Les nouvelles menaces liées à l’IA obligent les entreprises à dépasser la seule stratégie de sauvegarde

Fred Lherault, Field CTO, EMEA Emerging, Everpure partage quelques recommandations clés.

Le 31 mars dernier représentait la Journée mondiale de la sauvegarde des données qui offre un rappel opportun aux responsables IT de vérifier leurs stratégies de protection des données. Cette année, ces enjeux évoluent en profondeur. Les sauvegardes sont un élément clé de la défense contre les attaques modernes, en réduisant les temps d’arrêt, empêchant la perte de données et permettant une récupération fiable.

Le paysage des cybermenaces est entré dans une ère de ransomware entièrement automatisé, généré par l’IA, qui sonde les systèmes en continu avec des niveaux de rapidité et d’industrialisation inédits. Selon le rapport Global Threat 2026 de Crowdstrike, en 2025, les attaques menées par des adversaires utilisant l’IA ont augmenté de 89 % sur un an. Le temps moyen de compromission, le temps nécessaire à un attaquant pour passer du point d’entrée initial à une pénétration plus profonde du système, est désormais de 29 minutes, soit une augmentation de vitesse de 65 % par rapport à 2024.

Un nouveau terme apparaît pour qualifier ces pratiques : le « vibe hacking » qui utilise des LLM pour automatiser et industrialiser les intrusions, et crée une fracture numérique marquée. D’un côté se trouvent les organisations dont les systèmes ont évolué au rythme des menaces alimentées par l’IA. De l’autre, celles qui considèrent encore la sauvegarde comme une police d’assurance plutôt que comme un facteur de différenciation stratégique. Lorsque des attaques pilotées par l’IA chiffrent ou altèrent les données, une stratégie de sauvegarde robuste et moderne est nécessaire pour la récupération rapide des données et des systèmes. Des snapshots réguliers et à jour réduisent le temps nécessaire de récupération et limitent les perturbations de l’activité, mais ils doivent eux-mêmes être protégés afin de ne pas pouvoir être supprimés ou modifiés.

Fred Lherault, Field CTO, EMEA Emerging, Everpure

Des règles historiques pour des infrastructures historiques

Face aux menaces liées à l’IA, des attaques conçues pour paralyser l’organisation le plus rapidement possible, comme les attaques de type wiperware, ainsi que par de nouvelles exigences réglementaires, les organisations doivent repenser leur stratégie de sauvegarde et de résilience. Les charges de travail de production reposaient jusqu’ici sur des systèmes de stockage primaire à haute performance.

Les sauvegardes étaient stockées dans un autre emplacement, souvent sur un matériel de sauvegarde spécialisé, conçu pour stocker un maximum de données sans mettre fortement l’accent sur la vitesse de restauration. La logique reposait sur le fait que l’isolation réduit les risques, que la vitesse de sauvegarde est primordiale et que la vitesse de restauration importe moins, puisqu’en général seul un faible volume de données doit être récupéré en cas d’erreur.

Une approche moderne pour résoudre des problèmes d’aujourd’hui

L’approche décrite n’est plus adaptée et si les entreprises s’y accrochent sans repenser les hypothèses sous-jacentes, cela peut désormais augmenter le risque plutôt que de le réduire. Pour les entreprises aujourd’hui, la réflexion doit évoluer d’une simple protection des données vers une véritable cyber-résilience multicouche. Celle-ci intègre la prévention traditionnelle avec une récupération extrêmement rapide, garantissant que si une attaque réussit, l’entreprise se rétablit en minutes ou en heures, et non en jours ou en semaines. À une époque où des agents d’IA pilotent les interactions clients en temps réel, les temps d’arrêt ne sont plus seulement un désagrément, ils constituent une crise au niveau de la direction et une menace pour la survie de la marque.

Pour les organisations opérant en continu, les objectifs de reprise (RTO) sont désormais clairement définis, et dans de nombreux cas encadrés par la réglementation. Les organisations peuvent devoir rétablir le « minimum viable business » en quelques heures, et non en plusieurs jours. Les sauvegardes standard, ou toute méthode nécessitant un déplacement de données au moment de la récupération, ne permettront pas de respecter les exigences de RTO de l’entreprise moderne. Des snapshots immuables sur les systèmes de stockage de données pouvant être utilisés directement pour exécuter les services constituent le seul moyen d’atteindre ces objectifs de reprise, puisqu’aucun déplacement de données n’est requis.

Cela n’élimine toutefois pas le besoin d’isolation. Une architecture de résilience multicouche bien pensée devrait comprendre des snapshots immuables et indélébiles sur les systèmes de stockage de production. C’est le moyen le plus rapide de restaurer les systèmes critiques s’ils sont encore disponibles, comme aucun déplacement de données ni reconfiguration réseau n’est nécessaire. Deuxièmement, une réplication des données au niveau du stockage vers des systèmes de reprise après sinistre, permettant de fournir un environnement de reprise en cas de catastrophe physique, de panne d’alimentation ou d’interruption du réseau. Et enfin, la réplication des données au niveau du stockage et des instantanés immuables des données nécessaires au fonctionnement du Minimum Viable Business dans un environnement de reprise sécurisé et isolé (SIRE) ou « clean room ». Cela doit inclure des réseaux isolés afin de permettre la récupération et, si nécessaire, l’assainissement des données sans connexion à un réseau de production potentiellement infecté.

La sauvegarde est un impératif sur 365 jours

Alors que de nombreuses organisations peuvent utiliser le 31 mars comme un moment déclencheur pour se concentrer sur leurs systèmes de protection des données, elles doivent aller au-delà de cette date pour s’assurer qu’elles évaluent en permanence cet enjeu critique tout au long de l’année. Les SLA (Service Level Agreements) de récupération après ransomware sont devenus un nouveau standard de référence. Dans de nombreux secteurs réglementés à l’échelle mondiale, la capacité à restaurer les services critiques en quelques heures n’est plus un objectif, c’est une exigence de base. Cette évolution est accélérée par une vague mondiale de réglementations sur la résilience comme DORA et NIS 2 dans l’Union européenne.

Les régulateurs ne se contentent plus de demander comment les organisations peuvent prévenir une attaque, mais à quelle vitesse elles sont capables de se rétablir. Cela signifie que, pour les entreprises modernes, une stratégie de sauvegarde obsolète n’est plus seulement un risque technique, c’est désormais une défaillance majeure en matière de conformité. Si leur stockage primaire est immobilisé pour une enquête médico-légale menée par des assureurs ou les forces de l’ordre, elles ont besoin d’une stratégie qui fournit immédiatement un environnement opérationnel alternatif.