ou hors systèmes de gestion de parc classique) pour a minima gérer la crise. Les systèmes dans le cloud peuvent aussi être une réponse au moins partielle à cette problématique. À nouveau, ces réflexions sont en cours mais la prise en compte de ce scenario de risque est certainement à réévaluer.</p>
<p>&nbsp;</p>
<p>Les ransomwares évoluent, ils se professionnalisent et font courir aux entreprises des risques forts d&rsquo;indisponibilité massive du SI. Ces risques sont aujourd’hui inacceptables dans bons nombres d&rsquo;entreprises. Il faut donc évaluer ces risques et les prendre en compte dans les prochains plans d&rsquo;action.</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/2016/03/jour-ransomwares-ont-change-de-dimension/">Le jour où les ransomwares ont changé de dimension ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
